Your SlideShare is downloading. ×
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et principales évolutions au sein de Windows Server 2008 R2
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Techdays 2009 - Active Directory Domain Services : bonnes pratiques et principales évolutions au sein de Windows Server 2008 R2

4,812

Published on

Active Directory Domain Services est au cœur des fonctionnalités de sécurité, d’administration et d'interopérabilité de la plateforme Microsoft Windows Server. De nombreuses nouveautés sont apparues …

Active Directory Domain Services est au cœur des fonctionnalités de sécurité, d’administration et d'interopérabilité de la plateforme Microsoft Windows Server. De nombreuses nouveautés sont apparues avec Windows Server 2008 : contrôleur de domaine en lecture seule, audit, politiques de mot de passe multiples, sauvegarde et restauration en mode cliché… Cette session permettra d'aborder les bonnes pratiques en ce qui concerne leurs implémentations et de présenter les nouveautés qui arriveront avec Windows Server 2008 R2. Une session à ne pas manquer pour assurer la réussite de vos migrations.

Published in: Technology
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,812
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
5
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • 06/07/09 23:05 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  • Transcript

    • 1. Active Directory Domain Services : bonnes pratiques et principales évolutions au sein de Windows Server 2008 R2 Christophe Dubos / Fabrice Meillon Architectes Infrastructure Microsoft France
    • 2. Agenda
      • Windows Server 2008 Active Directory Domain Services (ADDS)
      • Migrer vers Active Directory 2008
        • Bonnes pratiques et retours d’expérience
      • Quoi de neuf avec R2
    • 3.
      • Windows Server 2008
      • Active Directory Domain Services
    • 4. Active Directory Domain Services On ne change pas une équipe qui gagne
      • Active Directory est le référentiel de stockage des données d’identité et applicatives au cœur de l’offre Microsoft et de nombreux éditeurs
        • Sa large adoption impose des évolutions dont l’impact doit être limité
      • Les notions introduites avec Windows 2000 et pérennisées par Windows Server 2003 demeurent
        • Foret, Domaine, Site, Liens, OU, KDC, KCC, GC, GPO…
      • La migration vers 2008 est dans les grandes lignes identique à cell e vers 2003
        • Migration directe depuis Windows 2000 supportée
      • Les investissements continuent avec la R2
    • 5. Les objectifs de Windows Server 2008
      • Disposer de mécanismes permettant une installation granulaire d’Active Directory
      • Elever le niveau de sécurité
      • Améliorer la prise en charge des serveurs distribués géographiquement (agences)
      • Optimiser la consommation de bande passante
    • 6. DCPROMO dans Windows Server 2008
      • Support du server core
      • Utilise les ‘crédentiels’ de l’utilisateur connecté pour la promotion
      • Sélection des rôles : DNS (défaut), GC (défaut), RODC
      • Mode avancé (/adv)
        • Sélection du site (par défaut : auto-détection)
        • Réplication AD durant la promotion: DC particulier, n’importe quel DC, média (sauvegarde AD)
      • Auto-installation et configuration du serveur et client DNS
      • Création et configuration des délégations DNS
    • 7. Elever le niveau de sécurité
      • Authentification
        • Support d’AES 256 bits pour Kerberos
        • Envoi du certificat du DC lors de PKINIT (stapling)
        • Stratégies de mots de passe multiples
      • Autorisations
        • Gestion plus granulaire des droits des propriétaires - Owner Access Right
        • Application plus efficace des politiques de mots de passe
        • Accès aux données sensibles - Confidentiality Bit
      • Audit
        • Modularité de mise en œuvre plus fine
        • Ajout des champs “ancienne valeur” et “nouvelle valeur” au sein des événements
    • 8. Stratégies multiples de mots de passe Password Settings Object PSO 1 Password Settings Object PSO 2 Precedence = 10 Precedence = 20 Applies To Applies To Applies To ResultantPSO = PSO1 ResultantPSO = PSO1
    • 9. Stratégies de mots de passe multiples (FGPP)
    • 10. Stratégies de mots de passe multiples Guide pas à pas
    • 11. Modèle de menaces sur le contrôleur de domaine
    • 12. Contrôleur de domaine en lecture seule (Read Only Domain Controller)
      • Réduire la surface d’exposition des DC
      • Réduire l’impact sur les utilisateurs et le reste de l’infrastructure Active Directory en cas de compromission ou de vol d’un DC
        • La copie locale de l’annuaire de chaque RODC est en lecture seule (droits en écriture très limités)
        • Réplication unidirectionnelle AD, FRS/DFS-R et DNS
        • Chaque RODC dispose de son propre compte KDC KrbTGT (identique à serveur membre)
        • Les comptes machines des RODC n’appartiennent pas aux groupes “Enterprise DC” et “Domain DC” mais à un groupe spécifique « Read-only Domain Controllers »
        • Un RODC ne stocke pas de condensés de mot de passe (hors Administrateur local et compte de machine) et autres attributs sensibles
    • 13. Read-Only DC Authentification
      • AS_Req vers le RODC (requête pour TGT)
      • RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur"
      • Transmet la requête vers un DC Windows Server 2008
      • Le DC Windows Server 2008 authentifie la demande
      • Renvoi la réponse et la TGT vers le RODC (Hub signed TGT)
      • RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels
      • Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué
    • 14. RODC
    • 15. Politique de réplication des mots de passe
      • Pas de mise en cache des comptes (défaut)
      • La plupart des comptes sont cachés
      • Quelques comptes sont cachés (comptes en agence)
    • 16. Active Directory Domain Services Administration
      • Séparation des rôles d’administration sur les RODC
      • Active Directory sous forme de service
        • Réduction de l’indisponibilité planifiée liée aux opérations de maintenance
      • Editeur d’attributs
        • Modification possible de l’ensemble des informations sans outils tiers ou ADSIEDIT
      • Protection contre les suppressions accidentelles
        • OOOups, qui a supprimé l’OU Users ????
      • Snapshot Viewer
        • J’ai retrouvé l’OU Users !!!!
      • Administration des stratégies de groupe avec GPMC
    • 17. Séparation des rôles d’administration (uniquement valable sur les RODC)
      • Le nombre d’administrateurs du domaine est souvent trop important
        • Dans la plupart des cas ce niveau de privilège n’est nécessaire que de manière locale
      • Windows Server 2008 fournit un nouveau niveau d’accès “local administrator” pour chaque RODC
        • Intègre tous les Builtin groups (Backup Operators, etc)
        • Empêche les modifications accidentelles d’Active Directory par les administrateurs locaux
        • N’empêche pas les modifications intentionnelles de la base locale par les administrateurs locaux
    • 18.  
    • 19. Nouveautés AD Administration
    • 20.
      • Migrer vers Active Directory 2008
      • Bonnes pratiques et retours d’expérience
    • 21.
      • Depuis Windows NT 4.0
        • Il n’est plus possible de migrer depuis cet environnement
      • Depuis Windows Server 2000
        • L’ensemble des contrôleurs doivent être en Service Pack 4
        • Certaines nouvelles fonctionnalités/changements nécessitent des opérations spécifiques avant le mise à jour des contrôleurs
        • L’utilitaire ADPREP de Windows Server 2008
          • Doit être exécuté une fois par forêt ADPREP /FORESTPREP
          • Doit être exécuté une fois par domaine ADPREP /DOMAINPREP
      • Depuis Windows Server 2003
        • Processus et pré requis identiques à ceux de d’une migration depuis en environnement 2000
      Migration ADDS - Généralités
    • 22. Active Directory Domain Services Migration des domaines Windows 2000 natif Windows 2003 mixte Windows 2003 mixte Windows 2003 natif Windows 2003 natif Windows 2008 Automatique lors de l’intégration du premier DC 2008 Manuel après suppression du dernier DC 2000 ou 2003 Windows 2000 natif
    • 23. Active Directory Domain Services Migration des forêts Windows 2000 Windows 2000 Windows 2008 Automatique lors de la migration du premier domain 2008 Manuel après suppression du dernier domaine 2000 ou 2003 Windows 2000 Windows 2003 Windows 2003 A B C Windows 2000
    • 24. Migration - ADPREP /FORESTPREP
      • Mise à jour du Schéma
        • Doit être exécuté sur le FSMO Schema Master après y avoir stoppé la réplication
        • Ne génère pas de synchro complète des GC en environnement 2000
          • Le Partial Attribute Set est modifié lorsque la forêt passe en mode natif 2003 ou 2008
        • Indexation d’un nombre de nouveaux attributs
          • Les indexes sont construits localement sur chaque DC lorsque les modifications du Schéma sont répliquées
        • Génère un faible trafic de réplication
        • La taille du fichier NTDS.DIT augmente
      • Création d’un container spécial après la m.à.j.
        • CN=Windows2003Update,CN=ForestUpdates,CN=Configuration,DC=<forest_root_domain>
    • 25. Migration - ADPREP /DOMAINPREP
      • Doit être exécuté sur le FSMO Infrastructure Master de chaque domaine
      • Création de nouveaux objets dans le domaine
      • Modification d’un nombre restreint d’ACL pour activer de nouvelles fonctionnalités
      • Impact sur les contrôleurs difficilement mesurable
        • Trafic réseau minime
        • Aucun impact sur les performance des DC ou la taille de la base
      • Création d’un container spécial après la m.à.j.
        • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<domain>
    • 26. Read-Only DC - Déploiement
        • S’assurer que la forêt est en mode fonctionnel 2003 minimum
          • Au minimum un DC en lecture-écriture doit être en version 2008
        • Le premier DC de la forêt ainsi que de chaque domaine ne peut pas être un RODC
      • Limitations
        • Les FSMO ne peuvent pas être des RODC
        • Les serveurs tête de pont ne peuvent pas être des RODC
      • Coexistence
        • DC Windows Server 2003 et 2008 en lecture-écriture et RODC peuvent coexister au sein du même site
        • Plusieurs RODC d’un même domaine ou de différents domaines peuvent coexister au sein du même site
    • 27. Active Directory Migration Tool 3.1 Utilitaire de migration
      • Utilitaire de migration/consolidation
        • Source: domaines Windows 2000*, 2003 et 2008
        • Destination: domaines Windows 2003 et 2008
      • Disponible depuis mi 2008
      • Migration des mots de passe
      • Mode ligne de commande
      • Scriptable via Interface COM
      • Plus de souplesse au niveau des options de transition des comptes, ex: changement de nom
      • Reconfiguration des ACL des ressources
      • Reporting
    • 28. Réplication Sysvol différentielle (DFS-R) Migration de SYSVOL - Les différents états FRS FRS DFSR DFSR REDIRECTION REDIRECTED START PREPARED ELIMINATED PREPARATION SYNCHRO INITIALE SUPPRESSION DFSR FRS
    • 29. Migration de SYSVOL - Les étapes
      • Bascule du niveau fonctionnel AD vers 2008
      • Vérification de l’état de la réplication AD
          • REPADMIN /REPLSUM
      • Migration vers l’état PREPARED
          • DFSRMIG /SETGLOBALSTATE 1
      • Surveillance atteinte état PREPARED (sur chaque DC)
          • DFSRMIG /GETMIGRATIONSTATE
      • Migration vers l’état REDIRECTED
          • DFSRMIG /SETGLOBALSTATE 2
      • Surveillance atteinte état REDIRECTED (chaque DC)
          • DFSRMIG /GETMIGRATIONSTATE
      • Migration vers l’état ELIMINATED
          • DFSRMIG /SETGLOBALSTATE 3
    • 30.
      • Quoi de neuf avec
      • Windows Server 2008 R2
    • 31. Active Directory Domain Services 2008 R2
      • Améliorations des outils d’administration
      • Récupération des objets supprimés
      • Intégration des machines au domaine en mode non connecté
      • Meilleure gestion des comptes de services
      • Identification de la méthode d’authentification
    • 32. Administration, configuration et diagnostique en mode ligne de commande
      • Bref rappel historique
        • Plus de 30 outils mode ligne de commande permettant d’administrer Active Directory sans cohérence globale
        • Combinaison complexe de ces outils pour accomplir des taches complexes
      • L’essentiel à retenir « Powershell pour Active Directory »
        • Plus de 85 cmdlets permettant une administration et une configuration complète de AD DS et AD LDS
        • Interaction avec Active Directory via un Web Service
        • Peut être utilisé pour administrer des environnements Windows Server 2003 et 2008, au moyen d’un futur composant Web Service disponible en téléchargement
    • 33. Administrative Center pour Active Directory Productivité accrue des exploitants via l'utilisation d'une interface d'administration performante et simplifiant l'accès aux taches usuelles
      • Bref rappel historique
        • L’interface de la MMC ne permet pas de réaliser de manière simple et efficace certaines tâches d’administration
          • Exemple: ré-initialisation de mot de passe
        • L’ergonomie de la MMC n’est pas adaptés au traitement de volumes de données importants
      • L’essentiel à retenir
        • Les tâches sont exécutées via des Cmdlets PowerShell
        • Le modèle d’administration est défini en fonction des tâches, supportant d’importants volumes de données
        • Similitude complète entre les capacités d’administration en mode ligne de commande et en mode graphique
        • Capacités de navigation conçues pour des environnements multi-domaines et multi-forêts
    • 34. Best Practice Analyzer
      • Périmètre initial centré sur les problématiques DNS
        • Vérification que les enregistrements SRV des DCs sont présents
        • Vérification que les enregistrements A/AAAA des DCs sont présents
        • Vérification que chaque DC dispose d’un nom d’hôte valide
        • Vérification que les rôles FSMO Schema Master et Domain Naming Master sont hébergés sur le même DC
        • Vérification que les rôles FSMO RID Master et PDC Emulator sont hébergés sur le même DC
        • Recommandation que chaque domaine dispose au moins de deux DCs
    • 35. Corbeille AD Objet Objet supprimé Objet recyclé Objet Tombstone 180 Jours 180 Jours 180 Jours Objet physiquement supprimé (Garbage collection) Objet physiquement supprimé (Garbage collection) Objet Windows Server 2008 et versions antérieures Windows Server 2008 R2 - Corbeille activée Lorsque la corbeille n’est pas activée le comportement est identique à celui de Windows Server 2003 Contrôle LDAP étendu OID 1.2.840.113556.1.4.417 Contrôle LDAP étendu OID 1.2.840.113556.1.4.2064 Donne accès aux objets Tombstones Donne accès aux objets supprimés et recyclés Donne accès aux objets Supprimés
    • 36. Ajout au domaine en mode hors-ligne P rovisioning simplifié des machines au sein du datacenter
      • Bref rappel historique
        • Un redémarrage est nécessaire après l’ajout d’une machine à un domaine pour prise en compte
        • Impossibilité de préparer les machines pour leur permettre de rejoindre un domaine en mode hors-ligne
      • L’essentiel à retenir
        • Capacité de pré-créer les comptes de machines au sein du domaine afin de préparer les images système lors de déploiements d’images en masse
        • Les machines rejoignent le domaine au premier redémarrage
        • Réduction des étapes et du temps nécessaire au déploiement
    • 37. Administration simplifiée des comptes de service
      • Bref rappel historique
        • La gestion des comptes de service est fastidieuse
        • Les opérations de maintenance fréquentes peuvent engendrer des indisponibilités
          • Exemple: ré-initialisation du mot de passe d’un compte de service
        • La mise en place de la politique de sécurité est rendue plus complexe ou limitée dans son périmètre
      • L’essentiel à retenir sur « Managed Service Accounts »
        • Une solution d’administration permettant d’adresser les besoins d’isolation des comptes de services
        • Un compte de service administré (MSA) par service par machine
        • Gestion améliorée des Service Principal Names (SPN) en mode fonctionnel Windows Server 2008 R2 au niveau domaine
        • Amélioration du TCO via une réduction des indisponibilités et de la charge d’administration
    • 38. Authentication Assurance Permettre aux applications de contrôler l'accès aux ressources en fonction du type et de la force de la méthode d'authentification
      • Bref rappel historique
        • Impossible d’utiliser le type d’authentification ou sa force afin de protéger les données de l’entreprise
          • Exemple: contrôler l’accès aux resssources en fonctions d’informations telles que l’utilisation d’une carte à puce ou le fait que le certificat utilisé avait une clé publique de 2048 bits
      • L’essentiel à retenir sur « Authentication Assurance »
        • Les administrateurs peuvent faire correspondre différentes propriétés, dont le type d’authentification ou sa force avec une identité
        • En fonction des informations fournies lors de l’authentification, ces identités sont ajoutées au ticket Kerberos pour être utilisées par les applications
        • Fonctionnalité disponible dans le nouveau niveau fonctionnel Windows Server 2008 R2
    • 39. ADDS - Niveau de fonctionnalité pour les domaines Niv. Fonctionnalités activées DC 2000 Installation depuis un support (IFM) Mise en cache des groupes Universel Partitions applicatives Imbrication des groupes Groupe de type Universel SIDHistory 2000 2003 2008 2008 R2 2003 Ensemble des fonctionnalités du mode 2000, plus Changement de nom des contrôleurs de domaine Mise à jour attribut LastLogonTimestamp Délégation contrainte Kerberos Selective Authentication accross Forest Trusts Mot de passe utilisateur pour inetOrgPerson Redirection des containers Users & Computers Stockage des information Authorization Manager 2003 2008 2008 R2 2008 Ensemble des fonctionnalités du mode 2003, plus Réplication DFS-R du contenu de SYSVOL Last Interactive Logon information (time, station, failed logons) Fine-Grained Password Policy (FGPP) AES 128 et 256 pour Kerberos 2008 2008 R2 2008 R2 Ensemble des fonctionnalités du mode 2008, plus Authentication Insurance Gestion des comptes de services 2008 R2
    • 40. ADDS - Niveau de fonctionnalité pour les forêts Niv. Fonctionnalités activées DC 2000 Toutes sauf celles qui nécessite le mode 2003 ;-) 2000 2003 2008 2008 R2 2003 Ensemble des fonctionnalités du mode 2000, plus Changement de nom des domaines Relations d’approbation inter forets Réplication LVR (Linked Value Replication) Amélioration KCC-ISTG (Inter Site Topology Generator) Classes auxiliaires dynamiques Modification de la classe User en inetOrgPerson et vice-versa Dé/réactivation au sein du schéma Intégration des RODC (Read-Only Domain Controller) 2003 2008 2008 R2 2008 Ensemble des fonctionnalités du mode 2003, plus Aucune ;-) à l’exception du fait que tout nouveau domaine est en mode 2008 2008 2008 R2 2008 R2 Ensemble des fonctionnalités du mode 2008, plus Corbeille AD 2008 R2
    • 41. ADDS dans Windows Server 2008 et R2
      • Installation
        • Nouvel assistant de promotion en contrôleur de domaine
        • Prise en charge du mode Server Core
        • Intégration hors ligne des clients
      • Sécurité
        • Authentification, autorisations et audit
        • Contrôleur de domaine en lecture seule
        • « Authentication Insurance »
      • Administration
        • Active Directory sous forme de service
        • Protection contre les suppressions accidentelles
        • Corbeille AD
        • Powershell, AD Administrative center, Best Practice Analyser
        • Gestion des comptes de service
      NEW! NEW! NEW!
    • 42.  
    • 43. © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Votre potentiel, notre passion TM

    ×