Techdays 2009 - Active Directory Domain Services : bonnes pratiques et principales évolutions au sein de Windows Server 2008 R2

Active Directory Domain Services : bonnes pratiques et principales évolutions au sein de Windows Server 2008 R2 Christophe Dubos / Fabrice Meillon Architectes Infrastructure Microsoft France

Agenda Windows Server 2008 Active Directory Domain Services (ADDS) Migrer vers Active Directory 2008 Bonnes pratiques et retours d’expérience Quoi de neuf avec R2

Windows Server 2008 Active Directory Domain Services

Active Directory Domain Services On ne change pas une équipe qui gagne Active Directory est le référentiel de stockage des données d’identité et applicatives au cœur de l’offre Microsoft et de nombreux éditeurs Sa large adoption impose des évolutions dont l’impact doit être limité Les notions introduites avec Windows 2000 et pérennisées par Windows Server 2003 demeurent Foret, Domaine, Site, Liens, OU, KDC, KCC, GC, GPO… La migration vers 2008 est dans les grandes lignes identique à cell e vers 2003 Migration directe depuis Windows 2000 supportée Les investissements continuent avec la R2

Les objectifs de Windows Server 2008 Disposer de mécanismes permettant une installation granulaire d’Active Directory Elever le niveau de sécurité Améliorer la prise en charge des serveurs distribués géographiquement (agences) Optimiser la consommation de bande passante

DCPROMO dans Windows Server 2008 Support du server core Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion Sélection des rôles : DNS (défaut), GC (défaut), RODC Mode avancé (/adv) Sélection du site (par défaut : auto-détection) Réplication AD durant la promotion: DC particulier, n’importe quel DC, média (sauvegarde AD) Auto-installation et configuration du serveur et client DNS Création et configuration des délégations DNS

Elever le niveau de sécurité Authentification Support d’AES 256 bits pour Kerberos Envoi du certificat du DC lors de PKINIT (stapling) Stratégies de mots de passe multiples Autorisations Gestion plus granulaire des droits des propriétaires - Owner Access Right Application plus efficace des politiques de mots de passe Accès aux données sensibles - Confidentiality Bit Audit Modularité de mise en œuvre plus fine Ajout des champs “ancienne valeur” et “nouvelle valeur” au sein des événements

Stratégies multiples de mots de passe Password Settings Object PSO 1 Password Settings Object PSO 2 Precedence = 10 Precedence = 20 Applies To Applies To Applies To ResultantPSO = PSO1 ResultantPSO = PSO1

Stratégies de mots de passe multiples (FGPP)

Stratégies de mots de passe multiples Guide pas à pas

Modèle de menaces sur le contrôleur de domaine

Contrôleur de domaine en lecture seule (Read Only Domain Controller) Réduire la surface d’exposition des DC Réduire l’impact sur les utilisateurs et le reste de l’infrastructure Active Directory en cas de compromission ou de vol d’un DC La copie locale de l’annuaire de chaque RODC est en lecture seule (droits en écriture très limités) Réplication unidirectionnelle AD, FRS/DFS-R et DNS Chaque RODC dispose de son propre compte KDC KrbTGT (identique à serveur membre) Les comptes machines des RODC n’appartiennent pas aux groupes “Enterprise DC” et “Domain DC” mais à un groupe spécifique « Read-only Domain Controllers » Un RODC ne stocke pas de condensés de mot de passe (hors Administrateur local et compte de machine) et autres attributs sensibles

Read-Only DC Authentification AS_Req vers le RODC (requête pour TGT) RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur" Transmet la requête vers un DC Windows Server 2008 Le DC Windows Server 2008 authentifie la demande Renvoi la réponse et la TGT vers le RODC (Hub signed TGT) RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué

Politique de réplication des mots de passe Pas de mise en cache des comptes (défaut) La plupart des comptes sont cachés Quelques comptes sont cachés (comptes en agence)

Active Directory Domain Services Administration Séparation des rôles d’administration sur les RODC Active Directory sous forme de service Réduction de l’indisponibilité planifiée liée aux opérations de maintenance Editeur d’attributs Modification possible de l’ensemble des informations sans outils tiers ou ADSIEDIT Protection contre les suppressions accidentelles OOOups, qui a supprimé l’OU Users ???? Snapshot Viewer J’ai retrouvé l’OU Users !!!! Administration des stratégies de groupe avec GPMC

Séparation des rôles d’administration (uniquement valable sur les RODC) Le nombre d’administrateurs du domaine est souvent trop important Dans la plupart des cas ce niveau de privilège n’est nécessaire que de manière locale Windows Server 2008 fournit un nouveau niveau d’accès “local administrator” pour chaque RODC Intègre tous les Builtin groups (Backup Operators, etc) Empêche les modifications accidentelles d’Active Directory par les administrateurs locaux N’empêche pas les modifications intentionnelles de la base locale par les administrateurs locaux

Migrer vers Active Directory 2008 Bonnes pratiques et retours d’expérience

Depuis Windows NT 4.0 Il n’est plus possible de migrer depuis cet environnement Depuis Windows Server 2000 L’ensemble des contrôleurs doivent être en Service Pack 4 Certaines nouvelles fonctionnalités/changements nécessitent des opérations spécifiques avant le mise à jour des contrôleurs L’utilitaire ADPREP de Windows Server 2008 Doit être exécuté une fois par forêt ADPREP /FORESTPREP Doit être exécuté une fois par domaine ADPREP /DOMAINPREP Depuis Windows Server 2003 Processus et pré requis identiques à ceux de d’une migration depuis en environnement 2000 Migration ADDS - Généralités

Active Directory Domain Services Migration des domaines Windows 2000 natif Windows 2003 mixte Windows 2003 mixte Windows 2003 natif Windows 2003 natif Windows 2008 Automatique lors de l’intégration du premier DC 2008 Manuel après suppression du dernier DC 2000 ou 2003 Windows 2000 natif

Active Directory Domain Services Migration des forêts Windows 2000 Windows 2000 Windows 2008 Automatique lors de la migration du premier domain 2008 Manuel après suppression du dernier domaine 2000 ou 2003 Windows 2000 Windows 2003 Windows 2003 A B C Windows 2000

Migration - ADPREP /FORESTPREP Mise à jour du Schéma Doit être exécuté sur le FSMO Schema Master après y avoir stoppé la réplication Ne génère pas de synchro complète des GC en environnement 2000 Le Partial Attribute Set est modifié lorsque la forêt passe en mode natif 2003 ou 2008 Indexation d’un nombre de nouveaux attributs Les indexes sont construits localement sur chaque DC lorsque les modifications du Schéma sont répliquées Génère un faible trafic de réplication La taille du fichier NTDS.DIT augmente Création d’un container spécial après la m.à.j. CN=Windows2003Update,CN=ForestUpdates,CN=Configuration,DC=<forest_root_domain>

Migration - ADPREP /DOMAINPREP Doit être exécuté sur le FSMO Infrastructure Master de chaque domaine Création de nouveaux objets dans le domaine Modification d’un nombre restreint d’ACL pour activer de nouvelles fonctionnalités Impact sur les contrôleurs difficilement mesurable Trafic réseau minime Aucun impact sur les performance des DC ou la taille de la base Création d’un container spécial après la m.à.j. CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<domain>

Read-Only DC - Déploiement S’assurer que la forêt est en mode fonctionnel 2003 minimum Au minimum un DC en lecture-écriture doit être en version 2008 Le premier DC de la forêt ainsi que de chaque domaine ne peut pas être un RODC Limitations Les FSMO ne peuvent pas être des RODC Les serveurs tête de pont ne peuvent pas être des RODC Coexistence DC Windows Server 2003 et 2008 en lecture-écriture et RODC peuvent coexister au sein du même site Plusieurs RODC d’un même domaine ou de différents domaines peuvent coexister au sein du même site

Active Directory Migration Tool 3.1 Utilitaire de migration Utilitaire de migration/consolidation Source: domaines Windows 2000*, 2003 et 2008 Destination: domaines Windows 2003 et 2008 Disponible depuis mi 2008 Migration des mots de passe Mode ligne de commande Scriptable via Interface COM Plus de souplesse au niveau des options de transition des comptes, ex: changement de nom Reconfiguration des ACL des ressources Reporting

Réplication Sysvol différentielle (DFS-R) Migration de SYSVOL - Les différents états FRS FRS DFSR DFSR REDIRECTION REDIRECTED START PREPARED ELIMINATED PREPARATION SYNCHRO INITIALE SUPPRESSION DFSR FRS

Migration de SYSVOL - Les étapes Bascule du niveau fonctionnel AD vers 2008 Vérification de l’état de la réplication AD REPADMIN /REPLSUM Migration vers l’état PREPARED DFSRMIG /SETGLOBALSTATE 1 Surveillance atteinte état PREPARED (sur chaque DC) DFSRMIG /GETMIGRATIONSTATE Migration vers l’état REDIRECTED DFSRMIG /SETGLOBALSTATE 2 Surveillance atteinte état REDIRECTED (chaque DC) DFSRMIG /GETMIGRATIONSTATE Migration vers l’état ELIMINATED DFSRMIG /SETGLOBALSTATE 3

Quoi de neuf avec Windows Server 2008 R2

Active Directory Domain Services 2008 R2 Améliorations des outils d’administration Récupération des objets supprimés Intégration des machines au domaine en mode non connecté Meilleure gestion des comptes de services Identification de la méthode d’authentification

Administration, configuration et diagnostique en mode ligne de commande Bref rappel historique Plus de 30 outils mode ligne de commande permettant d’administrer Active Directory sans cohérence globale Combinaison complexe de ces outils pour accomplir des taches complexes L’essentiel à retenir « Powershell pour Active Directory » Plus de 85 cmdlets permettant une administration et une configuration complète de AD DS et AD LDS Interaction avec Active Directory via un Web Service Peut être utilisé pour administrer des environnements Windows Server 2003 et 2008, au moyen d’un futur composant Web Service disponible en téléchargement

Administrative Center pour Active Directory Productivité accrue des exploitants via l'utilisation d'une interface d'administration performante et simplifiant l'accès aux taches usuelles Bref rappel historique L’interface de la MMC ne permet pas de réaliser de manière simple et efficace certaines tâches d’administration Exemple: ré-initialisation de mot de passe L’ergonomie de la MMC n’est pas adaptés au traitement de volumes de données importants L’essentiel à retenir Les tâches sont exécutées via des Cmdlets PowerShell Le modèle d’administration est défini en fonction des tâches, supportant d’importants volumes de données Similitude complète entre les capacités d’administration en mode ligne de commande et en mode graphique Capacités de navigation conçues pour des environnements multi-domaines et multi-forêts

Best Practice Analyzer Périmètre initial centré sur les problématiques DNS Vérification que les enregistrements SRV des DCs sont présents Vérification que les enregistrements A/AAAA des DCs sont présents Vérification que chaque DC dispose d’un nom d’hôte valide Vérification que les rôles FSMO Schema Master et Domain Naming Master sont hébergés sur le même DC Vérification que les rôles FSMO RID Master et PDC Emulator sont hébergés sur le même DC Recommandation que chaque domaine dispose au moins de deux DCs

Corbeille AD Objet Objet supprimé Objet recyclé Objet Tombstone 180 Jours 180 Jours 180 Jours Objet physiquement supprimé (Garbage collection) Objet physiquement supprimé (Garbage collection) Objet Windows Server 2008 et versions antérieures Windows Server 2008 R2 - Corbeille activée Lorsque la corbeille n’est pas activée le comportement est identique à celui de Windows Server 2003 Contrôle LDAP étendu OID 1.2.840.113556.1.4.417 Contrôle LDAP étendu OID 1.2.840.113556.1.4.2064 Donne accès aux objets Tombstones Donne accès aux objets supprimés et recyclés Donne accès aux objets Supprimés

Ajout au domaine en mode hors-ligne P rovisioning simplifié des machines au sein du datacenter Bref rappel historique Un redémarrage est nécessaire après l’ajout d’une machine à un domaine pour prise en compte Impossibilité de préparer les machines pour leur permettre de rejoindre un domaine en mode hors-ligne L’essentiel à retenir Capacité de pré-créer les comptes de machines au sein du domaine afin de préparer les images système lors de déploiements d’images en masse Les machines rejoignent le domaine au premier redémarrage Réduction des étapes et du temps nécessaire au déploiement

Administration simplifiée des comptes de service Bref rappel historique La gestion des comptes de service est fastidieuse Les opérations de maintenance fréquentes peuvent engendrer des indisponibilités Exemple: ré-initialisation du mot de passe d’un compte de service La mise en place de la politique de sécurité est rendue plus complexe ou limitée dans son périmètre L’essentiel à retenir sur « Managed Service Accounts » Une solution d’administration permettant d’adresser les besoins d’isolation des comptes de services Un compte de service administré (MSA) par service par machine Gestion améliorée des Service Principal Names (SPN) en mode fonctionnel Windows Server 2008 R2 au niveau domaine Amélioration du TCO via une réduction des indisponibilités et de la charge d’administration

Authentication Assurance Permettre aux applications de contrôler l'accès aux ressources en fonction du type et de la force de la méthode d'authentification Bref rappel historique Impossible d’utiliser le type d’authentification ou sa force afin de protéger les données de l’entreprise Exemple: contrôler l’accès aux resssources en fonctions d’informations telles que l’utilisation d’une carte à puce ou le fait que le certificat utilisé avait une clé publique de 2048 bits L’essentiel à retenir sur « Authentication Assurance » Les administrateurs peuvent faire correspondre différentes propriétés, dont le type d’authentification ou sa force avec une identité En fonction des informations fournies lors de l’authentification, ces identités sont ajoutées au ticket Kerberos pour être utilisées par les applications Fonctionnalité disponible dans le nouveau niveau fonctionnel Windows Server 2008 R2

ADDS - Niveau de fonctionnalité pour les domaines Niv. Fonctionnalités activées DC 2000 Installation depuis un support (IFM) Mise en cache des groupes Universel Partitions applicatives Imbrication des groupes Groupe de type Universel SIDHistory 2000 2003 2008 2008 R2 2003 Ensemble des fonctionnalités du mode 2000, plus Changement de nom des contrôleurs de domaine Mise à jour attribut LastLogonTimestamp Délégation contrainte Kerberos Selective Authentication accross Forest Trusts Mot de passe utilisateur pour inetOrgPerson Redirection des containers Users & Computers Stockage des information Authorization Manager 2003 2008 2008 R2 2008 Ensemble des fonctionnalités du mode 2003, plus Réplication DFS-R du contenu de SYSVOL Last Interactive Logon information (time, station, failed logons) Fine-Grained Password Policy (FGPP) AES 128 et 256 pour Kerberos 2008 2008 R2 2008 R2 Ensemble des fonctionnalités du mode 2008, plus Authentication Insurance Gestion des comptes de services 2008 R2

ADDS - Niveau de fonctionnalité pour les forêts Niv. Fonctionnalités activées DC 2000 Toutes sauf celles qui nécessite le mode 2003 ;-) 2000 2003 2008 2008 R2 2003 Ensemble des fonctionnalités du mode 2000, plus Changement de nom des domaines Relations d’approbation inter forets Réplication LVR (Linked Value Replication) Amélioration KCC-ISTG (Inter Site Topology Generator) Classes auxiliaires dynamiques Modification de la classe User en inetOrgPerson et vice-versa Dé/réactivation au sein du schéma Intégration des RODC (Read-Only Domain Controller) 2003 2008 2008 R2 2008 Ensemble des fonctionnalités du mode 2003, plus Aucune ;-) à l’exception du fait que tout nouveau domaine est en mode 2008 2008 2008 R2 2008 R2 Ensemble des fonctionnalités du mode 2008, plus Corbeille AD 2008 R2

ADDS dans Windows Server 2008 et R2 Installation Nouvel assistant de promotion en contrôleur de domaine Prise en charge du mode Server Core Intégration hors ligne des clients Sécurité Authentification, autorisations et audit Contrôleur de domaine en lecture seule « Authentication Insurance » Administration Active Directory sous forme de service Protection contre les suppressions accidentelles Corbeille AD Powershell, AD Administrative center, Best Practice Analyser Gestion des comptes de service NEW! NEW! NEW!

© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Votre potentiel, notre passion TM

Techdays 2009 - Active Directory Domain Services : bonnes pratiques et principales évolutions au sein de Windows Server 2008 R2

Contenu connexe

Tendances (20)

En vedette (20)

Similaire à Techdays 2009 - Active Directory Domain Services : bonnes pratiques et principales évolutions au sein de Windows Server 2008 R2 (20)

Plus de fabricemeillon (6)

Techdays 2009 - Active Directory Domain Services : bonnes pratiques et principales évolutions au sein de Windows Server 2008 R2

Notes de l'éditeur