Meilleures procédures d'installation d'un contrôleur de domaine Windows 2000

Avant la mise en service des contrôleurs de domaine Windows 2000 et des serveurs membres, il se peut que les administrateurs système souhaitent valider la configuration des serveurs. Cette liste de vérification aborde certains domaines que vous devez étudier avec attention. Certaines des rubriques mentionnées nécessitent que vous effectuiez des recherches au-delà de cet article.

Consultation des procédures d'installation et de démarrage dans l'Observateur d'événements

Recherchez dans l'Observateur d'événements (Eventvwr.msc) la présence de messages d'erreur et d'avertissement liés aux processus d'installation ou de démarrage. Résolvez de manière appropriée les événements liés aux services et aux composants.

Définition des paramètres de taille et d'habillage du journal de l'Observateur d'événements

La définition de la taille et de l'habillage du journal d'événements (remplacement des événements si nécessaire, nettoyage manuel du journal ou remplacement des événements après n jours) doit s'adapter aux exigences de travail et de sécurité. Réfléchissez à l'opportunité d'implémenter une stratégie système au niveau du site, du domaine ou de l'unité organisationnelle qui implémente la configuration appropriée.

Consultation du démarrage des services

À partir du dossier Services du composant logiciel enfichable Gestion de l'ordinateur, confirmez que tous les services définis sur Automatique dans la colonne Démarrage démarrent sans intervention de l'utilisateur ou sans avoir à effectuer plusieurs essais.

Désactivation des services inutiles

Attribuez la valeur de démarrage Manuel aux services inutiles ou inutilisés. Les éléments à examiner sont :

• Le service Spouleur d'impression pour les ordinateurs ne partageant pas ou n'ayant pas accès à une imprimante. (Dans tout site, le service Spouleur d'impression d'au moins un contrôleur de domaine doit s'exécuter pour permettre le fonctionnement correct du gestionnaire automatique des objets Imprimantes de Active Directory.) Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
  246269  (http://support.microsoft.com/kb/246269/ ) Conditions nécessaires au bon fonctionnement du nettoyeur d'imprimante des services d'annuaire dans l'entreprise
• Les services Affichage des messages et Alertes sur tous les serveurs.

Réfléchissez à la possibilité de créer une stratégie système au niveau du site, du domaine ou de l'unité organisationnelle qui implémente la configuration du service souhaité.

Optimisation du service serveur

Définissez le paramètre Optimisation du serveur dans l'outil Réseau du Panneau de configuration pour l'adapter au rôle que va jouer l'ordinateur au sein de votre organisation, en particulier pour les ordinateurs dont les rôles passent de ceux de contrôleurs de domaine à ceux de serveurs membres en cas de consolidation de domaines. Le service Serveur des serveurs IIS ou Terminal Server dédiés doit être optimisé pour « maximiser le débit des données pour les applications réseau ».

Vérification des paramètres IP, DNS, WINS et de passerelles par défaut

À l'invite de commandes, tapez IPCONFIG /ALL pour vérifier les configurations IP, DNS, WINS et de passerelles par défaut. Pour les serveurs Windows 2000 (en particulier les contrôleurs de domaine) qui sont des clients WINS, mais qui exécutent également le service Serveur WINS, les deux adresses WINS doivent pointer soit sur ce serveur, soit sur un serveur WINS distant, pour éviter toute inscription croisée.

Exécution de Netdiag pour tester la connexion réseau et les inscriptions DNS\WINS

À l'invite de commande, tapez netdiag /v >c:\netdiag.JjMmAa.txt où JjMmAa correspond à la date actuelle. Consultez le fichier texte pour contrôler la connexion réseau et les inscriptions DNS\WINS. Enregistrez et mettez à jour ce fichier dans un dossier local sur tous les serveurs pour qu'il puisse être consulté chaque fois que des modifications sont apportées à la configuration du serveur ou que des problèmes de réseau de produisent.

Affichage du nom d'ordinateur complet

À l'invite de commandes, tapez net config rdr pour afficher le nom d'ordinateur complet. Comparez le résultat obtenu au nom de Active Directory pour vous assurer qu'ils correspondent ou qu'ils diffèrent comme vous le souhaitez.

Taille et emplacement du fichier d'échange

Définissez la taille et l'emplacement du fichier d'échange en fonction de la taille de la mémoire et de l'utilisation que vous faites du serveur. La taille du fichier d'échange peut varier de la taille de la mémoire RAM + 12 Mo au double de la taille de la mémoire RAM. Pour les serveurs vitaux, un fichier d'échange d'une taille égale ou supérieure à celle de la mémoire RAM doit être placé sur la même partition que le système d'exploitation pour permettre l'enregistrement de fichiers de vidage sur incident. Pour de meilleures performances, le fichier d'échange peut être placé sur un lecteur physique réservé à cet effet et différent du lecteur hébergeant Windows NT, sur un système multidisque, ou il peut être fractionné sur plusieurs lecteurs physiques sur lesquels la lecture et l'écriture s'effectuent « à la manière d'une bobine » jusqu'à ce que de l'espace disponible soit consommé.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

Ajout du commutateur /DEBUG au fichier Boot.ini à déboguer

Ajoutez le commutateur /DEBUG au fichier Boot.ini pour activer le débogage post-mortem de vos serveurs. Le fait d'ajouter le commutateur de débogage provoque une diminution des performances d'un serveur de 2 à 3 %, mais, en cas de blocage, permet de connecter un débogueur pour effectuer un débogage post-mortem. Pour plus d'informations, consultez l'article suivant dans la Base de connaissances Microsoft. Assurez-vous que les fichiers symboles correspondent tout le temps sur le serveur pour le système d'exploitation principal, les Service Packs et les correctifs.

Disponibilité et emplacement du FSMO

Windows NT effectue un placement initial de rôles sur les contrôleurs de domaine. Ce placement est souvent correct pour les annuaires contenant peu de contrôleurs de domaine. Dans un annuaire contenant de nombreux contrôleurs de domaine, le placement par défaut est rarement le mieux adapté au réseau. Le placement des rôles DFSMO n'est pas le sujet traité par ce document, mais en règle générale :

• Les rôles contrôleur de schéma et maître de nommage de domaine doivent être placés sur le même contrôleur de domaine car ils sont rarement utilisés et doivent être étroitement contrôlés.
• Le maître d'infrastructure ne doit pas être placé sur le même contrôleur de domaine que celui comportant les rôles maître RID et émulateur PDC s'il est également un serveur de CG. Il est très important de confirmer que tous les rôles FSMO sont disponibles à l'aide de l'une des consoles de gestion (telles que Dsa.msc ou Ntdsutil.exe).

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

Sauvegarde du service DS et des services de clés

Utilisez l'option de sauvegarde de récupération automatique du système Windows 2000 ou une option équivalente pour sauvegarder le système. Développez et maintenez une procédure de sauvegarde pour le service d'annuaire et tous les services critiques.

Effectuez des restaurations de l'ordinateur en entier, ainsi que des restaurations, faisant autorité ou non, du service DS et des services individuels dans un environnement de labo qui émule l'infrastructure de votre réseau de production en termes de vitesse, de performances et de matériel.

Sauvegardez l'état du système à l'aide de Ntbackup.exe ou d'un autre utilitaire de sauvegarde compatible avec Active Directory Windows 2000. Enregistrez une copie de l'image de sauvegarde ainsi qu'une copie hors site sur le disque local de chaque contrôleur de domaine promu. Les comptes d'ordinateur, les objets de paramètres NTDS et la partie Active Directory/système de fichiers de la stratégie système ne peuvent pas être recréés en cas de suppression. Si vous constatez qu'un objet important a été supprimé, supprimez les contrôleurs de domaines répliqués, en particulier ceux se trouvant dans des sites distants qui n'ont peut être pas répliqué la suppression depuis le réseau, de sorte qu'un magasin faisant autorité puisse être effectué. Microsoft vous recommande de sauvegarder :

• Les contrôleurs de domaine du domaine racine de la forêt ;
• Les contrôleurs de domaine des domaines comportant des domaines enfants ;
• Les objets de compte d'ordinateur pour tous les contrôleurs de domaine de la forêt ;
• La stratégie de domaine par défaut et de contrôleurs de domaine par défaut résidant dans Active Directory et dans le partage SYSVOL pour tous les domaines de la forêt.

Stratégie de récupération EFS

Développez un plan pour le stockage et la récupération des certificats du système de fichiers cryptés (EFS, Encrypted File System) prenant en compte la sécurité et l'accès du personnel aux moments où ils seront probablement nécessaires. Les serveurs sont généralement reconstruits en dehors des heures de travail, de 6 à 36 mois après leur déploiement d'origine.

Stratégie de mot de passe SAM (gestionnaire de comptes de sécurité) hors connexion

Pour plus d'informations sur ce sujet, reportez-vous à l'article suivant dans la Base de connaissances Microsoft.