Pourquoi la fonctionnalité d’intégration Active Directory est désactivée sur les contrôleurs de domaine ?
Cette fonction n'est pas supportée sur les agents installés sur un contrôleur de domaine, mais pourquoi ? Certes ceci n'est pas dramatique J
LA réponse peut paraitre évidence lorsque l'on connaît le fonctionnement de ce processus, mais nos amis de System Center Forum on demandé à Microsoft et voici la réponse de Marc Reyhner :
To control which agents go in to what management groups we set an ACL on the object in AD representing the management group. Computers which should have access to the management group are granted read permissions to the SCP (service connection point) object for the management group. When an agent with AD integration is turned on it looks for all the SCPs it has read access to and learns what AD integrated management groups it should be a member of from this. This happens as part of the Health Service which is running as local system. On a domain controller local system has access to
pretty much everything in AD so it can read the SCP for every management group whether or not you really wanted that DC to be in that management group. The consequence of having AD integration turned on for an agent on a domain controller then is that it tries to join every AD integrated management group. Since this isn't desirable behavior we disable AD integration on domain controllers.
En résumé, la fonctionnalité «AD Integration » repose sur l'utilisation d'un objet Active Directory nommé « Service Connection Point (SCP)» utilisé par les agents pour localiser le ou les groupes d'administration auquel ils appartiennent. Pour se faire il est nécessaire de posséder la permission de lecture sur cet objet. Et c'est là que se situe l'origine du problème puisque l'agent (Health Service) exécuté sur un contrôleur de domaine possède par définition l'accès en lecture sur l'ensemble des objets de l'annuaire. Cet agent est donc capable d'utiliser l'ensemble des SCP disponibles et annule l'intérêt de cette fonctionnalité. D'où cette désactivation sur ce type de serveur.
Ressource Kit
Voici un exemple de script permettant l'extraction d'une liste d'ordinateur contenue dans une base SQL. Ces ordinateurs seront ensuite ajoutés à un groupe de sécurité de votre choix. Enfin lors de l'utilisation de l'assistant d'assignation il suffira de créer une requête LDAP pour récupérer ses membres.
Conclusion
Pour conclure, rappelez-vous de deux choses,
-
Exécutez toujours l'outil MOMADAdmin.exe avant l'assistant d'assignation et de failover. Et ceci dans chacun de vos domaines possédants des agents de supervision. Idem pour chacun de vos groupes d'administration.
-
Enfin, testez bien votre stratégie d'assignation automatique ou vous risquez de vous retrouver dans une situation non maitrisée.
ç Assignation automatique des agents de supervision - Back
Table des matières