Clés de registres modifiées via GPO

Le programme polviewer permet de connaitres les clées de registres modifiées via une GPO.

Publicités

Restauration du sysvol FRS

Dans le cas d’une infrastructure FRS, il arrive fréquement que la réplication SYSVOL ne soit plus opérationnelle.

On peut alors la réparer via diverses solutions :

  1. Dépromotion + repromotion du serveur impacté
  2. Utilisation d’une restauration non authoritaire
  3. Utilisation d’une restauration autoritaire

1. Dépromotion et repromotion

Cette solution sera utilisée si la méthode numéro 2 ne fonctionne pas et que la méthode 3 n’est pas envisageable dans certaines infrastructure de taille importante.

2. Utilisation d’une restauration non autoritaire

Ce cas est le premier à essayer. Il permet de placer un controleur de domaine dans un état d’esclave et recopier le sysvol depuis un autre DC du domaine.

Pour cela il faut aller modifier la valeur de la clé burflag de 0 à D2 à l’emplacement

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

Et redémarrer ensuite le service. La clé passe alors à la valeur 0.

Au niveau du journal d’évènements on voit alors l’évènement 13565 pour le début d’une réplication ne faisant pas autorité et 13516 une fois la manipulation terminée.

3. Utilisation d’une restauration autoritaire

Ce cas la permet de dire dans le domaine qu’on a un serveur qui fait autorité pour la réplication et TOUS les autres DC. Il est donc nécessaire de positionner la valeur D4 de la clé en partie 2. pour le contrôleur faisant autorité et D2 pour tous les autres DC. On redémarre ensuite le DC qui a la valeur D4 et ensuite les autres DC à D2.

La suivi se fait via l’évènement 13566  pour le démarrage d’une restauration faisant autorité et 13516 une fois la réplication terminée.

Activation basée sur l’AD / KMS

Lorsqu’on souhaite activer les clients/serveurs on peut utiliser KMS ou alors l’activation basée sur l’AD. Cette dernière n’est disponible que pour des OS minimum windows 8 /2012. Si jamais les 2 activations sont disponibles alors les postes compatibles utiliseront d’abord l’AD et ensuite le KMS. Le fonctionnement pour l’activation concernant l’AD s’effectue lors de la jonction au domaine pour une validité de 180 jours renouvelée tous les 7 jours.

Si on veut supprimer l’activation basée sur l’AD il faut supprimer les objets présents dans le container suivant dans la console ADSI edit :

 partition de configuration / services / microsoft spp / activation objects

2017-08-28_11h51_55.png

GPO activer log pour troubleshoot

Il est possible d’activer les logs en cas de problème d’application de GPO pour aller un peu plus en profondeur. Pour cela, il est nécessaire d’exécuter ces actions sur le client :

Aller dans le registre à l’emplacement ci dessous

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

Créer un nouveau répertoire Diagnostics

Créer une clé de registre GPSvcDebugLevel de type DWORD avec pour valeur 0x30002

Faire ensuite un gpupdate /force /target:computer ou gpupdate /force /target:user

Le fichier de log est généré à l’emplacement %windir%\debug\usermode\Gpsvc.log

 

Utiliser nslookup

Afin de pouvoir diagnostiquer les problèmes de résolution DNS on doit faire appel à l’utilitaire nslookup

on peut l’utiliser pour la résolution d’un enregistrement de type PTR

nslookup
8.8.8.8

Pour la messagerie

set type=mx
mondomaine.com

Pour les enregistrements KMS

 type=srv_vlmcs._tcp