• Share
  • Email
  • Embed
  • Like
  • Private Content
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 

Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques

on

  • 5,257 views

Les dernières versions d’Active Directory permettent de mieux tirer parti de la virtualisation, de cloner des contrôleurs de domaines, (etc.) mais également de fournir de nouvelles ...

Les dernières versions d’Active Directory permettent de mieux tirer parti de la virtualisation, de cloner des contrôleurs de domaines, (etc.) mais également de fournir de nouvelles fonctionnalités à vos utilisateurs comme Dynamic Access Control et un support avancé du Bring Your Own Device. Cette session basée sur nos retours d’expérience Global Business Support inclut nos conseils et méthodes pour que votre migration depuis Windows Server 2003, 2008 ou 2008 R2 soit une traversée sans vague ! Bref, de quoi faire des utilisateurs satisfaits, un DSI heureux, et tout cela avec les meilleures pratiques et avec style.

Speakers : Chafia Aouissi (Microsoft France), Nadim Bioud (Microsoft France)

Statistics

Views

Total Views
5,257
Views on SlideShare
5,248
Embed Views
9

Actions

Likes
0
Downloads
143
Comments
0

1 Embed 9

http://www.slideee.com 9

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Question pour l’audience:Vous êtes à quelle version de l’active directory dans votre organisation?2003 super vs etes nombreux2008/2008 R2 pas mal2012/2012R2 ah peu nombreux, t’as vu Chafia nous avions bien fait de proposer cette sessionY en encore en NT4/2000Savez-vous que ce n’est plus supporté, et en parlant de supportbilité…
  • Presenter: NadimFin de support 2003: Juillet 2015
  • Speaker: ChafiaEffectivement, Windows Server 2012 a apporté pas mal de nouvelles fonctoinnaliésOn traite les nouvelles fonctionnalités Windows 2008R2 et 2008 (Recycle Bin, FGPP, GPP, blabla)Version hyper-v 2012Version VMWareL’objectif de la session n’étant pas d’aller en profondeur des nouvelles fonctionnalité, revenons à notre sujet de migratipon:
  • Pour une migration réussi, il faut bien se préparer pour minimiser les risques
  • Proposition de question 1: avez-vous entamé la migration?Combien de personnes ont déjà migration une infrastructure Active Directory?L’objectif est de revoir chaque étape en mettant l’accent sur notre retour d’expérience du terrain.
  • Tableau qui récapitule le renforcement au niveau de sécurité qui ont été apportés par chaque version d’OS. Ces configurations peuvent engendrer des problèmes de compatibilités dans certains scénarios.Par Exemple: DES et appli javaCes configurations ne sont pas forcément bloquantes puisque nous avons un retour Arrières en général sous forme de paramètre GPOs.C’est
  • Impact sur les applications configurées en dur à utiliser uniquement DES ou 3DES.Impact sur les comptes utilisateurs configurés à utiliser uniquement DES comme algorithme d’encryption.
  • D’autres implémentation de Kerberos peuvent ne pas supporter la compression des SID.dans ce cas il vous faudra peut être Connecting to the same path by using the IP address will always work (No Kerberos authentication)SolutionsDésactiver la compression de SID sur le compte de la resource uniquement (solution préférée)Désactiver la compression des SID sur le KDC.La compression des SIDs du domaine de la ressource est activée par défaut depuis Windows Server 2012:Les NAS/Linux sont incapables d’interpréter les Tickets Kerberos qui comportent des SIDs compressésExemple: L’accès aux ressources réseaux sous le format \\servername\sharename\subfolderéchoue avec “accèsrefusé”
  • NadimTout dépend de la taille de votre environnement, il faut bien planifier votre migration:La migration est un projet et non simple tache de maintenance quotidienne
  • ChafiaHard disk: Prévoir une augmentation de la taille de base Active Directory (si migration depuis 2003 ou 2008)
  • NadimQuels DCs migrer en premier, quand supprimer les anciens DCsChoix de création d’une nouvelle forêt (ADMT) ou d’une migration en sein de la même forêtChangement d’adresse IP, de noms des DCs
  • Chafia:Exemple
  • C’est bien de faire des sauvegarde, mais il faut bien les valider et ça c’est possible uniquement dans un environnement cqr on ne va tout de meme pas tester le plan de reprise d’activité en prod!Mais comment je le fais?
  • Test extension de schémaTest disasterrecoveryTest des known issues
  • 2 DCs 2008 R2Repadmin /replsum okDcdiag /q /eDcdiag /test:dns /qRepadmin /?Repadmin /experthelpwepaaaaaaaaaaaaaaRepadmin /disable « dc name » +_outbound_replDC2Repadmin /disable +_outbound_replADSIEDITAttributeAdprep /forestprepADSIEDIT / PropoSchemaObjVersionEVENT VWRRepadmin /replicate DC2.contoso.fr DC1.contoso.fr CN=schema……/force DC2Schema
  • Valider le bon fonctionnement des applications et de l’authentification.Promotion“DCPromo” fait partie de “server manager”Schema update to v56Domain updateSécuritéEnable “safe” security settings by falling back to 2003Test with new settingsMonitor logs for new unknown failuresIntroduction du 1er DCHide from general use: Modifier le premier DC pour qu’il n’ajoute pas son enregistrement SRVTweak DC not to register SRVsAuthentication testsApplication testsFeedback to migration KB and test performanceSauvrgarde 2012 et 2012 R2Dedicated storage claimBMR/Full BackupsTest & ScheduleRun restoresNTDSutil Snapshot Identify good backups
  • Rétrograder les anciens DCs: dans le cas ou je n’ai pas fait d’upgrade in place.Domain PromotionLast 2003 DC demotedDomain Functional Level Raise (DFL)DFL FeaturesEnable FGPP(PSO)SYSVOL DFSRAuthentication mechanism assuranceEnhanced AuditingDFL FeaturesEnable FGPP(PSO)SYSVOL DFSRAuthentication mechanism assuranceEnhanced AuditingSYSVOL/DFS-N & RADM files removalGPO managementCentral StoreFRS to DFSR migrationsDFS-N V2 namespacesReplication TopologyRODCs require 2012 DC bridgeheadTopology optimizationGC placementBridgehead reduction

Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Presentation Transcript

  • Migration vers Active Directory 2012 et 2012 R2 Les meilleures pratiques Chafia AOUISSI et Nadim BIOUD Ingénieurs Conseil Grands Comptes Microsoft Infrastructure, communication & collaboration
  • Au programme - Avantage de Migrer - Préparation de la Migration 1. 2. 3. 4. 5. Evaluer votre environnement Planifier votre projet Tester en pré-production Démo (Mise à jour du Schéma) Déployer - Conclusion #mstechdays Infrastructure, communication & collaboration
  • AVANTAGE DE MIGRER VERS ACTIVE DIRECTORY 2012 / R2 #mstechdays Infrastructure, communication & collaboration
  • Pourquoi? • Supportabilité – Fin de supportabilité de Windows Server 2003 – Fin de supportabilité du matériel (Hardware) • Consolidation et mutualisation – Virtualisation – Réduction du nombre de contrôleurs de domaine • Nouvelles fonctionnalités – Windows Server 2012 – Windows Server 2012R2 #mstechdays Infrastructure, communication & collaboration
  • Nouvelles fonctionnalités Fonctionnalité Schéma 2012 Schéma 2012 R2 DC 2012 Cloning/Safe restore* x x Dynamic Access Control ** x x x Group managed services x x Work folders x x Workplace join • • DFL 2012 x Kerberos (compression de SID, blindage,etc) PDC 2012 x ** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine. * Nécessite le support du VM-GenerationID par l’hyperviseur utilisé. #mstechdays Infrastructure, communication & collaboration x
  • PRÉPARER LA MIGRATION Minimiser les risques #mstechdays Infrastructure, communication & collaboration
  • Processus de migration Evaluer #mstechdays Planifier Tester Infrastructure, communication & collaboration Déployer
  • EVALUER AVANT DE MIGRER Etat de santé de l’AD et les bloqueurs potentiels #mstechdays Infrastructure, communication & collaboration
  • Bloqueurs potentiels Store LMHash NT 4.0 Cryptography DES Encryption for Kerberos SMB Signing Windows Server 2003 X X X X Computer Browser Service enabled X LMCompatibilityLevel DFS Site-Costed Referrals 2 Fonctionnalité/configuration par défaut Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 /R2 X X X X 3 X 3 X 3 X X X 49152-65535 X 49152-65535 LDAPS / PKI Strict enforcement of RFC 2696 Section 3 (LDAP) SID/PAC Compression Dynamic RPC Ports #mstechdays 1025-5000 49152-65535 Infrastructure, communication & collaboration
  • Bloqueur potentiel: Algorithme d’encryption • DES et 3DES sont désactivés par défaut: http://aka.ms/R2fwl8 • Identification des utilisateurs DES/3DES Get-aduser –filter * -Properties UserAccountControl|where{($_.useraccountcontrol -band 2097152) -ne 0} dsquery * -filter “(UserAccountControl:1.2.840.113556.1.4.804:=2097152)” • Pour réactiver le DES - Windows Settings -> Security Settings -> Local Policies -> Security Options->Network Security: Configure encryption types allowed for Kerberos #mstechdays Infrastructure, communication & collaboration
  • Bloqueur potentiel: Compression des SIDs servernamesha renamesubfolder TGS: PAC compressé Compression de SIDs Activé par défaut TGS: PAC compressé Client Access Denied DC 2012/R2 • Solutions – – #mstechdays Désactiver la compression de SIDs sur le compte de la resource uniquement Désactiver la compression des SID sur tous les KDCs Windows Server 2012/R2 • REG_DWORD: DisableResourceGroupsFields=1 HKLMSoftwareMicrosoftWindowsCurrentV ersionPoliciesSystemKdcParameters • Nécessite le redémarrage du DC Infrastructure, communication & collaboration Compression de SIDs non prise en compte NAS
  • Que faut-il évaluer? • Compatibilité des applications • Inventaire des outils/services installés sur les DCs • L’analyse de l’état de santé de votre AD ainsi que la remédiation des points critiques et importants ( exemple: AD RaaS – Bilan de santé et analyse de risque) #mstechdays Infrastructure, communication & collaboration
  • Liste de vérification de l’état de santé Statut et état de santé Outils / ligne de commande Réplication AD Repadmin /replsum pour la forêt Repadmin /showrepl au niveau du DC Repadmin /removelingeringobjects /advisory Outil Adreplstatus: http://aka.ms/adreplstatus Réplication du SYSVOL (FRS ou DFSR) SONAR – Ultrasound – DfsrMon- DfsrMgmt Résolution de Nom (DNS) Dnslint /ad « IP du DC » /s « IP du DNS » Dcdiag /test:DNS « nom du DC » Base NTDS.dit /Performance/Services Journaux d’événements (EventComb) Best practices analyzer depuis Windows 2008 R2 Sauvegarde de l’état du Système Repadmin /Showbackups Diagnostic général / Rôles FSMO /Synchronisation de temps Dcdiag /q /e Netdom query fsmo #mstechdays Infrastructure, communication & collaboration
  • PLANIFIER LA MIGRATION Maîtriser son projet #mstechdays Infrastructure, communication & collaboration
  • Prérequis d’installation de Windows Server 2012 • Hardware recommandé – 80 Go de disque système – 8 Go de RAM / X64 • Windows Edition – Standard ou datacenter – Core/Intermediate/full • Hyperviseur (Cloning DC/safe resotre) – Hyperviseur qui supporte VM-generationID • Prérequis promotion DC – Mode fonctionnel de la forêt Windows 2003 #mstechdays Infrastructure, communication & collaboration
  • Architecture et Préparation Contoso.com Contoso.com NewContoso.com #mstechdays • Gestion de capacité: DCs/RODCs/Virtualisati on • Créer le plan de migration • Identifier les applications à tester Infrastructure, communication & collaboration
  • Retour arrière • Sauvegarde de l’AD – System state + Système (Windows Server 2003/Windows Server 2008) – Bare Metal Recovery (Windows Server 2008 R2) • Forest Recovery – Plan détaillé de la reprise d’activité (Restauration totale de la forêt) – Plus d’info: http://aka.ms/W9714e #mstechdays Infrastructure, communication & collaboration
  • TESTER LA MIGRATION Assurer ses arrières #mstechdays Infrastructure, communication & collaboration
  • Construction d’un environnement de test Cet environnement doit être complètement isolé de la production et doit être supprimé à la fin des tests Méthode Avantages/Inconvénient Restaurer la sauvegarde d’un DC Physique/virtuel de chaque domaine vers une machine Physique/virtuelle de l’environnement de test - Ajout d’un DC Virtuel dans chaque domaine de la forêt de production et le déplacer vers l’environnement de test - #mstechdays - Avantage: Tester la validité de la sauvegarde AD de la production Inconvénient: Nécessite un matériel identique dans le lab (DC physique)/Nécessite l’existence d’un DC virtuel dans l’environnement (DC virtuel) Avantage: ne nécessite pas du matériel additionnel. Inconvénient: Pas de test de la sauvegarde. Il faut nettoyer le domaine de production (metadatacleanup: http://aka.ms/Lictx9 ) Infrastructure, communication & collaboration
  • MISE A JOUR DU SCHEMA Meilleures pratiques #mstechdays Infrastructure, communication & collaboration Design/UX/UI
  • DÉPLOYER Mise en production #mstechdays Infrastructure, communication & collaboration
  • Déploiement du premier du DC 2012/R2 1. Préparer/appliquer la GPO de compatibilité selon les résultats de vos tests 2. Ajout du rôles ADDS et promotion 3. Vérification de l’état de santé (voir slide 16) 4. Valider le bon fonctionnement des applications et de l’authentification 5. Effectuer des sauvegardes et des tests de restauration #mstechdays Infrastructure, communication & collaboration
  • Finaliser le déploiement des DCs 1. 2. 3. 4. Rétrograder les anciens DCs Vérifier le bon fonctionnement des applications Rétrograder le dernier DC Augmenter le niveau fonctionnel du domaine et de la forêt 5. Activer les nouvelles fonctionnalités (Migrer la réplication du SYSVOL: http://aka.ms/Bd8ds5 ) 6. Mettre à jour les procédures opérationnelles et le plan de reprise d’activité #mstechdays Infrastructure, communication & collaboration
  • Conclusion • La Migration de l’Active Directory est un projet et non pas une simple tâche d’administration • Connaître son environnement pour mieux gérer les problèmes connus • Faire des tests pour éviter les mauvaises surprises #mstechdays Infrastructure, communication & collaboration
  • Ressources Migrating Active Directory to Windows Server 2012 R2 (TechNet Virtual Labs) http://go.microsoft.com/?linkid=9842894 Mettre à niveau des contrôleurs de domaine vers Windows Server 2012 http://technet.microsoft.com/fr-fr/library/hh994618.aspx Microsoft Virtual Academy – Windows Server 2012 http://www.microsoftvirtualacademy.com/colleges/WindowsServer2012#?fbid=2Ye31l k87rC Configuration requise et informations d’installation pour Windows Server 2012 R2 http://technet.microsoft.com/fr-fr/library/dn303418.aspx Windows Server 2012 : modifications apportées par Adprep.exe http://technet.microsoft.com/fr-fr/library/hh994609 Installer et déployer Windows Server 2012 http://technet.microsoft.com/fr-fr/library/hh831620 Présentation des niveaux fonctionnels des services de domaine Active Directory http://technet.microsoft.com/fr-fr/library/understanding-active-directory-functionallevels(v=WS.10).aspx #mstechdays Infrastructure, communication & collaboration
  • Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Réagissez sur #mstechdays Merci de nous aider à améliorer les Techdays ! #mstechdays Infrastructure, communication & collaboration
  • Digital is business
  • Pour aller plus loin… http://aka.ms/MVA Offre spéciale TechDays limitée aux 200 premières demandes, 1 pack par individu http://aka.ms/jeveuxwindows2012 Approfondissez Microsoft System Center 2012 Agenda des séminaires techniques pour les IT Pros : http://aka.ms/itcamps-france Agenda des séminaires fonctionnels pour les décideurs : http://aka.ms/TDI #mstechdays http://aka.ms/jeveuxmoncloudprive http://aka.ms/free/trial Infrastructure, communication & collaboration