SUPPORT AVANCÉ de MS NT 4                 Janvier 1999

conventions : KRT : Kit de Ressources Technique, WKS : Windows NT Work Station, GG : Groupe Global, GL : Groupe Local.

RELATION d'APPROBATION

• entre domaines NT uniquement
• rend possible l'accés universel (inter-domaines) : 1 seul compte util/m.passe pour plusieurs domaines
• dom.approuvé = dom.de comptes, dom.autorisé à approuver = dom.ressources
• le dom.autorisé à appouver doit importer les GG ou les util.Globaux du dom.approuvé dans ses GL et attribuer des perm.locales aux GL  (rappel : un util.local ne peut etre mis que dans un GL ou GG du même domaine).
• admin.distante : le GG des admin.du domaines (du dom.approuvé) n'est pas automatiquement ajouté au GL des admin. (mais c'est le cas pour l'ajout d'un ordi membre au domaine où le GG admin du Dom. est jouté au GL admin (idem invité))
• il y a authentification de transfert lorsque :
  • un util du domaine approuvé ouvre une cession depuis le dom.autorisé à approuver
  • qu'on accède à une ressource du dom.autorisé à approuver (par se 'connecter en tant que')
• unidirectionnelles ou bidirectionnelles
• le mot de passe demandé lors de la mise en place (autorisé à appr.) n'est utilisé qu'1 seule fois
• il ne doit pas y avoir de 'connecter en tant que' actif  lors de la mise en place d'une relation d'appro.
• attention au conflit possible si un meme compte util. éxiste dans les 2 dom. d'une appro. (collision de SID)
• non transitives (si A approuve B et B approuve C -> A n'approuve pas C pour autant !)
• rel.d'appro. rompue (voir obsr.evt. et la réinstaller) si :
  • 1 des dom.est renommé
  • service 'accés réseau' défectueux
  • lien physique rompu
• seuls les clients NT ont la possibilté de choisir le domaine (appouvé) à l'ouv.session (depuis le domaine autorisé à appr.)
• sur le domaine autorisé à approuver, il est possible de donner accés aux util.du domaine approuvé en activant le compte invité sans mot de passe (et donc sans importer les comptes du domaine approuvé).

MODELES de DOMAINE

• domaine unique : simplicité (pas de rel.d'appro.) si moins de 40 000 util, besoin d'admin.centralisée des comptes et des ressources
• domaine maitre unique : rel.d'appro.unidir. (dom.ressources->dom.comptes) nbr d'util pas trop important, admin.comptes centralisée, admin.ressources décentralisée les GG sont dans le domaine maitre uniquement
• domaine plusieurs maitres : adaptabilité (rel.d'appro bidir entre les dom.maitres) si nbr d'util important, admin par service info centralisé (nbr d'appro = P*(P-1)+(R*P) P:nbr dom.maitre R:nbr dom.ressources)
• approbation totale : (rel.d'appro bidir.) si pas de service info centralisé, confiance entre service dom. (pb sécu) (nbr d'appro = n*(n-1) n:nbr domaines).

STRUCTURE du SERVICE d'ANNUAIRE

• limite 40 Mo (=> 40000 cpt util+ordi) avec : 1 Ko/util, 0,5 Ko/compte ordi. Groupe : 0,5 Ko + 12 o/util si GG ou 36 o/util si GL
• un CSD tous les 2000 cpt util
• mémoire recommandée = 3 x taille SAM (ex 10 000 util ->15 Mo SAM -> 48 Mo RAM) (ne pas confondre avec pagefile mini = 4 x registre)

ANNALYSE

• ressources principales : mémoire, processeur, ss disque, ss réseau
• outils NT : moniteur rés., analyseur de perf., gest.serveur, diag.NT (winmsd)
• ressources sollicitées par environement serveur :
  • de fichiers & impression : mémoire (cache) et processeur (conex.res.) (pour IIS : augmenter valeur clé memorycachesize (4 Go maxi))
  • d'applications : processeur et mémoire
  • de domaine : mémoire et ss réseau
• mém.paginée=mém.virtuelle pour appli. mém.non paginée = les données ne peuvent pas etre écrites sur le DD

• activité client :
• DHCP ((DHCP)acquisition/renouvellement de bail)
  • -> bail : durée : allonger si beaucoup d'adr.dispo., seuil : augmenter (nbr.tentatives, attente s)
• WINS ((NBT)inscription/renouvellement/conversion/libération) (W95, NT, W3.11+TCP/IP 32,lan man Dos peuvent etre client WINS (pas lan man OS2)
  • -> désactiver services superflus, allongt.cache Netbios (clé cachetimeout), utiliser lmhosts, durée de vie(6j)
• session de fichier (conv.d'adr MAC (ARP)/session TCP/session Netbios/negociat. SMB/connex.ressource/xfer données/ferm.session)
  • -> suppression des proctoc non indispensables, proximité clients/serveurs
• validation d'accés (rech.serveur par diff.mailslot Netlogon), valid.demande ouver.session (connex IPC$ et lance API), ferm.session)
  • -> 1 csd/2000 cpt, param.service serveur : débit max pour les appli. (plus d'accés simul), proximité CSD, taille RAM (2.5 x SAM)

• activité client-serveur :
• Exploration de client ((browser)annonce d'hote/12mn, extraire liste explo.sauveg., election, extraire liste serveurs, extraire liste ressources)
  • ->désactiver le service serveur si pas de partage, clé maintainserverlist, backupperiodicity (12mn), eliminer les protoc.superflux
• DNS : récurrence possible vers autre serv.DNS ou WINS
  • -> pas de récurrence (si possible), affectation client du meilleur DNS, augmenter ttl cache DNS = enregistrement SOA (60 mn), augmenter ttl pour les entrées WINS dans cache (10 mn)
• WINS (10 mn) si nom netbios ou = rech.
• Intranet (connex.site (TCP)/demande page (HTTP)/sécurité stimulation/réponse (authentification cryptée)
  • -> taille des pages web, réutiliser les graphiques, augmenter cache client, éviter authentification.

• activité entre serveurs :
• Synchro.des comptes (rech.CPD/ouv.session (TCP,Ntb,SMB)/canal IPC$/API authentif/vérif SAM 0,1 et LSA 2/ ou vérif CPD/5mn et annonce -> CSD modif/maj maj périodique ou complète (si nouv.CSD, journal netlogon.chg rempli, erreur, net accounts /sync)
  • -> diminuer cle replicationgovernor (100 % = 128 Ko), augmenter changelogsize (64 Ko), pulseconcurrency (10 CSD maj simul.), augmenter pulse (5 mn verif si maj)
• Approbation : mise en place/importation de comptes/authentif.de transfert
  • -> réduction du nbr d'appro., utiliser les groupes
• Explorateur de serveur : annonce de domaine entre explo.maitre (15 mn), explo.maitre dom. interroge svr WINS pour liste domaines (12 mn), 1 explo.maitre de domaine/domaine = CPD, clé maintainserverlist = 'yes' sur NT controler (backup server par defaut), 'auto' potentiel, 'no'. Election : forcer l'explorateur maître par clé preferredmasterbrowser (à vérifier)
  • -> réduc.nbr.protoc.,desac.service svr si pas de partage, valeur MasterPeriodicity (12 mn), BackupPeriodicity (12 mn)
• Duplication WINS : push (envoi quand n maj)/pull (demande périodiquedes maj)
  • -> augmenter notif.de dupli.poussée qd 20 maj, mise en place période de demande de modif. tirée (30 mn)
• Duplication de répertoires : exportateur = NT Server uniquement, importateur = NT (WKS, Server, Membre) et lan man OS2 server, nécessite résolution netbios -> IP = client WINS ou LMHOSTS
  • -> structure de répertoire plate, cle replicator/parameter Interval (5mn) verif.si modif, Pulse (2) importateur contact expor. si aucune modif au bout de 2*5 mn, guardtime (temps de stabilité mini avant duplication), si duplication avec server WINS distant RAS : pull seulement (sur le poste distant)
• DNS : transfert de zone, enregistrement SOA/propriétés de la zone
  • -> interv.rafraichisst. (60 mn), interv.avant nouv.tentative (si echec, 10 mn), heure d'expiration (t-vie DNS second.si plus de maj)

ANALYSEUR de PERFORMANCE

• (perfmon.exe) : modes graphe/journal/alerte réglage échantillonage plus espacé si surcharge le réseau, enregistrement de l'environnement possible et exportation (csv, tsv) vers Excel par exemple pour graphe.
• compteurs mémoire : pages/s (5 maxi ou pic 20), cache défaut/s, octets dispo. (4 Mo mini), octets dédiés (taille RAM maxi) octets de réserve non paginée (pas d'augmentation)
  • -> ajout de mémoire, recherche processus resp.de la pagination/fuite
• compteurs processeur : %temps proc. (75 maxi), %temps privilégié (75 maxi), temps util. (75 maxi) interruptions/s (3500/pent90), sys./longueur file proc. (2 maxi), queue de travail du serveur/long.queue (2 maxi)
  • -> ajout 2em proc.si serveur d'appli, proc.plus perf. si serveur fic, répart.charge traitements
• compteurs disques (activés par diskperf /y ou /ye si RAID) : %temps du disque (50 maxi), long.file attente (2 maxi), moy.dique octets/transfert (élevée), octets disque/s (élvée)
  • -> controleur plus rapide, ajout de disque si RAID, répart.charge traitements
• compteurs réseau : serveur : total des octets (élvée), ouver.session/s (élévée), total ouver.session (élevée) segment réseau (ajoutés par l'agent moniteur) : %utilisation de réseau (30 maxi) interface réseau (ajoutés pour TCP/IP par service SNMP) : octets envoyés (élvée), total des octets (élevée)
  • -> ajout de CSD, pb résol.nom netbios, segmenter le réseau, limiter le nbr de protoc., ajout de carte, cartes/routeurs plus perf.
• il éxiste aussi des compteurs Netbeui,NWlink et TCP/IP
• possib.enregistrement différé de perfmon. avec at..."monitor start/stop"

MONITEUR RESEAU

• graphe, stat.session, stat.totales, stat.station filtre capture/affichage capture: resumé, détail, Hex.
• version NT4 (simple) : uniquement les trames vers et à partir de l'ordi.local sur NT server uniquement (service agent et outils du moniteur réseau) possib.voir la liste des WKS qui ont l'agent du monit.
• version SMS (complète) : capture à distance (sur WKS avec agent du monit. installé) -> permet de sortir du segment local possib. : plus gros util bd.passante, protoc.p.g.b.p., modif et retransmission de trame...

PARMETRES de CONFIGURATION

• pan.conf./services/serveur/propriété :
  • minimiser la mémoire : 10 connex.simultanées + appli.bureau.locales
  • equilibrer : 64 connex.simultannées maxi
  • débit max pour partage fic (defaut) : environt.serv.fic. et nbr.important de clients (ex : Access (non client/serveur), IIS)
  • débit max pour appli.réseau : envirt.serv.appli. ou mémoire cache mini souhaitée (ex : Exchange), NT server contrôleur (authentification).

rappel sur l'optimisation de la Synchro.d'annuaire

• synchro.annuaire : clé .../netlogon/parameters
  • sur CPD : pulseconcurrency=10 (nbr maj simultanées de CSD) changelogsize=64 (Ko taille journal des modif->sync.totale si plein)
  • sur CSD : replicationgovernor = 100 (% tampon de 128 Ko -> bande passante)
• configurer netlogon pour sync.entre les heures de charge (avec at regini fic script et net start netlogon)

DEPANNAGE

• GETSID (KRT) : pour verifier si un CSD a changé de domaine (interdit)
• regback.exe/regrest.exe (KRT) : sauvegarde du registre (ou rdisk /s, ou NTbackup)
• regentry.hlp (KRT) : aide sur le registre
• Diagnostic NT : en ligne de commande WinmsdP (KRT) génère rapport Msdrpt.txt (possible à distance)
• Rcmd.exe/Rcmdsvc.exe (KRT) : service de commande distant (service peut etre lancé par gest.serveur ou net start)
• TDISHOW (KRT) : pour voir si TDI a été correctement chargé
• services : csrss.exe (ss win32), lsass.exe, smss.exe (session manager)... sont lancés au démar.en fonction des valeurs : dependongroup/service (ref cle : servicegrouporder), type (1=noyau 2=sys 10/20=Win32) et start (0=amorçage 1=sys 2=auto 3=à la demande 4=désactivé)
• clé sessionmanager valeur: bootexecute (=autocheck)
• boot.ini commutateurs : /debug /maxmem:n /noserialmice:comx,y /basevideo /sos
• Drivers.exe (KRT) : vérif.pilotes chargés
• kernel debugger : dépannage via cable null modem, il faut :  i386kd.exe + RAS + remote.exe et intérupteur /debug ou /crashdebug dans boot.ini
• memory.dmp : (dumpchk (=vérif)/dumpexam (=Analyse)/dumpflop (charge sur diquette)) (KRT), crash system : memory.dmp (system/propriété/écrire), crash appli : user.dmp (drwtsn32 créer). C'est l'utilitaire crashdump qui fait la capture de la mémoire.
• écran bleu démarrage :
  • création fichier d'échange
  • lancement de bootexecute (conversion NTFS...)
  • création liaisons symboliques

REGISTRE :

HLM/CurrentControlSet/services/Netlogon/parameters   =    synchro

HLM/CurrentControlSet/services/browser/parameters    =    explorateur de rep.

HLM/CurrentControlSet/services/replicator/parameters   =    duplicateur de rep.