Migration vers Active
Directory 2012 et 2012 R2
Les meilleures pratiques
Chafia AOUISSI et Nadim BIOUD
Ingénieurs Conseil ...
Au programme
- Avantage de Migrer
- Préparation de la Migration
1.
2.
3.
4.
5.

Evaluer votre environnement
Planifier votr...
AVANTAGE DE MIGRER VERS
ACTIVE DIRECTORY 2012 / R2

#mstechdays

Infrastructure, communication & collaboration
Pourquoi?
• Supportabilité
– Fin de supportabilité de Windows Server 2003
– Fin de supportabilité du matériel (Hardware)

...
Nouvelles fonctionnalités
Fonctionnalité

Schéma
2012

Schéma
2012 R2

DC
2012

Cloning/Safe restore*

x

x

Dynamic Acces...
PRÉPARER LA MIGRATION
Minimiser les risques

#mstechdays

Infrastructure, communication & collaboration
Processus de migration

Evaluer

#mstechdays

Planifier

Tester

Infrastructure, communication & collaboration

Déployer
EVALUER AVANT DE MIGRER
Etat de santé de l’AD et les bloqueurs potentiels

#mstechdays

Infrastructure, communication & co...
Bloqueurs potentiels
Store LMHash
NT 4.0 Cryptography
DES Encryption for Kerberos
SMB Signing

Windows Server
2003
X
X
X
X...
Bloqueur potentiel: Algorithme d’encryption
• DES et 3DES sont désactivés par
défaut: http://aka.ms/R2fwl8
• Identificatio...
Bloqueur potentiel: Compression des SIDs
servernamesha
renamesubfolder
TGS: PAC
compressé

Compression de
SIDs Activé par
...
Que faut-il évaluer?
• Compatibilité des applications
• Inventaire des outils/services installés sur
les DCs
• L’analyse d...
Liste de vérification de l’état de santé
Statut et état de santé

Outils / ligne de commande

Réplication AD

Repadmin /re...
PLANIFIER LA MIGRATION
Maîtriser son projet

#mstechdays

Infrastructure, communication & collaboration
Prérequis d’installation de Windows Server
2012
• Hardware recommandé
– 80 Go de disque système
– 8 Go de RAM / X64

• Win...
Architecture et Préparation

Contoso.com

Contoso.com
NewContoso.com

#mstechdays

• Gestion de capacité:
DCs/RODCs/Virtua...
Retour arrière
• Sauvegarde de l’AD
– System state + Système (Windows Server
2003/Windows Server 2008)
– Bare Metal Recove...
TESTER LA MIGRATION
Assurer ses arrières

#mstechdays

Infrastructure, communication & collaboration
Construction d’un environnement de test
Cet environnement doit être complètement isolé de la production et
doit être suppr...
MISE A JOUR DU SCHEMA
Meilleures pratiques

#mstechdays

Infrastructure, communication & collaboration
Design/UX/UI
DÉPLOYER
Mise en production

#mstechdays

Infrastructure, communication & collaboration
Déploiement du premier du DC 2012/R2
1. Préparer/appliquer la GPO de compatibilité
selon les résultats de vos tests
2. Ajo...
Finaliser le déploiement des DCs
1.
2.
3.
4.

Rétrograder les anciens DCs
Vérifier le bon fonctionnement des applications
...
Conclusion
• La Migration de l’Active Directory est un
projet et non pas une simple tâche
d’administration
• Connaître son...
Ressources
Migrating Active Directory to Windows Server 2012 R2 (TechNet Virtual Labs)
http://go.microsoft.com/?linkid=984...
Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !...
Digital is
business
Pour aller plus loin…
http://aka.ms/MVA

Offre spéciale TechDays limitée aux 200
premières demandes, 1 pack par individu

...
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Upcoming SlideShare
Loading in...5
×

Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques

10,064

Published on

Les dernières versions d’Active Directory permettent de mieux tirer parti de la virtualisation, de cloner des contrôleurs de domaines, (etc.) mais également de fournir de nouvelles fonctionnalités à vos utilisateurs comme Dynamic Access Control et un support avancé du Bring Your Own Device. Cette session basée sur nos retours d’expérience Global Business Support inclut nos conseils et méthodes pour que votre migration depuis Windows Server 2003, 2008 ou 2008 R2 soit une traversée sans vague ! Bref, de quoi faire des utilisateurs satisfaits, un DSI heureux, et tout cela avec les meilleures pratiques et avec style.

Speakers : Chafia Aouissi (Microsoft France), Nadim Bioud (Microsoft France)

Published in: Technology
0 Comments
6 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
10,064
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
420
Comments
0
Likes
6
Embeds 0
No embeds

No notes for slide
  • Question pour l’audience:Vous êtes à quelle version de l’active directory dans votre organisation?2003 super vs etes nombreux2008/2008 R2 pas mal2012/2012R2 ah peu nombreux, t’as vu Chafia nous avions bien fait de proposer cette sessionY en encore en NT4/2000Savez-vous que ce n’est plus supporté, et en parlant de supportbilité…
  • Presenter: NadimFin de support 2003: Juillet 2015
  • Speaker: ChafiaEffectivement, Windows Server 2012 a apporté pas mal de nouvelles fonctoinnaliésOn traite les nouvelles fonctionnalités Windows 2008R2 et 2008 (Recycle Bin, FGPP, GPP, blabla)Version hyper-v 2012Version VMWareL’objectif de la session n’étant pas d’aller en profondeur des nouvelles fonctionnalité, revenons à notre sujet de migratipon:
  • Pour une migration réussi, il faut bien se préparer pour minimiser les risques
  • Proposition de question 1: avez-vous entamé la migration?Combien de personnes ont déjà migration une infrastructure Active Directory?L’objectif est de revoir chaque étape en mettant l’accent sur notre retour d’expérience du terrain.
  • Tableau qui récapitule le renforcement au niveau de sécurité qui ont été apportés par chaque version d’OS. Ces configurations peuvent engendrer des problèmes de compatibilités dans certains scénarios.Par Exemple: DES et appli javaCes configurations ne sont pas forcément bloquantes puisque nous avons un retour Arrières en général sous forme de paramètre GPOs.C’est
  • Impact sur les applications configurées en dur à utiliser uniquement DES ou 3DES.Impact sur les comptes utilisateurs configurés à utiliser uniquement DES comme algorithme d’encryption.
  • D’autres implémentation de Kerberos peuvent ne pas supporter la compression des SID.dans ce cas il vous faudra peut être Connecting to the same path by using the IP address will always work (No Kerberos authentication)SolutionsDésactiver la compression de SID sur le compte de la resource uniquement (solution préférée)Désactiver la compression des SID sur le KDC.La compression des SIDs du domaine de la ressource est activée par défaut depuis Windows Server 2012:Les NAS/Linux sont incapables d’interpréter les Tickets Kerberos qui comportent des SIDs compressésExemple: L’accès aux ressources réseaux sous le format \\servername\sharename\subfolderéchoue avec “accèsrefusé”
  • NadimTout dépend de la taille de votre environnement, il faut bien planifier votre migration:La migration est un projet et non simple tache de maintenance quotidienne
  • ChafiaHard disk: Prévoir une augmentation de la taille de base Active Directory (si migration depuis 2003 ou 2008)
  • NadimQuels DCs migrer en premier, quand supprimer les anciens DCsChoix de création d’une nouvelle forêt (ADMT) ou d’une migration en sein de la même forêtChangement d’adresse IP, de noms des DCs
  • Chafia:Exemple
  • C’est bien de faire des sauvegarde, mais il faut bien les valider et ça c’est possible uniquement dans un environnement cqr on ne va tout de meme pas tester le plan de reprise d’activité en prod!Mais comment je le fais?
  • Test extension de schémaTest disasterrecoveryTest des known issues
  • 2 DCs 2008 R2Repadmin /replsum okDcdiag /q /eDcdiag /test:dns /qRepadmin /?Repadmin /experthelpwepaaaaaaaaaaaaaaRepadmin /disable « dc name » +_outbound_replDC2Repadmin /disable +_outbound_replADSIEDITAttributeAdprep /forestprepADSIEDIT / PropoSchemaObjVersionEVENT VWRRepadmin /replicate DC2.contoso.fr DC1.contoso.fr CN=schema……/force DC2Schema
  • Valider le bon fonctionnement des applications et de l’authentification.Promotion“DCPromo” fait partie de “server manager”Schema update to v56Domain updateSécuritéEnable “safe” security settings by falling back to 2003Test with new settingsMonitor logs for new unknown failuresIntroduction du 1er DCHide from general use: Modifier le premier DC pour qu’il n’ajoute pas son enregistrement SRVTweak DC not to register SRVsAuthentication testsApplication testsFeedback to migration KB and test performanceSauvrgarde 2012 et 2012 R2Dedicated storage claimBMR/Full BackupsTest & ScheduleRun restoresNTDSutil Snapshot Identify good backups
  • Rétrograder les anciens DCs: dans le cas ou je n’ai pas fait d’upgrade in place.Domain PromotionLast 2003 DC demotedDomain Functional Level Raise (DFL)DFL FeaturesEnable FGPP(PSO)SYSVOL DFSRAuthentication mechanism assuranceEnhanced AuditingDFL FeaturesEnable FGPP(PSO)SYSVOL DFSRAuthentication mechanism assuranceEnhanced AuditingSYSVOL/DFS-N & RADM files removalGPO managementCentral StoreFRS to DFSR migrationsDFS-N V2 namespacesReplication TopologyRODCs require 2012 DC bridgeheadTopology optimizationGC placementBridgehead reduction
  • Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques

    1. 1. Migration vers Active Directory 2012 et 2012 R2 Les meilleures pratiques Chafia AOUISSI et Nadim BIOUD Ingénieurs Conseil Grands Comptes Microsoft Infrastructure, communication & collaboration
    2. 2. Au programme - Avantage de Migrer - Préparation de la Migration 1. 2. 3. 4. 5. Evaluer votre environnement Planifier votre projet Tester en pré-production Démo (Mise à jour du Schéma) Déployer - Conclusion #mstechdays Infrastructure, communication & collaboration
    3. 3. AVANTAGE DE MIGRER VERS ACTIVE DIRECTORY 2012 / R2 #mstechdays Infrastructure, communication & collaboration
    4. 4. Pourquoi? • Supportabilité – Fin de supportabilité de Windows Server 2003 – Fin de supportabilité du matériel (Hardware) • Consolidation et mutualisation – Virtualisation – Réduction du nombre de contrôleurs de domaine • Nouvelles fonctionnalités – Windows Server 2012 – Windows Server 2012R2 #mstechdays Infrastructure, communication & collaboration
    5. 5. Nouvelles fonctionnalités Fonctionnalité Schéma 2012 Schéma 2012 R2 DC 2012 Cloning/Safe restore* x x Dynamic Access Control ** x x x Group managed services x x Work folders x x Workplace join • • DFL 2012 x Kerberos (compression de SID, blindage,etc) PDC 2012 x ** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine. * Nécessite le support du VM-GenerationID par l’hyperviseur utilisé. #mstechdays Infrastructure, communication & collaboration x
    6. 6. PRÉPARER LA MIGRATION Minimiser les risques #mstechdays Infrastructure, communication & collaboration
    7. 7. Processus de migration Evaluer #mstechdays Planifier Tester Infrastructure, communication & collaboration Déployer
    8. 8. EVALUER AVANT DE MIGRER Etat de santé de l’AD et les bloqueurs potentiels #mstechdays Infrastructure, communication & collaboration
    9. 9. Bloqueurs potentiels Store LMHash NT 4.0 Cryptography DES Encryption for Kerberos SMB Signing Windows Server 2003 X X X X Computer Browser Service enabled X LMCompatibilityLevel DFS Site-Costed Referrals 2 Fonctionnalité/configuration par défaut Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 /R2 X X X X 3 X 3 X 3 X X X 49152-65535 X 49152-65535 LDAPS / PKI Strict enforcement of RFC 2696 Section 3 (LDAP) SID/PAC Compression Dynamic RPC Ports #mstechdays 1025-5000 49152-65535 Infrastructure, communication & collaboration
    10. 10. Bloqueur potentiel: Algorithme d’encryption • DES et 3DES sont désactivés par défaut: http://aka.ms/R2fwl8 • Identification des utilisateurs DES/3DES Get-aduser –filter * -Properties UserAccountControl|where{($_.useraccountcontrol -band 2097152) -ne 0} dsquery * -filter “(UserAccountControl:1.2.840.113556.1.4.804:=2097152)” • Pour réactiver le DES - Windows Settings -> Security Settings -> Local Policies -> Security Options->Network Security: Configure encryption types allowed for Kerberos #mstechdays Infrastructure, communication & collaboration
    11. 11. Bloqueur potentiel: Compression des SIDs servernamesha renamesubfolder TGS: PAC compressé Compression de SIDs Activé par défaut TGS: PAC compressé Client Access Denied DC 2012/R2 • Solutions – – #mstechdays Désactiver la compression de SIDs sur le compte de la resource uniquement Désactiver la compression des SID sur tous les KDCs Windows Server 2012/R2 • REG_DWORD: DisableResourceGroupsFields=1 HKLMSoftwareMicrosoftWindowsCurrentV ersionPoliciesSystemKdcParameters • Nécessite le redémarrage du DC Infrastructure, communication & collaboration Compression de SIDs non prise en compte NAS
    12. 12. Que faut-il évaluer? • Compatibilité des applications • Inventaire des outils/services installés sur les DCs • L’analyse de l’état de santé de votre AD ainsi que la remédiation des points critiques et importants ( exemple: AD RaaS – Bilan de santé et analyse de risque) #mstechdays Infrastructure, communication & collaboration
    13. 13. Liste de vérification de l’état de santé Statut et état de santé Outils / ligne de commande Réplication AD Repadmin /replsum pour la forêt Repadmin /showrepl au niveau du DC Repadmin /removelingeringobjects /advisory Outil Adreplstatus: http://aka.ms/adreplstatus Réplication du SYSVOL (FRS ou DFSR) SONAR – Ultrasound – DfsrMon- DfsrMgmt Résolution de Nom (DNS) Dnslint /ad « IP du DC » /s « IP du DNS » Dcdiag /test:DNS « nom du DC » Base NTDS.dit /Performance/Services Journaux d’événements (EventComb) Best practices analyzer depuis Windows 2008 R2 Sauvegarde de l’état du Système Repadmin /Showbackups Diagnostic général / Rôles FSMO /Synchronisation de temps Dcdiag /q /e Netdom query fsmo #mstechdays Infrastructure, communication & collaboration
    14. 14. PLANIFIER LA MIGRATION Maîtriser son projet #mstechdays Infrastructure, communication & collaboration
    15. 15. Prérequis d’installation de Windows Server 2012 • Hardware recommandé – 80 Go de disque système – 8 Go de RAM / X64 • Windows Edition – Standard ou datacenter – Core/Intermediate/full • Hyperviseur (Cloning DC/safe resotre) – Hyperviseur qui supporte VM-generationID • Prérequis promotion DC – Mode fonctionnel de la forêt Windows 2003 #mstechdays Infrastructure, communication & collaboration
    16. 16. Architecture et Préparation Contoso.com Contoso.com NewContoso.com #mstechdays • Gestion de capacité: DCs/RODCs/Virtualisati on • Créer le plan de migration • Identifier les applications à tester Infrastructure, communication & collaboration
    17. 17. Retour arrière • Sauvegarde de l’AD – System state + Système (Windows Server 2003/Windows Server 2008) – Bare Metal Recovery (Windows Server 2008 R2) • Forest Recovery – Plan détaillé de la reprise d’activité (Restauration totale de la forêt) – Plus d’info: http://aka.ms/W9714e #mstechdays Infrastructure, communication & collaboration
    18. 18. TESTER LA MIGRATION Assurer ses arrières #mstechdays Infrastructure, communication & collaboration
    19. 19. Construction d’un environnement de test Cet environnement doit être complètement isolé de la production et doit être supprimé à la fin des tests Méthode Avantages/Inconvénient Restaurer la sauvegarde d’un DC Physique/virtuel de chaque domaine vers une machine Physique/virtuelle de l’environnement de test - Ajout d’un DC Virtuel dans chaque domaine de la forêt de production et le déplacer vers l’environnement de test - #mstechdays - Avantage: Tester la validité de la sauvegarde AD de la production Inconvénient: Nécessite un matériel identique dans le lab (DC physique)/Nécessite l’existence d’un DC virtuel dans l’environnement (DC virtuel) Avantage: ne nécessite pas du matériel additionnel. Inconvénient: Pas de test de la sauvegarde. Il faut nettoyer le domaine de production (metadatacleanup: http://aka.ms/Lictx9 ) Infrastructure, communication & collaboration
    20. 20. MISE A JOUR DU SCHEMA Meilleures pratiques #mstechdays Infrastructure, communication & collaboration Design/UX/UI
    21. 21. DÉPLOYER Mise en production #mstechdays Infrastructure, communication & collaboration
    22. 22. Déploiement du premier du DC 2012/R2 1. Préparer/appliquer la GPO de compatibilité selon les résultats de vos tests 2. Ajout du rôles ADDS et promotion 3. Vérification de l’état de santé (voir slide 16) 4. Valider le bon fonctionnement des applications et de l’authentification 5. Effectuer des sauvegardes et des tests de restauration #mstechdays Infrastructure, communication & collaboration
    23. 23. Finaliser le déploiement des DCs 1. 2. 3. 4. Rétrograder les anciens DCs Vérifier le bon fonctionnement des applications Rétrograder le dernier DC Augmenter le niveau fonctionnel du domaine et de la forêt 5. Activer les nouvelles fonctionnalités (Migrer la réplication du SYSVOL: http://aka.ms/Bd8ds5 ) 6. Mettre à jour les procédures opérationnelles et le plan de reprise d’activité #mstechdays Infrastructure, communication & collaboration
    24. 24. Conclusion • La Migration de l’Active Directory est un projet et non pas une simple tâche d’administration • Connaître son environnement pour mieux gérer les problèmes connus • Faire des tests pour éviter les mauvaises surprises #mstechdays Infrastructure, communication & collaboration
    25. 25. Ressources Migrating Active Directory to Windows Server 2012 R2 (TechNet Virtual Labs) http://go.microsoft.com/?linkid=9842894 Mettre à niveau des contrôleurs de domaine vers Windows Server 2012 http://technet.microsoft.com/fr-fr/library/hh994618.aspx Microsoft Virtual Academy – Windows Server 2012 http://www.microsoftvirtualacademy.com/colleges/WindowsServer2012#?fbid=2Ye31l k87rC Configuration requise et informations d’installation pour Windows Server 2012 R2 http://technet.microsoft.com/fr-fr/library/dn303418.aspx Windows Server 2012 : modifications apportées par Adprep.exe http://technet.microsoft.com/fr-fr/library/hh994609 Installer et déployer Windows Server 2012 http://technet.microsoft.com/fr-fr/library/hh831620 Présentation des niveaux fonctionnels des services de domaine Active Directory http://technet.microsoft.com/fr-fr/library/understanding-active-directory-functionallevels(v=WS.10).aspx #mstechdays Infrastructure, communication & collaboration
    26. 26. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Réagissez sur #mstechdays Merci de nous aider à améliorer les Techdays ! #mstechdays Infrastructure, communication & collaboration
    27. 27. Digital is business
    28. 28. Pour aller plus loin… http://aka.ms/MVA Offre spéciale TechDays limitée aux 200 premières demandes, 1 pack par individu http://aka.ms/jeveuxwindows2012 Approfondissez Microsoft System Center 2012 Agenda des séminaires techniques pour les IT Pros : http://aka.ms/itcamps-france Agenda des séminaires fonctionnels pour les décideurs : http://aka.ms/TDI #mstechdays http://aka.ms/jeveuxmoncloudprive http://aka.ms/free/trial Infrastructure, communication & collaboration
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×