Les dernières versions d’Active Directory permettent de mieux tirer parti de la virtualisation, de cloner des contrôleurs de domaines, (etc.) mais également de fournir de nouvelles fonctionnalités à vos utilisateurs comme Dynamic Access Control et un support avancé du Bring Your Own Device. Cette session basée sur nos retours d’expérience Global Business Support inclut nos conseils et méthodes pour que votre migration depuis Windows Server 2003, 2008 ou 2008 R2 soit une traversée sans vague ! Bref, de quoi faire des utilisateurs satisfaits, un DSI heureux, et tout cela avec les meilleures pratiques et avec style.
Speakers : Chafia Aouissi (Microsoft France), Nadim Bioud (Microsoft France)
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
1.
2. Migration vers Active
Directory 2012 et 2012 R2
Les meilleures pratiques
Chafia AOUISSI et Nadim BIOUD
Ingénieurs Conseil Grands Comptes
Microsoft
Infrastructure, communication & collaboration
3. Au programme
- Avantage de Migrer
- Préparation de la Migration
1.
2.
3.
4.
5.
Evaluer votre environnement
Planifier votre projet
Tester en pré-production
Démo (Mise à jour du Schéma)
Déployer
- Conclusion
#mstechdays
Infrastructure, communication & collaboration
4. AVANTAGE DE MIGRER VERS
ACTIVE DIRECTORY 2012 / R2
#mstechdays
Infrastructure, communication & collaboration
5. Pourquoi?
• Supportabilité
– Fin de supportabilité de Windows Server 2003
– Fin de supportabilité du matériel (Hardware)
• Consolidation et mutualisation
– Virtualisation
– Réduction du nombre de contrôleurs de domaine
• Nouvelles fonctionnalités
– Windows Server 2012
– Windows Server 2012R2
#mstechdays
Infrastructure, communication & collaboration
6. Nouvelles fonctionnalités
Fonctionnalité
Schéma
2012
Schéma
2012 R2
DC
2012
Cloning/Safe restore*
x
x
Dynamic Access Control **
x
x
x
Group managed services
x
x
Work folders
x
x
Workplace join
•
•
DFL
2012
x
Kerberos (compression de SID,
blindage,etc)
PDC
2012
x
** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine.
* Nécessite le support du VM-GenerationID par l’hyperviseur utilisé.
#mstechdays
Infrastructure, communication & collaboration
x
9. EVALUER AVANT DE MIGRER
Etat de santé de l’AD et les bloqueurs potentiels
#mstechdays
Infrastructure, communication & collaboration
10. Bloqueurs potentiels
Store LMHash
NT 4.0 Cryptography
DES Encryption for Kerberos
SMB Signing
Windows Server
2003
X
X
X
X
Computer Browser Service enabled
X
LMCompatibilityLevel
DFS Site-Costed Referrals
2
Fonctionnalité/configuration par défaut
Windows Server
2008
Windows Server
2008 R2
Windows Server 2012
/R2
X
X
X
X
3
X
3
X
3
X
X
X
49152-65535
X
49152-65535
LDAPS / PKI
Strict enforcement of RFC 2696 Section
3 (LDAP)
SID/PAC Compression
Dynamic RPC Ports
#mstechdays
1025-5000
49152-65535
Infrastructure, communication & collaboration
11. Bloqueur potentiel: Algorithme d’encryption
• DES et 3DES sont désactivés par
défaut: http://aka.ms/R2fwl8
• Identification des utilisateurs
DES/3DES
Get-aduser –filter * -Properties
UserAccountControl|where{($_.useraccountcontrol
-band 2097152) -ne 0}
dsquery * -filter
“(UserAccountControl:1.2.840.113556.1.4.804:=2097152)”
• Pour réactiver le DES
- Windows Settings -> Security Settings -> Local
Policies -> Security Options->Network Security:
Configure encryption types allowed for Kerberos
#mstechdays
Infrastructure, communication & collaboration
12. Bloqueur potentiel: Compression des SIDs
servernamesha
renamesubfolder
TGS: PAC
compressé
Compression de
SIDs Activé par
défaut
TGS: PAC
compressé
Client
Access Denied
DC 2012/R2
• Solutions
–
–
#mstechdays
Désactiver la compression de SIDs sur le compte
de la resource uniquement
Désactiver la compression des SID sur tous les
KDCs Windows Server 2012/R2
• REG_DWORD:
DisableResourceGroupsFields=1
HKLMSoftwareMicrosoftWindowsCurrentV
ersionPoliciesSystemKdcParameters
• Nécessite le redémarrage du DC
Infrastructure, communication & collaboration
Compression
de SIDs non
prise en
compte
NAS
13. Que faut-il évaluer?
• Compatibilité des applications
• Inventaire des outils/services installés sur
les DCs
• L’analyse de l’état de santé de votre AD
ainsi que la remédiation des points
critiques et importants ( exemple: AD RaaS
– Bilan de santé et analyse de risque)
#mstechdays
Infrastructure, communication & collaboration
14. Liste de vérification de l’état de santé
Statut et état de santé
Outils / ligne de commande
Réplication AD
Repadmin /replsum pour la forêt
Repadmin /showrepl au niveau du DC
Repadmin /removelingeringobjects /advisory
Outil Adreplstatus: http://aka.ms/adreplstatus
Réplication du SYSVOL (FRS ou DFSR)
SONAR – Ultrasound – DfsrMon- DfsrMgmt
Résolution de Nom (DNS)
Dnslint /ad « IP du DC » /s « IP du DNS »
Dcdiag /test:DNS « nom du DC »
Base NTDS.dit /Performance/Services
Journaux d’événements (EventComb)
Best practices analyzer depuis Windows 2008 R2
Sauvegarde de l’état du Système
Repadmin /Showbackups
Diagnostic général / Rôles FSMO
/Synchronisation de temps
Dcdiag /q /e
Netdom query fsmo
#mstechdays
Infrastructure, communication & collaboration
16. Prérequis d’installation de Windows Server
2012
• Hardware recommandé
– 80 Go de disque système
– 8 Go de RAM / X64
• Windows Edition
– Standard ou datacenter
– Core/Intermediate/full
• Hyperviseur (Cloning DC/safe resotre)
– Hyperviseur qui supporte VM-generationID
• Prérequis promotion DC
– Mode fonctionnel de la forêt Windows 2003
#mstechdays
Infrastructure, communication & collaboration
18. Retour arrière
• Sauvegarde de l’AD
– System state + Système (Windows Server
2003/Windows Server 2008)
– Bare Metal Recovery (Windows Server 2008 R2)
• Forest Recovery
– Plan détaillé de la reprise d’activité (Restauration totale
de la forêt)
– Plus d’info: http://aka.ms/W9714e
#mstechdays
Infrastructure, communication & collaboration
20. Construction d’un environnement de test
Cet environnement doit être complètement isolé de la production et
doit être supprimé à la fin des tests
Méthode
Avantages/Inconvénient
Restaurer la sauvegarde d’un DC
Physique/virtuel de chaque domaine vers
une machine Physique/virtuelle de
l’environnement de test
-
Ajout d’un DC Virtuel dans chaque domaine
de la forêt de production et le déplacer vers
l’environnement de test
-
#mstechdays
-
Avantage: Tester la validité de la sauvegarde AD de la
production
Inconvénient: Nécessite un matériel identique dans le
lab (DC physique)/Nécessite l’existence d’un DC
virtuel dans l’environnement (DC virtuel)
Avantage: ne nécessite pas du matériel additionnel.
Inconvénient: Pas de test de la sauvegarde. Il faut
nettoyer le domaine de production
(metadatacleanup: http://aka.ms/Lictx9 )
Infrastructure, communication & collaboration
21. MISE A JOUR DU SCHEMA
Meilleures pratiques
#mstechdays
Infrastructure, communication & collaboration
Design/UX/UI
23. Déploiement du premier du DC 2012/R2
1. Préparer/appliquer la GPO de compatibilité
selon les résultats de vos tests
2. Ajout du rôles ADDS et promotion
3. Vérification de l’état de santé (voir slide 16)
4. Valider le bon fonctionnement des
applications et de l’authentification
5. Effectuer des sauvegardes et des tests de
restauration
#mstechdays
Infrastructure, communication & collaboration
24. Finaliser le déploiement des DCs
1.
2.
3.
4.
Rétrograder les anciens DCs
Vérifier le bon fonctionnement des applications
Rétrograder le dernier DC
Augmenter le niveau fonctionnel du domaine et de
la forêt
5. Activer les nouvelles fonctionnalités (Migrer la
réplication du SYSVOL: http://aka.ms/Bd8ds5 )
6. Mettre à jour les procédures opérationnelles et le
plan de reprise d’activité
#mstechdays
Infrastructure, communication & collaboration
25. Conclusion
• La Migration de l’Active Directory est un
projet et non pas une simple tâche
d’administration
• Connaître son environnement pour mieux
gérer les problèmes connus
• Faire des tests pour éviter les mauvaises
surprises
#mstechdays
Infrastructure, communication & collaboration
26. Ressources
Migrating Active Directory to Windows Server 2012 R2 (TechNet Virtual Labs)
http://go.microsoft.com/?linkid=9842894
Mettre à niveau des contrôleurs de domaine vers Windows Server 2012
http://technet.microsoft.com/fr-fr/library/hh994618.aspx
Microsoft Virtual Academy – Windows Server 2012
http://www.microsoftvirtualacademy.com/colleges/WindowsServer2012#?fbid=2Ye31l
k87rC
Configuration requise et informations d’installation pour Windows Server 2012 R2
http://technet.microsoft.com/fr-fr/library/dn303418.aspx
Windows Server 2012 : modifications apportées par Adprep.exe
http://technet.microsoft.com/fr-fr/library/hh994609
Installer et déployer Windows Server 2012
http://technet.microsoft.com/fr-fr/library/hh831620
Présentation des niveaux fonctionnels des services de domaine Active Directory
http://technet.microsoft.com/fr-fr/library/understanding-active-directory-functionallevels(v=WS.10).aspx
#mstechdays
Infrastructure, communication & collaboration
27. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Réagissez sur #mstechdays
Merci de nous aider à améliorer les Techdays !
#mstechdays
Infrastructure, communication & collaboration
29. Pour aller plus loin…
http://aka.ms/MVA
Offre spéciale TechDays limitée aux 200
premières demandes, 1 pack par individu
http://aka.ms/jeveuxwindows2012
Approfondissez
Microsoft System Center 2012
Agenda des séminaires
techniques pour les IT Pros :
http://aka.ms/itcamps-france
Agenda des séminaires
fonctionnels pour les décideurs :
http://aka.ms/TDI
#mstechdays
http://aka.ms/jeveuxmoncloudprive
http://aka.ms/free/trial
Infrastructure, communication & collaboration
Notas del editor
Question pour l’audience:Vous êtes à quelle version de l’active directory dans votre organisation?2003 super vs etes nombreux2008/2008 R2 pas mal2012/2012R2 ah peu nombreux, t’as vu Chafia nous avions bien fait de proposer cette sessionY en encore en NT4/2000Savez-vous que ce n’est plus supporté, et en parlant de supportbilité…
Presenter: NadimFin de support 2003: Juillet 2015
Speaker: ChafiaEffectivement, Windows Server 2012 a apporté pas mal de nouvelles fonctoinnaliésOn traite les nouvelles fonctionnalités Windows 2008R2 et 2008 (Recycle Bin, FGPP, GPP, blabla)Version hyper-v 2012Version VMWareL’objectif de la session n’étant pas d’aller en profondeur des nouvelles fonctionnalité, revenons à notre sujet de migratipon:
Pour une migration réussi, il faut bien se préparer pour minimiser les risques
Proposition de question 1: avez-vous entamé la migration?Combien de personnes ont déjà migration une infrastructure Active Directory?L’objectif est de revoir chaque étape en mettant l’accent sur notre retour d’expérience du terrain.
Tableau qui récapitule le renforcement au niveau de sécurité qui ont été apportés par chaque version d’OS. Ces configurations peuvent engendrer des problèmes de compatibilités dans certains scénarios.Par Exemple: DES et appli javaCes configurations ne sont pas forcément bloquantes puisque nous avons un retour Arrières en général sous forme de paramètre GPOs.C’est
Impact sur les applications configurées en dur à utiliser uniquement DES ou 3DES.Impact sur les comptes utilisateurs configurés à utiliser uniquement DES comme algorithme d’encryption.
D’autres implémentation de Kerberos peuvent ne pas supporter la compression des SID.dans ce cas il vous faudra peut être Connecting to the same path by using the IP address will always work (No Kerberos authentication)SolutionsDésactiver la compression de SID sur le compte de la resource uniquement (solution préférée)Désactiver la compression des SID sur le KDC.La compression des SIDs du domaine de la ressource est activée par défaut depuis Windows Server 2012:Les NAS/Linux sont incapables d’interpréter les Tickets Kerberos qui comportent des SIDs compressésExemple: L’accès aux ressources réseaux sous le format \\servername\sharename\subfolderéchoue avec “accèsrefusé”
NadimTout dépend de la taille de votre environnement, il faut bien planifier votre migration:La migration est un projet et non simple tache de maintenance quotidienne
ChafiaHard disk: Prévoir une augmentation de la taille de base Active Directory (si migration depuis 2003 ou 2008)
NadimQuels DCs migrer en premier, quand supprimer les anciens DCsChoix de création d’une nouvelle forêt (ADMT) ou d’une migration en sein de la même forêtChangement d’adresse IP, de noms des DCs
Chafia:Exemple
C’est bien de faire des sauvegarde, mais il faut bien les valider et ça c’est possible uniquement dans un environnement cqr on ne va tout de meme pas tester le plan de reprise d’activité en prod!Mais comment je le fais?
Test extension de schémaTest disasterrecoveryTest des known issues
Valider le bon fonctionnement des applications et de l’authentification.Promotion“DCPromo” fait partie de “server manager”Schema update to v56Domain updateSécuritéEnable “safe” security settings by falling back to 2003Test with new settingsMonitor logs for new unknown failuresIntroduction du 1er DCHide from general use: Modifier le premier DC pour qu’il n’ajoute pas son enregistrement SRVTweak DC not to register SRVsAuthentication testsApplication testsFeedback to migration KB and test performanceSauvrgarde 2012 et 2012 R2Dedicated storage claimBMR/Full BackupsTest & ScheduleRun restoresNTDSutil Snapshot Identify good backups
Rétrograder les anciens DCs: dans le cas ou je n’ai pas fait d’upgrade in place.Domain PromotionLast 2003 DC demotedDomain Functional Level Raise (DFL)DFL FeaturesEnable FGPP(PSO)SYSVOL DFSRAuthentication mechanism assuranceEnhanced AuditingDFL FeaturesEnable FGPP(PSO)SYSVOL DFSRAuthentication mechanism assuranceEnhanced AuditingSYSVOL/DFS-N & RADM files removalGPO managementCentral StoreFRS to DFSR migrationsDFS-N V2 namespacesReplication TopologyRODCs require 2012 DC bridgeheadTopology optimizationGC placementBridgehead reduction