Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques

Migration vers Active
Directory 2012 et 2012 R2
Les meilleures pratiques
Chafia AOUISSI et Nadim BIOUD
Ingénieurs Conseil Grands Comptes
Microsoft
Infrastructure, communication & collaboration

Au programme
- Avantage de Migrer
- Préparation de la Migration
1.
2.
3.
4.
5.

Evaluer votre environnement
Planifier votre projet
Tester en pré-production
Démo (Mise à jour du Schéma)
Déployer

- Conclusion
#mstechdays


AVANTAGE DE MIGRER VERS
ACTIVE DIRECTORY 2012 / R2

#mstechdays


Pourquoi?
• Supportabilité
– Fin de supportabilité de Windows Server 2003
– Fin de supportabilité du matériel (Hardware)

• Consolidation et mutualisation
– Virtualisation
– Réduction du nombre de contrôleurs de domaine

• Nouvelles fonctionnalités
– Windows Server 2012
– Windows Server 2012R2
#mstechdays


Nouvelles fonctionnalités
Fonctionnalité

Schéma
2012

Schéma
2012 R2

DC
2012

Cloning/Safe restore*

x

x

Dynamic Access Control **

x
x

x

Group managed services

x

x

Work folders

x

x

Workplace join
•
•

DFL
2012

x

Kerberos (compression de SID,
blindage,etc)

PDC
2012

x

** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine.
* Nécessite le support du VM-GenerationID par l’hyperviseur utilisé.
#mstechdays


x

PRÉPARER LA MIGRATION
Minimiser les risques

#mstechdays


Processus de migration

Evaluer

#mstechdays

Planifier

Tester


Déployer

EVALUER AVANT DE MIGRER
Etat de santé de l’AD et les bloqueurs potentiels

#mstechdays


Bloqueurs potentiels
Store LMHash
NT 4.0 Cryptography
DES Encryption for Kerberos
SMB Signing

Windows Server
2003
X
X
X
X

Computer Browser Service enabled

X

LMCompatibilityLevel
DFS Site-Costed Referrals

2

Fonctionnalité/configuration par défaut

Windows Server
2008

Windows Server
2008 R2

Windows Server 2012
/R2

X
X

X

X

3
X

3
X

3
X

X

X

49152-65535

X
49152-65535

LDAPS / PKI
Strict enforcement of RFC 2696 Section
3 (LDAP)
SID/PAC Compression
Dynamic RPC Ports

#mstechdays

1025-5000

49152-65535


Bloqueur potentiel: Algorithme d’encryption
• DES et 3DES sont désactivés par
défaut: http://aka.ms/R2fwl8
• Identification des utilisateurs
DES/3DES
Get-aduser –filter * -Properties
UserAccountControl|where{($_.useraccountcontrol
-band 2097152) -ne 0}
dsquery * -filter
“(UserAccountControl:1.2.840.113556.1.4.804:=2097152)”

• Pour réactiver le DES
- Windows Settings -> Security Settings -> Local
Policies -> Security Options->Network Security:
Configure encryption types allowed for Kerberos
#mstechdays


Bloqueur potentiel: Compression des SIDs
servernamesha
renamesubfolder
TGS: PAC
compressé

Compression de
SIDs Activé par
défaut

TGS: PAC
compressé

Client

Access Denied

DC 2012/R2

• Solutions
–
–

#mstechdays

Désactiver la compression de SIDs sur le compte
de la resource uniquement
Désactiver la compression des SID sur tous les
KDCs Windows Server 2012/R2
• REG_DWORD:
DisableResourceGroupsFields=1
HKLMSoftwareMicrosoftWindowsCurrentV
ersionPoliciesSystemKdcParameters
• Nécessite le redémarrage du DC

Compression
de SIDs non
prise en
compte
NAS

Que faut-il évaluer?
• Compatibilité des applications
• Inventaire des outils/services installés sur
les DCs
• L’analyse de l’état de santé de votre AD
ainsi que la remédiation des points
critiques et importants ( exemple: AD RaaS
– Bilan de santé et analyse de risque)
#mstechdays


Liste de vérification de l’état de santé
Statut et état de santé

Outils / ligne de commande

Réplication AD

Repadmin /replsum pour la forêt
Repadmin /showrepl au niveau du DC
Repadmin /removelingeringobjects /advisory
Outil Adreplstatus: http://aka.ms/adreplstatus

Réplication du SYSVOL (FRS ou DFSR)

SONAR – Ultrasound – DfsrMon- DfsrMgmt

Résolution de Nom (DNS)

Dnslint /ad « IP du DC » /s « IP du DNS »
Dcdiag /test:DNS « nom du DC »

Base NTDS.dit /Performance/Services

Journaux d’événements (EventComb)
Best practices analyzer depuis Windows 2008 R2

Sauvegarde de l’état du Système

Repadmin /Showbackups

Diagnostic général / Rôles FSMO
/Synchronisation de temps

Dcdiag /q /e
Netdom query fsmo

#mstechdays


PLANIFIER LA MIGRATION
Maîtriser son projet

#mstechdays


Prérequis d’installation de Windows Server
2012
• Hardware recommandé
– 80 Go de disque système
– 8 Go de RAM / X64

• Windows Edition
– Standard ou datacenter
– Core/Intermediate/full

• Hyperviseur (Cloning DC/safe resotre)
– Hyperviseur qui supporte VM-generationID

• Prérequis promotion DC
– Mode fonctionnel de la forêt Windows 2003
#mstechdays


Architecture et Préparation

Contoso.com

Contoso.com
NewContoso.com

#mstechdays

• Gestion de capacité:
DCs/RODCs/Virtualisati
on
• Créer le plan de
migration
• Identifier les
applications à tester


Retour arrière
• Sauvegarde de l’AD
– System state + Système (Windows Server
2003/Windows Server 2008)
– Bare Metal Recovery (Windows Server 2008 R2)

• Forest Recovery
– Plan détaillé de la reprise d’activité (Restauration totale
de la forêt)
– Plus d’info: http://aka.ms/W9714e
#mstechdays


TESTER LA MIGRATION
Assurer ses arrières

#mstechdays


Construction d’un environnement de test
Cet environnement doit être complètement isolé de la production et
doit être supprimé à la fin des tests
Méthode

Avantages/Inconvénient

Restaurer la sauvegarde d’un DC
Physique/virtuel de chaque domaine vers
une machine Physique/virtuelle de
l’environnement de test

-

Ajout d’un DC Virtuel dans chaque domaine
de la forêt de production et le déplacer vers
l’environnement de test

-

#mstechdays

-

Avantage: Tester la validité de la sauvegarde AD de la
production
Inconvénient: Nécessite un matériel identique dans le
lab (DC physique)/Nécessite l’existence d’un DC
virtuel dans l’environnement (DC virtuel)

Avantage: ne nécessite pas du matériel additionnel.
Inconvénient: Pas de test de la sauvegarde. Il faut
nettoyer le domaine de production
(metadatacleanup: http://aka.ms/Lictx9 )


MISE A JOUR DU SCHEMA
Meilleures pratiques

#mstechdays

Design/UX/UI

DÉPLOYER
Mise en production

#mstechdays


Déploiement du premier du DC 2012/R2
1. Préparer/appliquer la GPO de compatibilité
selon les résultats de vos tests
2. Ajout du rôles ADDS et promotion
3. Vérification de l’état de santé (voir slide 16)
4. Valider le bon fonctionnement des
applications et de l’authentification
5. Effectuer des sauvegardes et des tests de
restauration
#mstechdays


Finaliser le déploiement des DCs
1.
2.
3.
4.

Rétrograder les anciens DCs
Vérifier le bon fonctionnement des applications
Rétrograder le dernier DC
Augmenter le niveau fonctionnel du domaine et de
la forêt
5. Activer les nouvelles fonctionnalités (Migrer la
réplication du SYSVOL: http://aka.ms/Bd8ds5 )
6. Mettre à jour les procédures opérationnelles et le
plan de reprise d’activité
#mstechdays


Conclusion
• La Migration de l’Active Directory est un
projet et non pas une simple tâche
d’administration
• Connaître son environnement pour mieux
gérer les problèmes connus
• Faire des tests pour éviter les mauvaises
surprises
#mstechdays


Ressources
Migrating Active Directory to Windows Server 2012 R2 (TechNet Virtual Labs)
http://go.microsoft.com/?linkid=9842894
Mettre à niveau des contrôleurs de domaine vers Windows Server 2012
http://technet.microsoft.com/fr-fr/library/hh994618.aspx
Microsoft Virtual Academy – Windows Server 2012
http://www.microsoftvirtualacademy.com/colleges/WindowsServer2012#?fbid=2Ye31l
k87rC
Configuration requise et informations d’installation pour Windows Server 2012 R2
http://technet.microsoft.com/fr-fr/library/dn303418.aspx
Windows Server 2012 : modifications apportées par Adprep.exe
http://technet.microsoft.com/fr-fr/library/hh994609
Installer et déployer Windows Server 2012
http://technet.microsoft.com/fr-fr/library/hh831620
Présentation des niveaux fonctionnels des services de domaine Active Directory
http://technet.microsoft.com/fr-fr/library/understanding-active-directory-functionallevels(v=WS.10).aspx
#mstechdays


Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Réagissez sur #mstechdays
Merci de nous aider à améliorer les Techdays !
#mstechdays


Pour aller plus loin…
http://aka.ms/MVA

Offre spéciale TechDays limitée aux 200
premières demandes, 1 pack par individu

http://aka.ms/jeveuxwindows2012

Approfondissez

Microsoft System Center 2012

Agenda des séminaires
techniques pour les IT Pros :
http://aka.ms/itcamps-france
Agenda des séminaires
fonctionnels pour les décideurs :
http://aka.ms/TDI
#mstechdays

http://aka.ms/jeveuxmoncloudprive

http://aka.ms/free/trial


Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques

Similar a Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques (20)

Más de Microsoft Technet France

Más de Microsoft Technet France (20)

Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques

Notas del editor