SlideShare a Scribd company logo

Alphorm.com Formation Active Directory 2022 : Multi Sites et Services

Alphorm
Alphorm

Cette formation permet de maitriser la gestion entre plusieurs serveurs AD, comprendre la topologie de réplication, et être capable d'implémenter l'architecture adéquate pour répondre aux besoins et faire face aux exigences. A l'issue de la formation vous seriez capable de gérer et simplifier le déploiement et la gestion de l’infrastructure et à fournir des accès plus sécurisés au contrôleur du domaine de n’importe quel endroit. Vous apprendriez à configurer quelques fonctionnalités clés d’Active Directory, telles que les services de domaine Active Directory, et découvrir tous les types de contrôleur du domaine.

Technology
1 of 152
Download to read offline
Formation Active Directory Multi Sites et Services Une formation Mehdi DAKHAMA
Cycle de formations Microsoft Server Installation et Configuration de base Configuration et Bonnes Pratiques Multi-Site et Service Diagnostique et Troubleshooting Optimisation et Sécurisation avec l'Architecture N-Tier DHCP RDS DNS IIS CA… Audit AD Administration AD Windows Server Sécurité AD
Une formation Introduction 1. Introduction à la Haute Disponibilité d’AD 2. Déploiement de contrôleur de domaine 3. Planification et implémentation des sites Conclusion Plan de la formation
Dans cette formation nous allons apprendre à gérer, manipuler plusieurs Contrôleurs de domaine Active Directory, planifier, et mettre en place une architecture Multi-Maitres et Multi-Sites sécurisée et fonctionnelle en respectant les bonnes pratiques et recommandations Introduction
Plan d'action Configuration et sécurité d'un Serveur Topologie et gestion de plusieurs DC
Une formation Public concerné Administrateurs système et réseaux Consultants / Architectes Système Techniciens système et réseaux Etudiants BTS SIO / Bachelor / Master Formateurs / Enseignants Système Curieux désirant découvrir le service AD
Une formation Connaissances requises
Présentation du Lab Une formation Mehdi DAKHAMA
Prérequis ateliers Serveur Hyper-V
Machine Conf Minimal Serveur sous Hyper-V ou VSphere 5 VMS 16 GO de RAM (minimum) I3 ou plus 60 GO espace disque SSD ou Nvme Iso Windows server Prérequis matériels
Rappel des prérequis Une formation Mehdi DAKHAMA
L’ancienne infrastructure
Machines Infos DC-1 IP : 192.168.10.10 Passerelle : 192.168.10.1 DNS : 192.168.10.10 PC-1 IP : 192.168.10.50 WAN LAN 192.168.10.0 /24 Comptes Rôles Mehdi Membre admin du domaine tech1  Délégation ajout des machines  Groupes restreints L’ancienne infrastructure
Comprendre et gérer les maîtres des opérations FSMO Une formation Mehdi DAKHAMA
Une formation Rappel des Rôles FMSO Planification du placement des maîtres des opérations Plan
Le modèle multi-maître
Une formation Le modèle multi-maître Active Directory est une base de données multi-maitres qui offre la possibilité d’autoriser les modifications à se produire sur n’importe quel dc de l’entreprise Chose qui peut induire aux conflits, pouvant potentiellement entraîner des problèmes une fois que les données sont répliquées dans le reste de l’entreprise
User 1 Mdp : info1 User 1 Mdp : info
User 1 Mdp : info1 User 1 Mdp : info
Une formation Le modèle Mono-maître Pour éviter les mises à jour et changements conflictuelles dans Windows, Active Directory effectue des mises à jour de certains objets de manière mono-maître Le modèle à maître unique permet à un seul dc dans l’ensemble du répertoire de traiter les mises à jour Active Directory étend le modèle à maître unique présent dans les versions antérieures de Windows pour inclure plusieurs rôles et la possibilité de transférer des rôles vers n’importe quel dc dans l’entreprise Comme un rôle Active Directory n’est pas lié à un seul dc, il est appelé rôle FSMO
Le modèle Mono-maître User 1 Mdp : info1 User 1 Mdp : info Serveur Maitre
Les différents Rôles Les rôles (FSMO) assurent une bonne coordination entre les différents contrôleurs du domaine De nombreux termes sont utilisés pour les opérations à maître unique dans AD DS, notamment Maître d’opérations (ou rôle maître d’opérations) Rôle de maître unique Opérations à maître unique flottant (FMSO)
Une formation Maitre de schéma Le titulaire du rôle FSMO du maître de schéma est le responsable des mises à jour du schéma d’annuaire Il est unique dans une forêt, il doit être configuré sur un DC protégé, seuls les membres d'admins du schéma peuvent modifier le schéma Les DCS et les membres de la forêt contactent uniquement le rôle FSMO lors de la mise à jour du schéma
Maitre de schéma
Une formation Attribution de noms de domaine Le dc titulaire du rôle est le seul à pouvoir ajouter ou supprimer un domaine dans l’annuaire Il peut également ajouter ou supprimer des références croisées à des domaines dans des répertoires externes Il n'est sollicité que lors d'une modification apportée à l’espace de noms de domaine Il est recommandé de le mettre sur le DC protégé
Présenter les rôles RID et PDC Une formation Mehdi DAKHAMA
Une formation Présentation du Maitre RID Le titulaire du rôle FSMO maître RID est le seul responsable du traitement des demandes de pool RID à partir de tous les DCs au sein d’un domaine donné Il est également responsable de la suppression d’un objet de son domaine et de son déplacement dans un autre domaine Chaque DC possède son propre pool RDI unique, le Maitre RID n'est contacté que lorsque ce pool atteint son seuil Il n'est sollicité qu'en création d'un nouveau DC
Une formation Maitre RID Lorsqu’un DC crée un objet principal de sécurité, tel qu’un utilisateur ou un groupe, il joint un ID de sécurité unique (SID) à l’objet Ce SID se compose des Un SID de domaine identique pour tous les SID créés dans un domaine ID relatif (RID) unique pour chaque SID principal de sécurité créé dans un domaine
Maitre RID
Une formation Maitre d'émulateur PDC L’émulateur PDC fait autorité pour le domaine Il doit être configuré pour collecter l’heure à partir d’une source externe Il est nécessaire pour synchroniser le temps dans une entreprise et requis par le protocole d’authentification Kerberos Toutes les machines d’une entreprise utilisent un temps commun L’objectif du service de temps est de s’assurer que le service Windows temps utilise une relation hiérarchique qui contrôle l’autorité Il n’autorise pas les boucles pour garantir une utilisation courante appropriée
Une formation Maitre d'émulateur PDC - Suite Le DC ayant le rôle PDC doit être joignable par toutes les machines du domaine incluant les serveurs et postes d'utilisateurs Si le PDC est injoignable durant un bon moment, l'ouverture de session peut échouer sur les DC en raison de décalage horaire trop important Le changement des MDPs entre DC des sites distant pourra être plus lent, et avoir des conflits
Emulateur PDC
User 1 Mdp : info1 RID SID
Une formation Résumé La planification et déploiement des rôles FSMO sont des éléments importants pour assurer le bon fonctionnement et la sécurité d'un domaine AD Certains rôles doivent être sur des serveurs protégés, selon le besoin les rôles peuvent être dispatchés sur deux ou plusieurs serveurs
Découvrir la Haute Disponibilité sous AD Une formation Mehdi DAKHAMA
Une formation La Haute Disponibilité sous AD Les bonnes pratiques Les avantages et limites Plan
La haute disponibilité sous AD (Mythe ou réalité) ?
Une formation Principe de HA dans l'AD Active Directory joue un rôle essentiel dans une infrastructure sous environnement Microsoft, il permet d'authentifier et d’accorder l'accès à travers les tickets (jetons Kerberos) aux différents services Il est alors important de maintenir ce processus, et veiller à ce que l'annuaire reste disponible et accessible La Haute Disponibilité permet de protéger les systèmes contre les interruptions de service et la perte de données
Risque d'un mono serveur En cas d'indisponibilité du serveur principal, tous les services sont interrompus notamment la gestion d'identité
Une formation Présentation du HA Il est important d'implémenter la HA disponibilité du serveur d'annuaire AD, afin d'assurer et de garantir le bon fonctionnement de tous les services Plusieurs scénarios sont possibles, selon le résultat souhaité Mettre en place plusieurs DC Mettre en place un NLB Mettre en place un Cluster
Implémentation du HA La mise en place de plusieurs DC est recommandée par Microsoft pour assurer la continuité des services (authentification, applications des GPOs, résolution des requêtes DNS….) Plusieurs DC ne garantissent pas la HA s'ils ne sont pas bien configurés Serveur DC-1 Serveur DC-2
Bon à savoir Si les machines sont configurées en dur pour pointer vers un DC (Script BAT, Lecteur réseau, DNS) certains services risquent d'être inaccessible Serveur DC-1 Serveur DC-2 DC HS ou inaccessible
Bon à savoir Si les DCs détenant des rôles FSMO important restent injoignable pendant un certain temps, l'authentification et les services risquent d‘être interrompus PC-2 PC-2 Les nouvelles machines ne pourront pas synchroniser le temps Authentification refusée Réplication corrompue
Mauvaise pratique Si un DC détenant un rôle important est inaccessible, ses rôles ne sont pas transférés automatiquement, ni répartis sur d'autres DCs, aucun DC ne pourra alors assurer ses fonctionnalités et des conflits risquent d'apparaitre La Haute Disponibilité n'est pas opérationnelle quand on sollicite un rôle inaccessible Si le DC HS ne détient aucun rôle, la Haute Disponibilité est alors maintenue
Implémentation du NLB La mise en place de la répartition des charges est inutile sur des DCs, vu que ces derniers la font automatiquement est authentifie une fois / nbrs DC Si Si Si Si Si Si PC-2 NLB Répartition des charges Charges répartie deux fois, créant un problème de réplication
Mise en place d'un Cluster Le cluster est la meilleure solution garantissant la Haute Disponibilité de tous les services et rôles d'annuaire AD, cependant sa mise en place et son maintien sont coûteux pour les entreprises Cette solution ne garantit pas le bon fonctionnement en cas de conflit ou mauvaise configuration au sein d'un DC DC-1 PC-2
Limites du Cluster DC-1 PC-2 Forcer un protocole d'authentification sur le DC1, ou faire un mauvais durcissement empêchera le bon fonctionnement de l'AD Il est possible de relancer le DC si un service tombe, ou avoir une alerte
Résumé La Haute Disponibilité sous AD est une combinaison entre Architecture, infrastructure, répartition des rôles, et surveillance
Planifier le déploiement d'un deuxième DC Une formation Mehdi DAKHAMA
Une formation La mise en place d'un deuxième AD Même si la mise en place d'un deuxième AD (DC) est une chose simple, une mauvaise gestion pourra ralentir et compromettre le bon fonctionnement des services AD La planification à comme objectif d'améliorer et évoluer les services dans le temps, une étude préalable est ainsi nécessaire
Les étapes de planification Etude et planification Etude et planification Analyse et diagnostic du présent Analyse et diagnostic du présent Recensement Recensement Configuration et Mise en place Configuration et Mise en place Recette et Documentation Recette et Documentation Teste et Validation Teste et Validation
Une formation Les étapes de planification Les Licences et versions ? Quel rôle FSMO sera déployé ? Quel ressource a attribuer ? Taille de disque? Quel Rôles seront installés ? Quel adresse IP ? Pré-configuration DNS ? Convention de nommage ? NTP ? Azure AD ? Qui peut se connecter ? Script pointant vers un Serveur en dur ?
Une formation Licences et versions Vérifier la compatibilité entre les différentes versions présentes Choisir l'homogénéité du parc (exp : 2016, 2019, 2022, 2024 ….) Vérifier les licences CAL user pour l'authentification des services
Une formation Ressources à allouer Processeur, RAM, Carte réseau, VM ou cloud … Taille du disque (investigation nettoyage exp logues, sysvol)
Rôle FSMO Etudier au préalable et identifier le rôle à installer ainsi que la position du serveur (Sites et sous réseaux) Quel rôle supplémentaire sera installé sur le DC
Adresse IP L'adresse IP est à déterminer avant le déploiement Il est recommandé de laisser un creux @IP entre serveur pour des tâches de maintenance et post migration (Upgrade …) 192.168.10.10 192.168.10.12 192.168.10.14
Nommage, restriction Les noms des serveurs devront suivre une logique et être compréhensibles Mettre des noms de DC incompréhensibles ne cachera pas le netbios et ne protègera pas les serveurs (exp : Zeus, Xena, Hercules, Snoopy) Définir qui peut ouvrir une session sur quel DC selon le rôle (exp ; restreindre les admins du schéma sur le DC-M1) DC-M1 DC-M2 DC-M3
Etat de santé Il est très important de valider et vérifier l'état du santé des DC en place, et la réplication avec des commandes de base et en se servant des logs DCDIAG Repadmin Eventview Best Practice Analyzer DC-M1
Voir le fonctionnement de la réplication AD Une formation Mehdi DAKHAMA
Une formation Rôle DNS Le DNS associé à l'AD formant ainsi le DC, permet outre la résolution des noms de domaine externe (du coup accès à internet), de localiser les contrôleurs de domaine qui hébergent le service d'annuaire Le DNS est nécessaire pour le mécanisme d'authentification L'ordre DNS garantie un bon fonctionnement des services AD (AAA) et gestion d'identité, il est responsable des réplications et permet de répondre efficacement à des requêtes de recherche
Mauvaises pratiques Mettre un DNS externe tel que Google 8.8.8.8 est une mauvaise pratique, impliquant un dysfonctionnement et engendreront des latences dans la résolution des noms et d’authentification ainsi que l'ouverture de session Laisser le deuxième AD auto configuré sans anticiper la configuration du premier AD ou ceux déjà présent est un manque de maitrise avec un réel impact sur le fonctionnement DNS : 192.168.10.10 DNS 1 : 192.168.10.10 DNS 2 : 192.168.10.12 DNS auto configuré sur AD2
Ordre DNS pour deux DC Quand il s'agit de deux contrôleurs de domaine, la recommandation et l'ordre sont simples, souvent on inverse les @ IP des DC, cela a pour objectif d'accélérer les recherches et requêtss non aboutis DNS 1 : 192.168.10.12 DNS 2 : 127.0.0.1 DNS 1 : 192.168.10.12 DNS 2 : 192.168.10.10 Méthode 2 Méthode 1
Comment ça se passe ? Quand un contrôleur de domaine ne trouve pas de résultat ou confus, il interroge les DC présent dans ses paramètres DNS selon l'ordre choisi, il ne validera le résultat qu'une fois toutes les requêtes sont retournées par les DC ou qu'un DC de la liste valide la requête PS : Contrairement à ce qu'on croit l'ordre DNS n'agit pas sur l'ouverture de session, on ne peut pas forcer l'ouverture de session sur un DC à partir d'un ordre DNS déployé par DHCP PC-2
Mécanisme DNS - AD Méthode 1 1. PC 1 : envoie une requête de recherche sur User3 2. DC 1 : ne trouve pas l'user3 dans sa base, va interroger DC2 3. DC 2 : retournera le résultat s'il trouve ou pas user3 4. DC 1 : attend la réponse du DC2 5. DC 1 : répond à la requête du PC1 PC-2 DNS 1 : 192.168.10.10 DNS 2 : 192.168.10.12 2 3 1
Mécanisme DNS - AD Méthode 2 1. PC 1 : envoie une requête de recherche sur User3 2. DC 1 : envoie une requête à DC2 et initie les recherches sur soit meme 3. DC 2 : retournera le résultat s'il trouve ou pas user3 4. DC 1 : peut confirmer le résultat 5. DC 1 : répond à la requête du PC1 PS : Cette méthode est potentiellement plus sûr et plus rapide pour deux DC PC-2 DNS 1 : 192.168.10.12 DNS 2 : 192.168.10.10 2 3 1
Mécanisme DNS - AD Cas conflit Si l'user3 est créé en même temps sur le DC1 au moment que le DC2 est entrain de répondre à la requête, en consultant l'event, le DC sera au courant du changement et validera la requête avant de la retourner PC-2 DNS 1 : 192.168.10.12 DNS 2 : 192.168.10.10 2 3 1
Cas de plusieurs DC PC-2 Le grand problème se pose en cas de présence de plusieurs DC sur le même site, l'ordre est souvent aléatoire ou négligé par la plupart des entreprises
Fonctionnement Quand il s'agit de plusieurs DC, il est préférable de mettre le PDC et le DC concerné en dernière position PC-2 DC-1 Tous les rôles DC-2 (PDC-RID) DC-3 DC-4
Le client interroge le DC-1 par rapport user3 DC-1 ne trouve pas de réponse et interroge le DC-3 et DC-4 Il interrogera le (PDC) avant dernier (cela garantira qu'il sera au courant de tout changement) DC-1 répondra à la requête du PC-2 PC-2 DC-1 Tous les rôles DC-2 (PDC-RID) DC-3 DC-4 Ordre DNS /TCP DC-3 DC-4 DC-2 DC-1 Fonctionnement - Suite
Bonne pratique Il est préférable de toujours effectuer les modifications sur le DC (PDC), cela réduira les erreurs en cas de problème de réplication entre DC, ou si plusieurs modifications sont faites en même temps PC-2 DC-1 Tous les rôles DC-2 (PDC-RID) DC-3 DC-4
Vérifier le recensement du DC Une formation Mehdi DAKHAMA
Vérifier les GPOs présents dans le DC Il est important de vérifier les GPOs, Sources et scriptes pointant en dur sur un DC, cela permet d'optimiser la répartition des charges et la Haute disponibilité Une formation
Exemple du code PC-2 PC-2 PC-2
Déployer un deuxième AD Une formation Mehdi DAKHAMA
Une fois les prérequis et la planification sont vérifiées, nous pouvons passer au déploiement, notre deuxièmes contrôleur de domaine aura les rôles suivant (PDC-RID) et les adresses IP ainsi que l'ordre DNS établie en amant PS : le DC peut être déployé en GUI ou par script PowerShell, il pourra aussi être automatisé par DSC (il n'est pas nécessaire de l'automatiser) On peut promouvoir un serveur dans le domaine en DC à partir du gestionnaire de serveur DC-M-1 DNS : DC-m-2 DC-m-1 DC-M-2 DNS : DC-m-2 DC-m-1 Rôles (PDC-RID) Déployer un deuxième AD
Configuration du site et des adresses IP inter-sites Légende : Réseau 192.168.10.0 /24 DC-1 : 192.168.10.10 Pare-feu (Passerelle) 192.168.10.1 Clients : 192.168.10.50 ~150
Vérifier la réplication Une formation Mehdi DAKHAMA
La réplication peut être vérifié en mode graphique en créant tout simplement un objet La commande "repadmin" donne plus de détails sur la réplication L'ajout du rôle "réplication DFS" DC-M-1 DC-M-2 Vérifier la réplication
Vérifier la réplication
Vérifier la répartition des charges Une formation Mehdi DAKHAMA
DC-M-1 DC-M-2 Transfert des rôles PDC Une fois la réplication est validée, le transfert de rôle peut se faire en commande de ligne Powershell ou sur interface graphique Commande : "Move-ADDirectoryServerOperationMasterRole –identity "nom du DC" – OperationMasterRole PDCEmulator"
DC-M-1 DC-M-2 Les bonnes pratiques Transfert de rôles Un même rôle ne peut pas exister en même temps dans la même infrastructure cela perturbera tous les logs et la topologie d'AD Attention donc au restauration ou sauvegarde du serveur, après un transfert du rôle, il faudra commencer une sauvegarde totale si elle est en incrémentielle
Planifier un AD en mode minimale Une formation Mehdi DAKHAMA
Une formation Présentation du mode Minimale Le mode minimale (dit aussi mode Core) est une version de Windows server en ligne de commande (sans interface graphique) Pourquoi cette version ? Le basculement entre mode n'est plus possible
Une formation Les particularités du mode Minimale Plus léger : l'espace disque nécessaire est moins important vu que seuls des services et fonctionnalités de base sont disponible Plus rapide : l'installation et le démarrage (ouverture de session) sont plus rapide vu qu'il y'a moins d'éléments à charge (bureau, interfaces graphiques ..) Moins gourmand : il utilise peu de ressources, par rapport au version graphique Plus sécurisé : peu de services sont activés par défaut, ce qui le rend moins vulnérable, vu qu'on maitrise les services (compteurs…) qu'on souhaite autoriser (contrairement au GUI ou il faut fermer ce qui n'est pas utilisé)
Une formation Licence et version Le serveur Core n'a pas d'avantage ou de différence du coté licence
Une formation Ressources à allouer Un cœur 1,4 HGZ 64 bits 512 MO 4 GO d'escape pour l'installation (32GO minimum en prod) https://docs.microsoft.com/fr-fr/windows-server/get- started/hardware-requirements
Un serveur Core hébergeant le rôle AD+DNS en occurrence DC, agit comme un DC en expérience utilisateur Les mêmes services seront disponible et répondra de la même façon aux requetés, il n'est pas plus sécurisé contrairement à ce que l'on croit Bon à savoir PC-1 Users
Déployer un AD en mode Core Une formation Mehdi DAKHAMA
Une fois la planification (nom, @IP, rôles) est terminée, nous pourrons procéder à l'installation et configuration du serveur en mode Core DC-M-1 DNS : DC-m-2 DC-m-1 DC-M-2 DNS : DC-m-2 DC-m-1 Rôles (PDC-RID) Infra en cours Nouveau serveur Core DC-MC-1 DNS : DC-m-1 DC-m-2 DC-MC-1 Déployer un AD en mode Core
Comprendre le clonage d'un DC Une formation Mehdi DAKHAMA
Une formation Présentation Le clonage de l'AD apparut à partir de la version Windows Server 2012, permet d'anticiper le déploiement des nouveaux Contrôleurs de domaines pour éviter toutes erreurs Le nouveau serveur aura la même configuration et paramétrage que celui de base à quelques différences liés aux logiciels installés Quelques rôles sont pris en charges par le clonage comme ADCS, AD LDS et le DHCP Grâce au fichier de réponse généré, le nouveau DC récupèrera automatiquement son paramétrage @IP, nom et sera opérationnel directement, ceci peut être appliqué pour un déploiement Offline
Le nouveau serveur sera en même mode Core ou GUI Le serveur sera fonctionnel dès le redémarrage et agira comme un nouveau DC Il est préférable d'enlever les applications et scripts personnalisés avant le clonage Bon à savoir DC-M-1 DC-M-2 Infra en cours Nouveau serveur DC-MC-1
Pour plus d'information sur le mécanisme du clonage https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2- and-2012/hh831734(v=ws.11)?redirectedfrom=MSDN Le mécanisme du clonage
Déployer un AD en mode clone Une formation Mehdi DAKHAMA
Une formation Les prérequis Le DC doit être membre du groupe « Contrôleurs de domaine clonables » Les commandes PS utilisées Get-ADDCCloningExcludedApplicationList –GenerateXml Permet de vérifier et valider la compatibilité des applications déjà présentes New-ADDCCloneConfigFile Crée un fichier de réponse contenant les informations du nouveau DC (@IP, nom)
Une formation Les étapes 1. Eteindre le DC en cours 2. Exporter la VM avec hyper-V 3. Démarrer les deux DC
Maitriser le transfert des zones DNS Une formation Mehdi DAKHAMA
Une formation Présentation Le DNS joue un rôle important dans l'authentification et la réplication entre DC La réplication entre zone ou plutôt transfert des zones entre DC permet de choisir un serveur à partir duquel les enregistrements seront répliqués Une mauvaise configuration de transfert des zones expose les DC aux attaques et aux vulnérabilités
Une formation La Zone Secondaire permet de créer une copie en lecture seule de la zone principale, avant, cela été utilisé sur des serveurs tiers Il n'est pas recommandé d'utiliser une Zone secondaire sur un DC en écriture, cela ne fera pas accroitre la sécurité, et augmentera le risque de dysfonctionnement (ce n'est pas alors une bonne pratique) Il ne faut jamais configurer ou transférer une Zone DNS sur un serveur linux ou quoique ce soit, ceci était une mauvaise pratique dans le passé et devient une porte dérobée (ne plus utiliser cette méthode, et/ou justifier cette démarche avec documentation) Bonnes pratiques
Une formation Sécurité de niveau bas : toutes les zones DNS autorisent les transferts de zones vers tout serveur Sécurité de niveau moyen : sans exception, les zones DNS limitent les transferts de zones aux serveurs répertoriés dans les enregistrements des ressources de serveurs de noms (NS) de leurs zones Sécurité de niveau élevé : sans exception, les zones DNS limitent les transferts de zone vers des adresses IP spécifiées https://docs.microsoft.com/fr-fr/services- hub/health/remediation-steps-ad/configure-all-dns-zones-only- to-allow-zone-transfers-to-specified-ip-addresses Différents modes de configuration
Transfert et délégation Le transfert des zones intra domaine entre DC, est une action générée et configurée par défaut Il ne faut pas confondre, par abus de langage, le transfert de zone avec la délégation qui consiste à envoyer une partie ou copie du zone DNS courante à un autre serveurs dans un autre domaine (avec ou sans relation d'approbation)
Rétrograder un contrôleur de domaine Une formation Mehdi DAKHAMA
Une formation Présentation Même s'il parait simple de rétrograder un DC, il faudra aussi procéder à une planification, afin de prévoir que deviendra le DC par la suite, qui prendra l@ IP et le nom etc… ainsi que le rôle (FSMO) Il est possible de supprimer l'AD à partir du serveur concerné ou d'un autre serveur La rétrogradation peut être lancé en mode Graphique comme en commande avec PowerShell Uninstall-addsdomaincontroller
Une formation Assurez-vous que la réplication est fonctionnelle avant de procéder à la rétrogradation La rétrogradation supprime les informations de l'AD mais pas le rôle DNS, ni AD, ils resteront toujours disponible sur le serveur mais ces derniers n'agissent pas en tant qu'un DC et ne répliquent rien Le DC passera de l'OU "Domain Controller" à Computer Il est préférable de faire la rétrogradation à partir du serveur "maitre" pour s'assurer du bon fonctionnement et du nettoyage de la zone La rétrogradation devra se faire sur les serveurs en ligne et connectés Il faudra oublier les sauvegardes effectués avant sur le DC, ne jamais restaurer un DC rétrogradé dans l'infra Bonnes pratiques
Pour plus d'information sur le mécanisme du clonage https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/deploy/demoting-domain- controllers-and-domains--level-200- Le mécanisme du clonage
Rétrograder un contrôleur de domaine Démo Une formation Mehdi DAKHAMA
Découvrir le principe du Site et Services Une formation Mehdi DAKHAMA
Une formation Présentation Site et Service est une interface qui permet de gérer la topologie de réplication de l'infrastructure AD C'est une représentation des objets stockés dans le conteneur sites de l'AD Il permet de définir sur quel Contrôleur de domaine pourra s'authentifier le client en fonction de son Site à partir de sa configuration réseau Il permet de choisir la fréquence de réplication entre DC Il permet de localiser les services publiés tels que le service d'impression afin de proposer les imprimantes les plus proches du sites d'utilisateurs S'il y'a une présence de plusieurs DC dans un site distant, la configuration du Site et Service devient importante
Tous les réseaux doivent être définis et déclarer sur le bon site, même les sous réseaux Les Contrôleurs du domaine restent dans la même OU, ceci n’empêche pas de les déplacer sur le bon site, il n'existe aucun lien entre les emplacement "Site et Service" et les 'OU‘ Donc, il ne faut pas déplacer les DC dans une OU autre celle par défaut Bonnes pratiques 192.168.10.0 192.168.20.0
La console Site et Service est composée de plusieurs sections que nous allons détailler ensemble Type de liens de réplication Intra-site : lien de réplication entre les contrôleurs de domaine dans un même site Inter-sites : lien de réplication entre les sites Active Directory dans des sites différents Les relations inter-sites sont présentes dans nœud Inter-Sites Transports Eléments du Site et Service Inter-Sites Intra-Sites
Subnets : Contient les différents réseaux dans l'infrastructure, il faudra déclarer tous les réseaux faisant appel aux services d'annuaire, même s'ils ne s'agit pas de machines Les sites sont créer dans le dernier nœud en bleu, ils contiennent les différents contrôleurs de domaine faisant partis du même site L’objet Paramètres NTDS stocke les objets de connexion qui rendent possible la réplication entre plusieurs contrôleurs de domaine, il permet de définir un Catalogue global sur un DC, et de vérifier la topologie de réplication Eléments du Site et Service - Suite
Une formation La réplication utilise Remote Procedure Call (RPC) sur le transport IP ou SMTP (Simple Mail Transfer Protocol) Vous pouvez utiliser le protocole SMTP pour envoyer la réplication dans des messages électroniques dans les environnements dans lesquels aucune liaison de réseau étendu n’est disponible Dans ce cas, la réplication aura lieu en fonction de la planification de messagerie, et non pas en fonction de la planification de liens de sites La réplication
Une formation Par défaut, la réplication intersites utilise le protocole de transport IP pour remettre les paquets de réplication Vous pouvez utiliser les conteneurs Transport intersites IP et SMTP afin d’effectuer les tâches suivantes Créer des liens de sites (Vous pouvez ajouter des liens de sites à la topologie de réplication selon vos besoins et la présence de nouveaux sites) Créer des ponts entre liens de sites (Les liens de sites sont, par défaut, connectés par des ponts dans les services AD DS, et les ponts ne sont pas nécessaires dans la plupart des déploiements) En savoir plus https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/get- started/replication/active-directory-replication-concepts#BKMK_2 Méthode de transport de réplication
La fréquence permet de définir la période de réplication en prenant en compte les critères choisis Le coût permet de favoriser un lien par rapport à un autre, le coût le moins élevé sera le prioritaire La fréquence de réplication en minutes, cette dernière est modifiable graphiquement Fréquence de la réplication
Introduction à la réplication Active Directory Une formation Mehdi DAKHAMA
Une formation Présentation La réplication dans Active Directory repose sur le transfert et la mise à jour des objets Active Directory d’un contrôleur de domaine à un autre Comme vu précédemment les échanges se font en fonction des paramètres de réplication choisit (Site, mode IP/SNMP, Fréquences) La réplication s'appuie sur les éléments suivant KCC Site Pont entre liens de sites Réplication SYSVOL DFS
Une formation Réplication SYSVOL et DFS SYSVOL est un ensemble de dossiers dans le système de fichiers qui existe sur chaque contrôleur de domaine dans un domaine Les dossiers SYSVOL fournissent un emplacement par défaut Active Directory pour les fichiers qui doivent être répliqués dans l’ensemble d’un domaine, y compris les objets stratégie de groupe (GPO), les scripts de démarrage et d’arrêt, ainsi que les scripts d’ouverture et de fermeture de session Windows Server depuis 2012 R2 utilise le système de fichier DFSR pour répliquer ces modifications en fonction de la planification que vous avez créé lors de la conception de la topologie de votre site
Une formation KCC Le KCC (Knowledge Consistency Checker – KCC) est un processus intégré qui s’exécute sur tous les contrôleurs de domaine et qui a pour rôle de vérifier la cohérence des données répliquées, en lisant sur la base de données d'annuaire NTDS Le KCC examine l’état de réplication des connexions existantes pour déterminer si des connexions ne fonctionnent pas Il lit les données de configuration, et lit et écrit les objets de connexion pour les contrôleurs de domaine Dans une réplication intrasite les données ne sont pas compressées, les modifications sont envoyées immédiatement aux contrôleurs de domaine
Une formation Lien utile - KCC https://docs.microsoft.com/fr-fr/windows- server/identity/ad-ds/get-started/replication/active- directory-replication-concepts
Une formation La taille minimale d'un paquet répliqués est de 1MO en moyenne la taille maximale envoisine les 10MO Cette valeur peut être changer par la clé suivante HKEY_LOCAL_MACHINESystemCurrentControlSetServicesN TDSParameters Le dossier Sysvol est limité par défaut quant à lui à 4GO, c'est pour cette raison qu'il est recommandé de ne pas placer des images ou exe d'une grande taille dans les éléments répliqués La réplication n'envoient que les informations sur les objets modifiés en s'appuyant sur les metadatas Bonnes pratiques
Une formation Pont entre liens de sites Un pont de liaison de site connecte deux ou plusieurs liens de sites et active la transitivité entre les liens de sites Chaque lien de site dans un pont doit avoir un site en commun avec un autre lien de sites dans le pont le KCC peut former un itinéraire transitif via tous les liens de sites qui ont certains sites en commun Si ce comportement est désactivé, chaque lien de sites représente son propre réseau distinct et isolé
Site A Site B Site C Site D Cas 1 : KCC réplique Cas 2 : Liens crées Cas 3 : Tête de pont
Créer et configurer des sites Une formation Mehdi DAKHAMA
Introduction au RODC Une formation Mehdi DAKHAMA
Une formation Présentation Un RODC désigne un contrôleur de domaine en lecture seule, utilisé généralement dans les succursales Il héberge une copie en lecture seule de la base de données AD (NTDS), ce qui empêche les utilisateurs de faire des modifications sur l'annuaire
Une formation A savoir Le RODC ne réplique pas les données AD ni le dossier SYSVOL vers les contrôleurs de domaine en écriture Il est donc inutile de le mentionner dans les paramètres DNS, le DNS est aussi en lecture seule Le RODC ne conserve pas les hachages de mots de passe des objets ni les attributs sensibles comme (ms-PKI-DPAPIMasterKeys, ms-FVE-RecoveryPassword, ms-PKI-AccountCredentials …) Les attributs sensible font partie de FAS (Filtered Attribute Set) Le RODC fait du relais, il n'authentifie pas les utilisateurs mais transmet leur demande au DC en écriture
Une formation Il est utile lors d'un audit de sélectionner les éléments à ajouter dans le FAS pour accroitre la sécurité tel que (ms-MCS-AdmPwd …) ce dernier est modifiable Il est possible de mettre en cache les informations d'authentification pour certains utilisateurs ou groupes Le RODC peut être installé en GUI comme en mode Core Il est fortement déconseillé de mettre en place un RODC dans le même site qu'un DC en écriture Cela présente même un risque de sécurité, et rend inutile l'utilisation du contrôleur de domaine en lecture seule Bonnes pratiques
Déployer un RODC Une formation Mehdi DAKHAMA
Une formation Plan Planifier le déploiement de RODC Création du Site Déploiement de RODC Ajout d'un attribut dans le FAS Modification Confidential et Filter
Planification Le RODC sera placé dans le nouveau site à créer Site-A Site-B RODC Réplication unidirectionnelle
Infra RODC Réseau 192.168.20.0 /24 Réseau 192.168.10.0 /24
Empêcher la réplication d'attributs sur RODC Une formation Mehdi DAKHAMA
Modifier le FAS Pour ajouter un attribut au FAS il faut ajouter à sa valeur Héxadecimal 512 Pour mettre un attribut en Confidential (c’est-à-dire que les utilisateurs authentifiés ne pourront pas le lire) il faudra ajouter 128 Pour retirer ces valeurs il faudra soustraire la même valeur
Configurer le cache MDP dans un RODC Une formation Mehdi DAKHAMA
Une formation Présentation Le cache de mot de passe dans le RODC permet d'authentifier un utilisateur sur l'RODC, ce qui peut être utile lors d'une coupure de connexion vers les DC en écriture L'ajout des objets se fait dans le groupe cache des MDP RODC (on peut ajouter et retirer un objet à tout moment) Ajouter un objet dans le cache MDP permet d'authentifier l'utilisateur ayant le droit, mais cela n'autorise toujours pas la modification sur l'AD, si son MDP s'expire par exemple il sera nécessaire de contacter un DC en écriture pour changer ce dernier
Gérer la topologie des sites Une formation Mehdi DAKHAMA
Une formation Présentation La topologie et réplication AD peut être gérer avec PowerShell ou l'outil AD-replication-tool Pour afficher tous les sites Active Directory Get-ADReplicationSite -Filter * | ft hostname,site Gérer la topologie de réplication New-ADReplicationSite Paris Pour définir le coût du lien de site et la fréquence de réplication Set-ADReplicationSiteLink Paris-Marseill –Cost 100 – ReplicationFrequencyInMinutes 15 Pour afficher les informations et l’état de réplication Get-ADReplicationUpToDatenessVectorTable DC1 Pour afficher la table de vecteurs de mise à jour Get-ADReplicationUpToDatenessVectorTable DC1
Une formation Réplication et métadonnées Repadmin.exe valide l'état et la cohérence de la réplication Active Directory Il offre aussi des options de manipulation simple des données, ce dernier s'est vu remplacer par les commandes PS gérant des sorties Get-ADReplicationFailure Get-ADReplicationPartnerMetadata Cette applet de commande renvoie les informations sur la configuration et l'état de réplication d'un contrôleur de domaine pour surveiller, créer un inventaire ou résoudre un problème Get-ADReplicationUpToDatenessVectorTable Get-Adreplication*
Une formation En savoir plus https://docs.microsoft.com/fr-fr/windows- server/identity/ad-ds/manage/powershell/advanced- active-directory-replication-and-topology-management- using-windows-powershell--level-200-
Découvrir les bonnes pratiques DNS dans AD multi sites Une formation Mehdi DAKHAMA
Une formation Présentation Nous avons vu ensemble dans les précédents chapitres comment configurer l'ordre DNS sur les contrôleurs de domaines dans le même site, afin d'optimiser la réplication et la recherche Nous allons voir comment choisir l'ordre DNS dans des multi-sites L'ordre DNS est primordial dans une configuration multi- sites, il permet d'accélérer la réplication, l’authentification et assure un bon fonctionnement en réduisant les latences entre sites
DC-2 (PDC-RID) DC-1 (PDC-RID) DC-B-1 DC-B-2 DC-C-1~4 DC-D-1 RODC-E-1 Site-E Site-D Site-C Site-B Site-A
Une formation Il n'est pas recommander de créer une relation de réplication avec un RODC car ce dernier réplique dans un seul sens Sur un même Site ou aucun DC n'héberge de rôle FSMO, l'ordre DNS n'est pas important, on peut mettre DC-E-1 / 2 /3 /4, s'il y'a un DC particulier qui va répliquer avec les autres sites, il est préférable de mettre ce dernier en avant dernière position (on peut ajouter exceptionnellement le DC du site le plus proche, et dans certain cas selon la distance séparant le Site on peut ajouter le PDC) Bonnes pratiques
Une formation Le PDC à un rôle important dans le fonctionnement AD et réplication, c'est le seul qui doit être présent en avant dernière position sur tous les sites si cela est possible Il n'est pas nécessaire de renseigner tous les DC de tous les sites sur eux même, cela va créer des conflits et beaucoup de latence A retenir
Conclusion Une formation Mehdi DAKHAMA
Une formation Bilan Dans cette formation nous avons pu Découvrir les différents types de Contrôleurs de domaine Apprendre comment mettre en place une topologie et architecture AD correcte pour optimiser le bon fonctionnement, en respectant les bonnes pratiques et meilleures recommandations
Implémentati on Et Documentatio n Implémentati on Et Documentatio n Plan Plan Récapitulatif
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services

Recommended

Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm
 
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : SécuritéAlphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm
 
Alphorm.com Microsoft AZURE
Alphorm.com Microsoft AZUREAlphorm.com Microsoft AZURE
Alphorm.com Microsoft AZURE
Alphorm
 
Alphorm.com Formation CCNP ENCOR 350-401 (1of8) : Commutation
Alphorm.com Formation CCNP ENCOR 350-401 (1of8) : CommutationAlphorm.com Formation CCNP ENCOR 350-401 (1of8) : Commutation
Alphorm.com Formation CCNP ENCOR 350-401 (1of8) : Commutation
Alphorm
 
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm
 
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm
 
Alphorm.com Formation Microsoft 365 (MS-101) : Sécurité et Mobilité
Alphorm.com Formation Microsoft 365 (MS-101) : Sécurité et MobilitéAlphorm.com Formation Microsoft 365 (MS-101) : Sécurité et Mobilité
Alphorm.com Formation Microsoft 365 (MS-101) : Sécurité et Mobilité
Alphorm
 

Recommended

Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans FilAlphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm.com Formation CCNP ENCOR 350-401 (3of8) : Sans Fil
Alphorm
 
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : SécuritéAlphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm
 
Alphorm.com Microsoft AZURE
Alphorm.com Microsoft AZUREAlphorm.com Microsoft AZURE
Alphorm.com Microsoft AZURE
Alphorm
 
Alphorm.com Formation CCNP ENCOR 350-401 (1of8) : Commutation
Alphorm.com Formation CCNP ENCOR 350-401 (1of8) : CommutationAlphorm.com Formation CCNP ENCOR 350-401 (1of8) : Commutation
Alphorm.com Formation CCNP ENCOR 350-401 (1of8) : Commutation
Alphorm
 
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm
 
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm
 
Alphorm.com Formation Microsoft 365 (MS-101) : Sécurité et Mobilité
Alphorm.com Formation Microsoft 365 (MS-101) : Sécurité et MobilitéAlphorm.com Formation Microsoft 365 (MS-101) : Sécurité et Mobilité
Alphorm.com Formation Microsoft 365 (MS-101) : Sécurité et Mobilité
Alphorm
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm
 
Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
Thomas Moegli
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm
 
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm
 
Alphorm.com support de la formation Git avancé
Alphorm.com support de la formation Git avancé Alphorm.com support de la formation Git avancé
Alphorm.com support de la formation Git avancé
Alphorm
 
Création et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de sessionCréation et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de session
Mehdi HAMMADI
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm
 
Alphorm.com Formation Microsoft 365 (MS-500) Administrateur Sécurité : Protec...
Alphorm.com Formation Microsoft 365 (MS-500) Administrateur Sécurité : Protec...Alphorm.com Formation Microsoft 365 (MS-500) Administrateur Sécurité : Protec...
Alphorm.com Formation Microsoft 365 (MS-500) Administrateur Sécurité : Protec...
Alphorm
 
Alphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTM
Alphorm
 
VMware vSphere Networking deep dive
VMware vSphere Networking deep diveVMware vSphere Networking deep dive
VMware vSphere Networking deep dive
Sanjeev Kumar
 
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuelles
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuellesAlphorm.com Support de la Formation VMware vSphere 6, Les machines virtuelles
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuelles
Alphorm
 
Server virtualization by VMWare
Server virtualization by VMWareServer virtualization by VMWare
Server virtualization by VMWare
sgurnam73
 
Wallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilègesWallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilèges
UNIDEES Algérie
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm
 
VMWARE ESX
VMWARE ESXVMWARE ESX
VMWARE ESX
Yogeshwaran R
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008
fabricemeillon
 
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
fabricemeillon
 

More Related Content

What's hot

Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm
 
Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm
 
Alphorm.com support de la formation Git avancé
Alphorm.com support de la formation Git avancé Alphorm.com support de la formation Git avancé
Alphorm.com support de la formation Git avancé
Alphorm
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm
 
Alphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTM
Alphorm
 
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuelles
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuellesAlphorm.com Support de la Formation VMware vSphere 6, Les machines virtuelles
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuelles
Alphorm
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 

What's hot (20)

Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
 
Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
 
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016
 
Alphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec CiscoAlphorm.com Formation Sécurité des réseaux avec Cisco
Alphorm.com Formation Sécurité des réseaux avec Cisco
 
Alphorm.com support de la formation Git avancé
Alphorm.com support de la formation Git avancé Alphorm.com support de la formation Git avancé
Alphorm.com support de la formation Git avancé
 
Création et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de sessionCréation et application d'un script d'ouverture de session
Création et application d'un script d'ouverture de session
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
 
Alphorm.com Formation Microsoft 365 (MS-500) Administrateur Sécurité : Protec...
Alphorm.com Formation Microsoft 365 (MS-500) Administrateur Sécurité : Protec...Alphorm.com Formation Microsoft 365 (MS-500) Administrateur Sécurité : Protec...
Alphorm.com Formation Microsoft 365 (MS-500) Administrateur Sécurité : Protec...
 
Alphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTM
 
VMware vSphere Networking deep dive
VMware vSphere Networking deep diveVMware vSphere Networking deep dive
VMware vSphere Networking deep dive
 
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuelles
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuellesAlphorm.com Support de la Formation VMware vSphere 6, Les machines virtuelles
Alphorm.com Support de la Formation VMware vSphere 6, Les machines virtuelles
 
Server virtualization by VMWare
Server virtualization by VMWareServer virtualization by VMWare
Server virtualization by VMWare
 
Wallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilègesWallix - Audit & traçabilité des comptes à privilèges
Wallix - Audit & traçabilité des comptes à privilèges
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
 
VMWARE ESX
VMWARE ESXVMWARE ESX
VMWARE ESX
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
 

Similar to Alphorm.com Formation Active Directory 2022 : Multi Sites et Services

Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Microsoft Technet France
 
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Configuration et...
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Configuration et...Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Configuration et...
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Configuration et...
Alphorm
 
Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm
 
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Découverte et In...
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Découverte et In...Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Découverte et In...
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Découverte et In...
Alphorm
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Décideurs IT
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Technet France
 
M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...
M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...
M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...
CERTyou Formation
 

Similar to Alphorm.com Formation Active Directory 2022 : Multi Sites et Services (20)

Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008
 
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
 
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Configuration et...
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Configuration et...Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Configuration et...
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Configuration et...
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
 
Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2
 
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Découverte et In...
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Découverte et In...Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Découverte et In...
Alphorm.com Formation Citrix Virtual Apps et Desktops 7.1x : Découverte et In...
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
Windows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantWindows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau Distant
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
 
Services de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et AzureServices de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et Azure
 
Open source et microsoft azure reve ou realite ?
Open source et microsoft azure reve ou realite ?Open source et microsoft azure reve ou realite ?
Open source et microsoft azure reve ou realite ?
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...
M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...
M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...
 
Conférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrConférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.Fr
 

More from Alphorm

Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm
 
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm
 
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm
 
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm
 
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm
 
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm
 
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm
 
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm
 
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm
 
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm
 
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm
 
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm
 
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm
 
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de DonnéesAlphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm
 
Alphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart ContractsAlphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm
 
Alphorm.com Formation Unity : Maitriser l'UI (User Interface)
Alphorm.com Formation Unity : Maitriser l'UI (User Interface)Alphorm.com Formation Unity : Maitriser l'UI (User Interface)
Alphorm.com Formation Unity : Maitriser l'UI (User Interface)
Alphorm
 

More from Alphorm (20)

Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
 
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
 
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
 
Alphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion CommercialeAlphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion Commerciale
 
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
 
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
 
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
 
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
 
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
 
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POO
 
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
 
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
 
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBootAlphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
 
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
 
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de DonnéesAlphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
 
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : ArchitectureAlphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
Alphorm.com Formation CCNP ENCOR 350-401 (5/8) : Architecture
 
Alphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart ContractsAlphorm.com Formation Blockchain : Maîtriser les Smart Contracts
Alphorm.com Formation Blockchain : Maîtriser les Smart Contracts
 
Alphorm.com Formation Unity : Maitriser l'UI (User Interface)
Alphorm.com Formation Unity : Maitriser l'UI (User Interface)Alphorm.com Formation Unity : Maitriser l'UI (User Interface)
Alphorm.com Formation Unity : Maitriser l'UI (User Interface)
 

Alphorm.com Formation Active Directory 2022 : Multi Sites et Services

  • 1. Formation Active Directory Multi Sites et Services Une formation Mehdi DAKHAMA
  • 2. Cycle de formations Microsoft Server Installation et Configuration de base Configuration et Bonnes Pratiques Multi-Site et Service Diagnostique et Troubleshooting Optimisation et Sécurisation avec l'Architecture N-Tier DHCP RDS DNS IIS CA… Audit AD Administration AD Windows Server Sécurité AD
  • 3. Une formation Introduction 1. Introduction à la Haute Disponibilité d’AD 2. Déploiement de contrôleur de domaine 3. Planification et implémentation des sites Conclusion Plan de la formation
  • 4. Dans cette formation nous allons apprendre à gérer, manipuler plusieurs Contrôleurs de domaine Active Directory, planifier, et mettre en place une architecture Multi-Maitres et Multi-Sites sécurisée et fonctionnelle en respectant les bonnes pratiques et recommandations Introduction
  • 5. Plan d'action Configuration et sécurité d'un Serveur Topologie et gestion de plusieurs DC
  • 6. Une formation Public concerné Administrateurs système et réseaux Consultants / Architectes Système Techniciens système et réseaux Etudiants BTS SIO / Bachelor / Master Formateurs / Enseignants Système Curieux désirant découvrir le service AD
  • 8.
  • 9. Présentation du Lab Une formation Mehdi DAKHAMA
  • 11. Machine Conf Minimal Serveur sous Hyper-V ou VSphere 5 VMS 16 GO de RAM (minimum) I3 ou plus 60 GO espace disque SSD ou Nvme Iso Windows server Prérequis matériels
  • 12. Rappel des prérequis Une formation Mehdi DAKHAMA
  • 14. Machines Infos DC-1 IP : 192.168.10.10 Passerelle : 192.168.10.1 DNS : 192.168.10.10 PC-1 IP : 192.168.10.50 WAN LAN 192.168.10.0 /24 Comptes Rôles Mehdi Membre admin du domaine tech1  Délégation ajout des machines  Groupes restreints L’ancienne infrastructure
  • 15. Comprendre et gérer les maîtres des opérations FSMO Une formation Mehdi DAKHAMA
  • 16. Une formation Rappel des Rôles FMSO Planification du placement des maîtres des opérations Plan
  • 18. Une formation Le modèle multi-maître Active Directory est une base de données multi-maitres qui offre la possibilité d’autoriser les modifications à se produire sur n’importe quel dc de l’entreprise Chose qui peut induire aux conflits, pouvant potentiellement entraîner des problèmes une fois que les données sont répliquées dans le reste de l’entreprise
  • 19.
  • 20. User 1 Mdp : info1 User 1 Mdp : info
  • 21. User 1 Mdp : info1 User 1 Mdp : info
  • 22. Une formation Le modèle Mono-maître Pour éviter les mises à jour et changements conflictuelles dans Windows, Active Directory effectue des mises à jour de certains objets de manière mono-maître Le modèle à maître unique permet à un seul dc dans l’ensemble du répertoire de traiter les mises à jour Active Directory étend le modèle à maître unique présent dans les versions antérieures de Windows pour inclure plusieurs rôles et la possibilité de transférer des rôles vers n’importe quel dc dans l’entreprise Comme un rôle Active Directory n’est pas lié à un seul dc, il est appelé rôle FSMO
  • 23. Le modèle Mono-maître User 1 Mdp : info1 User 1 Mdp : info Serveur Maitre
  • 24. Les différents Rôles Les rôles (FSMO) assurent une bonne coordination entre les différents contrôleurs du domaine De nombreux termes sont utilisés pour les opérations à maître unique dans AD DS, notamment Maître d’opérations (ou rôle maître d’opérations) Rôle de maître unique Opérations à maître unique flottant (FMSO)
  • 25. Une formation Maitre de schéma Le titulaire du rôle FSMO du maître de schéma est le responsable des mises à jour du schéma d’annuaire Il est unique dans une forêt, il doit être configuré sur un DC protégé, seuls les membres d'admins du schéma peuvent modifier le schéma Les DCS et les membres de la forêt contactent uniquement le rôle FSMO lors de la mise à jour du schéma
  • 27. Une formation Attribution de noms de domaine Le dc titulaire du rôle est le seul à pouvoir ajouter ou supprimer un domaine dans l’annuaire Il peut également ajouter ou supprimer des références croisées à des domaines dans des répertoires externes Il n'est sollicité que lors d'une modification apportée à l’espace de noms de domaine Il est recommandé de le mettre sur le DC protégé
  • 28. Présenter les rôles RID et PDC Une formation Mehdi DAKHAMA
  • 29. Une formation Présentation du Maitre RID Le titulaire du rôle FSMO maître RID est le seul responsable du traitement des demandes de pool RID à partir de tous les DCs au sein d’un domaine donné Il est également responsable de la suppression d’un objet de son domaine et de son déplacement dans un autre domaine Chaque DC possède son propre pool RDI unique, le Maitre RID n'est contacté que lorsque ce pool atteint son seuil Il n'est sollicité qu'en création d'un nouveau DC
  • 30. Une formation Maitre RID Lorsqu’un DC crée un objet principal de sécurité, tel qu’un utilisateur ou un groupe, il joint un ID de sécurité unique (SID) à l’objet Ce SID se compose des Un SID de domaine identique pour tous les SID créés dans un domaine ID relatif (RID) unique pour chaque SID principal de sécurité créé dans un domaine
  • 32. Une formation Maitre d'émulateur PDC L’émulateur PDC fait autorité pour le domaine Il doit être configuré pour collecter l’heure à partir d’une source externe Il est nécessaire pour synchroniser le temps dans une entreprise et requis par le protocole d’authentification Kerberos Toutes les machines d’une entreprise utilisent un temps commun L’objectif du service de temps est de s’assurer que le service Windows temps utilise une relation hiérarchique qui contrôle l’autorité Il n’autorise pas les boucles pour garantir une utilisation courante appropriée
  • 33. Une formation Maitre d'émulateur PDC - Suite Le DC ayant le rôle PDC doit être joignable par toutes les machines du domaine incluant les serveurs et postes d'utilisateurs Si le PDC est injoignable durant un bon moment, l'ouverture de session peut échouer sur les DC en raison de décalage horaire trop important Le changement des MDPs entre DC des sites distant pourra être plus lent, et avoir des conflits
  • 35. User 1 Mdp : info1 RID SID
  • 36. Une formation Résumé La planification et déploiement des rôles FSMO sont des éléments importants pour assurer le bon fonctionnement et la sécurité d'un domaine AD Certains rôles doivent être sur des serveurs protégés, selon le besoin les rôles peuvent être dispatchés sur deux ou plusieurs serveurs
  • 37.
  • 38. Découvrir la Haute Disponibilité sous AD Une formation Mehdi DAKHAMA
  • 39. Une formation La Haute Disponibilité sous AD Les bonnes pratiques Les avantages et limites Plan
  • 40. La haute disponibilité sous AD (Mythe ou réalité) ?
  • 41. Une formation Principe de HA dans l'AD Active Directory joue un rôle essentiel dans une infrastructure sous environnement Microsoft, il permet d'authentifier et d’accorder l'accès à travers les tickets (jetons Kerberos) aux différents services Il est alors important de maintenir ce processus, et veiller à ce que l'annuaire reste disponible et accessible La Haute Disponibilité permet de protéger les systèmes contre les interruptions de service et la perte de données
  • 42. Risque d'un mono serveur En cas d'indisponibilité du serveur principal, tous les services sont interrompus notamment la gestion d'identité
  • 43. Une formation Présentation du HA Il est important d'implémenter la HA disponibilité du serveur d'annuaire AD, afin d'assurer et de garantir le bon fonctionnement de tous les services Plusieurs scénarios sont possibles, selon le résultat souhaité Mettre en place plusieurs DC Mettre en place un NLB Mettre en place un Cluster
  • 44. Implémentation du HA La mise en place de plusieurs DC est recommandée par Microsoft pour assurer la continuité des services (authentification, applications des GPOs, résolution des requêtes DNS….) Plusieurs DC ne garantissent pas la HA s'ils ne sont pas bien configurés Serveur DC-1 Serveur DC-2
  • 45. Bon à savoir Si les machines sont configurées en dur pour pointer vers un DC (Script BAT, Lecteur réseau, DNS) certains services risquent d'être inaccessible Serveur DC-1 Serveur DC-2 DC HS ou inaccessible
  • 46. Bon à savoir Si les DCs détenant des rôles FSMO important restent injoignable pendant un certain temps, l'authentification et les services risquent d‘être interrompus PC-2 PC-2 Les nouvelles machines ne pourront pas synchroniser le temps Authentification refusée Réplication corrompue
  • 47. Mauvaise pratique Si un DC détenant un rôle important est inaccessible, ses rôles ne sont pas transférés automatiquement, ni répartis sur d'autres DCs, aucun DC ne pourra alors assurer ses fonctionnalités et des conflits risquent d'apparaitre La Haute Disponibilité n'est pas opérationnelle quand on sollicite un rôle inaccessible Si le DC HS ne détient aucun rôle, la Haute Disponibilité est alors maintenue
  • 48. Implémentation du NLB La mise en place de la répartition des charges est inutile sur des DCs, vu que ces derniers la font automatiquement est authentifie une fois / nbrs DC Si Si Si Si Si Si PC-2 NLB Répartition des charges Charges répartie deux fois, créant un problème de réplication
  • 49. Mise en place d'un Cluster Le cluster est la meilleure solution garantissant la Haute Disponibilité de tous les services et rôles d'annuaire AD, cependant sa mise en place et son maintien sont coûteux pour les entreprises Cette solution ne garantit pas le bon fonctionnement en cas de conflit ou mauvaise configuration au sein d'un DC DC-1 PC-2
  • 50. Limites du Cluster DC-1 PC-2 Forcer un protocole d'authentification sur le DC1, ou faire un mauvais durcissement empêchera le bon fonctionnement de l'AD Il est possible de relancer le DC si un service tombe, ou avoir une alerte
  • 51. Résumé La Haute Disponibilité sous AD est une combinaison entre Architecture, infrastructure, répartition des rôles, et surveillance
  • 52. Planifier le déploiement d'un deuxième DC Une formation Mehdi DAKHAMA
  • 53. Une formation La mise en place d'un deuxième AD Même si la mise en place d'un deuxième AD (DC) est une chose simple, une mauvaise gestion pourra ralentir et compromettre le bon fonctionnement des services AD La planification à comme objectif d'améliorer et évoluer les services dans le temps, une étude préalable est ainsi nécessaire
  • 54. Les étapes de planification Etude et planification Etude et planification Analyse et diagnostic du présent Analyse et diagnostic du présent Recensement Recensement Configuration et Mise en place Configuration et Mise en place Recette et Documentation Recette et Documentation Teste et Validation Teste et Validation
  • 55. Une formation Les étapes de planification Les Licences et versions ? Quel rôle FSMO sera déployé ? Quel ressource a attribuer ? Taille de disque? Quel Rôles seront installés ? Quel adresse IP ? Pré-configuration DNS ? Convention de nommage ? NTP ? Azure AD ? Qui peut se connecter ? Script pointant vers un Serveur en dur ?
  • 56. Une formation Licences et versions Vérifier la compatibilité entre les différentes versions présentes Choisir l'homogénéité du parc (exp : 2016, 2019, 2022, 2024 ….) Vérifier les licences CAL user pour l'authentification des services
  • 57. Une formation Ressources à allouer Processeur, RAM, Carte réseau, VM ou cloud … Taille du disque (investigation nettoyage exp logues, sysvol)
  • 58. Rôle FSMO Etudier au préalable et identifier le rôle à installer ainsi que la position du serveur (Sites et sous réseaux) Quel rôle supplémentaire sera installé sur le DC
  • 59. Adresse IP L'adresse IP est à déterminer avant le déploiement Il est recommandé de laisser un creux @IP entre serveur pour des tâches de maintenance et post migration (Upgrade …) 192.168.10.10 192.168.10.12 192.168.10.14
  • 60. Nommage, restriction Les noms des serveurs devront suivre une logique et être compréhensibles Mettre des noms de DC incompréhensibles ne cachera pas le netbios et ne protègera pas les serveurs (exp : Zeus, Xena, Hercules, Snoopy) Définir qui peut ouvrir une session sur quel DC selon le rôle (exp ; restreindre les admins du schéma sur le DC-M1) DC-M1 DC-M2 DC-M3
  • 61. Etat de santé Il est très important de valider et vérifier l'état du santé des DC en place, et la réplication avec des commandes de base et en se servant des logs DCDIAG Repadmin Eventview Best Practice Analyzer DC-M1
  • 62. Voir le fonctionnement de la réplication AD Une formation Mehdi DAKHAMA
  • 63. Une formation Rôle DNS Le DNS associé à l'AD formant ainsi le DC, permet outre la résolution des noms de domaine externe (du coup accès à internet), de localiser les contrôleurs de domaine qui hébergent le service d'annuaire Le DNS est nécessaire pour le mécanisme d'authentification L'ordre DNS garantie un bon fonctionnement des services AD (AAA) et gestion d'identité, il est responsable des réplications et permet de répondre efficacement à des requêtes de recherche
  • 64. Mauvaises pratiques Mettre un DNS externe tel que Google 8.8.8.8 est une mauvaise pratique, impliquant un dysfonctionnement et engendreront des latences dans la résolution des noms et d’authentification ainsi que l'ouverture de session Laisser le deuxième AD auto configuré sans anticiper la configuration du premier AD ou ceux déjà présent est un manque de maitrise avec un réel impact sur le fonctionnement DNS : 192.168.10.10 DNS 1 : 192.168.10.10 DNS 2 : 192.168.10.12 DNS auto configuré sur AD2
  • 65. Ordre DNS pour deux DC Quand il s'agit de deux contrôleurs de domaine, la recommandation et l'ordre sont simples, souvent on inverse les @ IP des DC, cela a pour objectif d'accélérer les recherches et requêtss non aboutis DNS 1 : 192.168.10.12 DNS 2 : 127.0.0.1 DNS 1 : 192.168.10.12 DNS 2 : 192.168.10.10 Méthode 2 Méthode 1
  • 66. Comment ça se passe ? Quand un contrôleur de domaine ne trouve pas de résultat ou confus, il interroge les DC présent dans ses paramètres DNS selon l'ordre choisi, il ne validera le résultat qu'une fois toutes les requêtes sont retournées par les DC ou qu'un DC de la liste valide la requête PS : Contrairement à ce qu'on croit l'ordre DNS n'agit pas sur l'ouverture de session, on ne peut pas forcer l'ouverture de session sur un DC à partir d'un ordre DNS déployé par DHCP PC-2
  • 67. Mécanisme DNS - AD Méthode 1 1. PC 1 : envoie une requête de recherche sur User3 2. DC 1 : ne trouve pas l'user3 dans sa base, va interroger DC2 3. DC 2 : retournera le résultat s'il trouve ou pas user3 4. DC 1 : attend la réponse du DC2 5. DC 1 : répond à la requête du PC1 PC-2 DNS 1 : 192.168.10.10 DNS 2 : 192.168.10.12 2 3 1
  • 68. Mécanisme DNS - AD Méthode 2 1. PC 1 : envoie une requête de recherche sur User3 2. DC 1 : envoie une requête à DC2 et initie les recherches sur soit meme 3. DC 2 : retournera le résultat s'il trouve ou pas user3 4. DC 1 : peut confirmer le résultat 5. DC 1 : répond à la requête du PC1 PS : Cette méthode est potentiellement plus sûr et plus rapide pour deux DC PC-2 DNS 1 : 192.168.10.12 DNS 2 : 192.168.10.10 2 3 1
  • 69. Mécanisme DNS - AD Cas conflit Si l'user3 est créé en même temps sur le DC1 au moment que le DC2 est entrain de répondre à la requête, en consultant l'event, le DC sera au courant du changement et validera la requête avant de la retourner PC-2 DNS 1 : 192.168.10.12 DNS 2 : 192.168.10.10 2 3 1
  • 70. Cas de plusieurs DC PC-2 Le grand problème se pose en cas de présence de plusieurs DC sur le même site, l'ordre est souvent aléatoire ou négligé par la plupart des entreprises
  • 71. Fonctionnement Quand il s'agit de plusieurs DC, il est préférable de mettre le PDC et le DC concerné en dernière position PC-2 DC-1 Tous les rôles DC-2 (PDC-RID) DC-3 DC-4
  • 72. Le client interroge le DC-1 par rapport user3 DC-1 ne trouve pas de réponse et interroge le DC-3 et DC-4 Il interrogera le (PDC) avant dernier (cela garantira qu'il sera au courant de tout changement) DC-1 répondra à la requête du PC-2 PC-2 DC-1 Tous les rôles DC-2 (PDC-RID) DC-3 DC-4 Ordre DNS /TCP DC-3 DC-4 DC-2 DC-1 Fonctionnement - Suite
  • 73. Bonne pratique Il est préférable de toujours effectuer les modifications sur le DC (PDC), cela réduira les erreurs en cas de problème de réplication entre DC, ou si plusieurs modifications sont faites en même temps PC-2 DC-1 Tous les rôles DC-2 (PDC-RID) DC-3 DC-4
  • 74. Vérifier le recensement du DC Une formation Mehdi DAKHAMA
  • 75. Vérifier les GPOs présents dans le DC Il est important de vérifier les GPOs, Sources et scriptes pointant en dur sur un DC, cela permet d'optimiser la répartition des charges et la Haute disponibilité Une formation
  • 77. Déployer un deuxième AD Une formation Mehdi DAKHAMA
  • 78. Une fois les prérequis et la planification sont vérifiées, nous pouvons passer au déploiement, notre deuxièmes contrôleur de domaine aura les rôles suivant (PDC-RID) et les adresses IP ainsi que l'ordre DNS établie en amant PS : le DC peut être déployé en GUI ou par script PowerShell, il pourra aussi être automatisé par DSC (il n'est pas nécessaire de l'automatiser) On peut promouvoir un serveur dans le domaine en DC à partir du gestionnaire de serveur DC-M-1 DNS : DC-m-2 DC-m-1 DC-M-2 DNS : DC-m-2 DC-m-1 Rôles (PDC-RID) Déployer un deuxième AD
  • 79. Configuration du site et des adresses IP inter-sites Légende : Réseau 192.168.10.0 /24 DC-1 : 192.168.10.10 Pare-feu (Passerelle) 192.168.10.1 Clients : 192.168.10.50 ~150
  • 80. Vérifier la réplication Une formation Mehdi DAKHAMA
  • 81. La réplication peut être vérifié en mode graphique en créant tout simplement un objet La commande "repadmin" donne plus de détails sur la réplication L'ajout du rôle "réplication DFS" DC-M-1 DC-M-2 Vérifier la réplication
  • 83. Vérifier la répartition des charges Une formation Mehdi DAKHAMA
  • 84. DC-M-1 DC-M-2 Transfert des rôles PDC Une fois la réplication est validée, le transfert de rôle peut se faire en commande de ligne Powershell ou sur interface graphique Commande : "Move-ADDirectoryServerOperationMasterRole –identity "nom du DC" – OperationMasterRole PDCEmulator"
  • 85. DC-M-1 DC-M-2 Les bonnes pratiques Transfert de rôles Un même rôle ne peut pas exister en même temps dans la même infrastructure cela perturbera tous les logs et la topologie d'AD Attention donc au restauration ou sauvegarde du serveur, après un transfert du rôle, il faudra commencer une sauvegarde totale si elle est en incrémentielle
  • 86. Planifier un AD en mode minimale Une formation Mehdi DAKHAMA
  • 87. Une formation Présentation du mode Minimale Le mode minimale (dit aussi mode Core) est une version de Windows server en ligne de commande (sans interface graphique) Pourquoi cette version ? Le basculement entre mode n'est plus possible
  • 88. Une formation Les particularités du mode Minimale Plus léger : l'espace disque nécessaire est moins important vu que seuls des services et fonctionnalités de base sont disponible Plus rapide : l'installation et le démarrage (ouverture de session) sont plus rapide vu qu'il y'a moins d'éléments à charge (bureau, interfaces graphiques ..) Moins gourmand : il utilise peu de ressources, par rapport au version graphique Plus sécurisé : peu de services sont activés par défaut, ce qui le rend moins vulnérable, vu qu'on maitrise les services (compteurs…) qu'on souhaite autoriser (contrairement au GUI ou il faut fermer ce qui n'est pas utilisé)
  • 89. Une formation Licence et version Le serveur Core n'a pas d'avantage ou de différence du coté licence
  • 90. Une formation Ressources à allouer Un cœur 1,4 HGZ 64 bits 512 MO 4 GO d'escape pour l'installation (32GO minimum en prod) https://docs.microsoft.com/fr-fr/windows-server/get- started/hardware-requirements
  • 91. Un serveur Core hébergeant le rôle AD+DNS en occurrence DC, agit comme un DC en expérience utilisateur Les mêmes services seront disponible et répondra de la même façon aux requetés, il n'est pas plus sécurisé contrairement à ce que l'on croit Bon à savoir PC-1 Users
  • 92. Déployer un AD en mode Core Une formation Mehdi DAKHAMA
  • 93. Une fois la planification (nom, @IP, rôles) est terminée, nous pourrons procéder à l'installation et configuration du serveur en mode Core DC-M-1 DNS : DC-m-2 DC-m-1 DC-M-2 DNS : DC-m-2 DC-m-1 Rôles (PDC-RID) Infra en cours Nouveau serveur Core DC-MC-1 DNS : DC-m-1 DC-m-2 DC-MC-1 Déployer un AD en mode Core
  • 94. Comprendre le clonage d'un DC Une formation Mehdi DAKHAMA
  • 95. Une formation Présentation Le clonage de l'AD apparut à partir de la version Windows Server 2012, permet d'anticiper le déploiement des nouveaux Contrôleurs de domaines pour éviter toutes erreurs Le nouveau serveur aura la même configuration et paramétrage que celui de base à quelques différences liés aux logiciels installés Quelques rôles sont pris en charges par le clonage comme ADCS, AD LDS et le DHCP Grâce au fichier de réponse généré, le nouveau DC récupèrera automatiquement son paramétrage @IP, nom et sera opérationnel directement, ceci peut être appliqué pour un déploiement Offline
  • 96. Le nouveau serveur sera en même mode Core ou GUI Le serveur sera fonctionnel dès le redémarrage et agira comme un nouveau DC Il est préférable d'enlever les applications et scripts personnalisés avant le clonage Bon à savoir DC-M-1 DC-M-2 Infra en cours Nouveau serveur DC-MC-1
  • 97. Pour plus d'information sur le mécanisme du clonage https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2- and-2012/hh831734(v=ws.11)?redirectedfrom=MSDN Le mécanisme du clonage
  • 98. Déployer un AD en mode clone Une formation Mehdi DAKHAMA
  • 99. Une formation Les prérequis Le DC doit être membre du groupe « Contrôleurs de domaine clonables » Les commandes PS utilisées Get-ADDCCloningExcludedApplicationList –GenerateXml Permet de vérifier et valider la compatibilité des applications déjà présentes New-ADDCCloneConfigFile Crée un fichier de réponse contenant les informations du nouveau DC (@IP, nom)
  • 100. Une formation Les étapes 1. Eteindre le DC en cours 2. Exporter la VM avec hyper-V 3. Démarrer les deux DC
  • 101. Maitriser le transfert des zones DNS Une formation Mehdi DAKHAMA
  • 102. Une formation Présentation Le DNS joue un rôle important dans l'authentification et la réplication entre DC La réplication entre zone ou plutôt transfert des zones entre DC permet de choisir un serveur à partir duquel les enregistrements seront répliqués Une mauvaise configuration de transfert des zones expose les DC aux attaques et aux vulnérabilités
  • 103. Une formation La Zone Secondaire permet de créer une copie en lecture seule de la zone principale, avant, cela été utilisé sur des serveurs tiers Il n'est pas recommandé d'utiliser une Zone secondaire sur un DC en écriture, cela ne fera pas accroitre la sécurité, et augmentera le risque de dysfonctionnement (ce n'est pas alors une bonne pratique) Il ne faut jamais configurer ou transférer une Zone DNS sur un serveur linux ou quoique ce soit, ceci était une mauvaise pratique dans le passé et devient une porte dérobée (ne plus utiliser cette méthode, et/ou justifier cette démarche avec documentation) Bonnes pratiques
  • 104. Une formation Sécurité de niveau bas : toutes les zones DNS autorisent les transferts de zones vers tout serveur Sécurité de niveau moyen : sans exception, les zones DNS limitent les transferts de zones aux serveurs répertoriés dans les enregistrements des ressources de serveurs de noms (NS) de leurs zones Sécurité de niveau élevé : sans exception, les zones DNS limitent les transferts de zone vers des adresses IP spécifiées https://docs.microsoft.com/fr-fr/services- hub/health/remediation-steps-ad/configure-all-dns-zones-only- to-allow-zone-transfers-to-specified-ip-addresses Différents modes de configuration
  • 105. Transfert et délégation Le transfert des zones intra domaine entre DC, est une action générée et configurée par défaut Il ne faut pas confondre, par abus de langage, le transfert de zone avec la délégation qui consiste à envoyer une partie ou copie du zone DNS courante à un autre serveurs dans un autre domaine (avec ou sans relation d'approbation)
  • 106. Rétrograder un contrôleur de domaine Une formation Mehdi DAKHAMA
  • 107. Une formation Présentation Même s'il parait simple de rétrograder un DC, il faudra aussi procéder à une planification, afin de prévoir que deviendra le DC par la suite, qui prendra l@ IP et le nom etc… ainsi que le rôle (FSMO) Il est possible de supprimer l'AD à partir du serveur concerné ou d'un autre serveur La rétrogradation peut être lancé en mode Graphique comme en commande avec PowerShell Uninstall-addsdomaincontroller
  • 108. Une formation Assurez-vous que la réplication est fonctionnelle avant de procéder à la rétrogradation La rétrogradation supprime les informations de l'AD mais pas le rôle DNS, ni AD, ils resteront toujours disponible sur le serveur mais ces derniers n'agissent pas en tant qu'un DC et ne répliquent rien Le DC passera de l'OU "Domain Controller" à Computer Il est préférable de faire la rétrogradation à partir du serveur "maitre" pour s'assurer du bon fonctionnement et du nettoyage de la zone La rétrogradation devra se faire sur les serveurs en ligne et connectés Il faudra oublier les sauvegardes effectués avant sur le DC, ne jamais restaurer un DC rétrogradé dans l'infra Bonnes pratiques
  • 109. Pour plus d'information sur le mécanisme du clonage https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/deploy/demoting-domain- controllers-and-domains--level-200- Le mécanisme du clonage
  • 110. Rétrograder un contrôleur de domaine Démo Une formation Mehdi DAKHAMA
  • 111. Découvrir le principe du Site et Services Une formation Mehdi DAKHAMA
  • 112. Une formation Présentation Site et Service est une interface qui permet de gérer la topologie de réplication de l'infrastructure AD C'est une représentation des objets stockés dans le conteneur sites de l'AD Il permet de définir sur quel Contrôleur de domaine pourra s'authentifier le client en fonction de son Site à partir de sa configuration réseau Il permet de choisir la fréquence de réplication entre DC Il permet de localiser les services publiés tels que le service d'impression afin de proposer les imprimantes les plus proches du sites d'utilisateurs S'il y'a une présence de plusieurs DC dans un site distant, la configuration du Site et Service devient importante
  • 113. Tous les réseaux doivent être définis et déclarer sur le bon site, même les sous réseaux Les Contrôleurs du domaine restent dans la même OU, ceci n’empêche pas de les déplacer sur le bon site, il n'existe aucun lien entre les emplacement "Site et Service" et les 'OU‘ Donc, il ne faut pas déplacer les DC dans une OU autre celle par défaut Bonnes pratiques 192.168.10.0 192.168.20.0
  • 114. La console Site et Service est composée de plusieurs sections que nous allons détailler ensemble Type de liens de réplication Intra-site : lien de réplication entre les contrôleurs de domaine dans un même site Inter-sites : lien de réplication entre les sites Active Directory dans des sites différents Les relations inter-sites sont présentes dans nœud Inter-Sites Transports Eléments du Site et Service Inter-Sites Intra-Sites
  • 115. Subnets : Contient les différents réseaux dans l'infrastructure, il faudra déclarer tous les réseaux faisant appel aux services d'annuaire, même s'ils ne s'agit pas de machines Les sites sont créer dans le dernier nœud en bleu, ils contiennent les différents contrôleurs de domaine faisant partis du même site L’objet Paramètres NTDS stocke les objets de connexion qui rendent possible la réplication entre plusieurs contrôleurs de domaine, il permet de définir un Catalogue global sur un DC, et de vérifier la topologie de réplication Eléments du Site et Service - Suite
  • 116. Une formation La réplication utilise Remote Procedure Call (RPC) sur le transport IP ou SMTP (Simple Mail Transfer Protocol) Vous pouvez utiliser le protocole SMTP pour envoyer la réplication dans des messages électroniques dans les environnements dans lesquels aucune liaison de réseau étendu n’est disponible Dans ce cas, la réplication aura lieu en fonction de la planification de messagerie, et non pas en fonction de la planification de liens de sites La réplication
  • 117. Une formation Par défaut, la réplication intersites utilise le protocole de transport IP pour remettre les paquets de réplication Vous pouvez utiliser les conteneurs Transport intersites IP et SMTP afin d’effectuer les tâches suivantes Créer des liens de sites (Vous pouvez ajouter des liens de sites à la topologie de réplication selon vos besoins et la présence de nouveaux sites) Créer des ponts entre liens de sites (Les liens de sites sont, par défaut, connectés par des ponts dans les services AD DS, et les ponts ne sont pas nécessaires dans la plupart des déploiements) En savoir plus https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/get- started/replication/active-directory-replication-concepts#BKMK_2 Méthode de transport de réplication
  • 118. La fréquence permet de définir la période de réplication en prenant en compte les critères choisis Le coût permet de favoriser un lien par rapport à un autre, le coût le moins élevé sera le prioritaire La fréquence de réplication en minutes, cette dernière est modifiable graphiquement Fréquence de la réplication
  • 119. Introduction à la réplication Active Directory Une formation Mehdi DAKHAMA
  • 120. Une formation Présentation La réplication dans Active Directory repose sur le transfert et la mise à jour des objets Active Directory d’un contrôleur de domaine à un autre Comme vu précédemment les échanges se font en fonction des paramètres de réplication choisit (Site, mode IP/SNMP, Fréquences) La réplication s'appuie sur les éléments suivant KCC Site Pont entre liens de sites Réplication SYSVOL DFS
  • 121. Une formation Réplication SYSVOL et DFS SYSVOL est un ensemble de dossiers dans le système de fichiers qui existe sur chaque contrôleur de domaine dans un domaine Les dossiers SYSVOL fournissent un emplacement par défaut Active Directory pour les fichiers qui doivent être répliqués dans l’ensemble d’un domaine, y compris les objets stratégie de groupe (GPO), les scripts de démarrage et d’arrêt, ainsi que les scripts d’ouverture et de fermeture de session Windows Server depuis 2012 R2 utilise le système de fichier DFSR pour répliquer ces modifications en fonction de la planification que vous avez créé lors de la conception de la topologie de votre site
  • 122. Une formation KCC Le KCC (Knowledge Consistency Checker – KCC) est un processus intégré qui s’exécute sur tous les contrôleurs de domaine et qui a pour rôle de vérifier la cohérence des données répliquées, en lisant sur la base de données d'annuaire NTDS Le KCC examine l’état de réplication des connexions existantes pour déterminer si des connexions ne fonctionnent pas Il lit les données de configuration, et lit et écrit les objets de connexion pour les contrôleurs de domaine Dans une réplication intrasite les données ne sont pas compressées, les modifications sont envoyées immédiatement aux contrôleurs de domaine
  • 123. Une formation Lien utile - KCC https://docs.microsoft.com/fr-fr/windows- server/identity/ad-ds/get-started/replication/active- directory-replication-concepts
  • 124. Une formation La taille minimale d'un paquet répliqués est de 1MO en moyenne la taille maximale envoisine les 10MO Cette valeur peut être changer par la clé suivante HKEY_LOCAL_MACHINESystemCurrentControlSetServicesN TDSParameters Le dossier Sysvol est limité par défaut quant à lui à 4GO, c'est pour cette raison qu'il est recommandé de ne pas placer des images ou exe d'une grande taille dans les éléments répliqués La réplication n'envoient que les informations sur les objets modifiés en s'appuyant sur les metadatas Bonnes pratiques
  • 125. Une formation Pont entre liens de sites Un pont de liaison de site connecte deux ou plusieurs liens de sites et active la transitivité entre les liens de sites Chaque lien de site dans un pont doit avoir un site en commun avec un autre lien de sites dans le pont le KCC peut former un itinéraire transitif via tous les liens de sites qui ont certains sites en commun Si ce comportement est désactivé, chaque lien de sites représente son propre réseau distinct et isolé
  • 126. Site A Site B Site C Site D Cas 1 : KCC réplique Cas 2 : Liens crées Cas 3 : Tête de pont
  • 127. Créer et configurer des sites Une formation Mehdi DAKHAMA
  • 128. Introduction au RODC Une formation Mehdi DAKHAMA
  • 129. Une formation Présentation Un RODC désigne un contrôleur de domaine en lecture seule, utilisé généralement dans les succursales Il héberge une copie en lecture seule de la base de données AD (NTDS), ce qui empêche les utilisateurs de faire des modifications sur l'annuaire
  • 130. Une formation A savoir Le RODC ne réplique pas les données AD ni le dossier SYSVOL vers les contrôleurs de domaine en écriture Il est donc inutile de le mentionner dans les paramètres DNS, le DNS est aussi en lecture seule Le RODC ne conserve pas les hachages de mots de passe des objets ni les attributs sensibles comme (ms-PKI-DPAPIMasterKeys, ms-FVE-RecoveryPassword, ms-PKI-AccountCredentials …) Les attributs sensible font partie de FAS (Filtered Attribute Set) Le RODC fait du relais, il n'authentifie pas les utilisateurs mais transmet leur demande au DC en écriture
  • 131. Une formation Il est utile lors d'un audit de sélectionner les éléments à ajouter dans le FAS pour accroitre la sécurité tel que (ms-MCS-AdmPwd …) ce dernier est modifiable Il est possible de mettre en cache les informations d'authentification pour certains utilisateurs ou groupes Le RODC peut être installé en GUI comme en mode Core Il est fortement déconseillé de mettre en place un RODC dans le même site qu'un DC en écriture Cela présente même un risque de sécurité, et rend inutile l'utilisation du contrôleur de domaine en lecture seule Bonnes pratiques
  • 132. Déployer un RODC Une formation Mehdi DAKHAMA
  • 133. Une formation Plan Planifier le déploiement de RODC Création du Site Déploiement de RODC Ajout d'un attribut dans le FAS Modification Confidential et Filter
  • 134. Planification Le RODC sera placé dans le nouveau site à créer Site-A Site-B RODC Réplication unidirectionnelle
  • 136. Empêcher la réplication d'attributs sur RODC Une formation Mehdi DAKHAMA
  • 137. Modifier le FAS Pour ajouter un attribut au FAS il faut ajouter à sa valeur Héxadecimal 512 Pour mettre un attribut en Confidential (c’est-à-dire que les utilisateurs authentifiés ne pourront pas le lire) il faudra ajouter 128 Pour retirer ces valeurs il faudra soustraire la même valeur
  • 138. Configurer le cache MDP dans un RODC Une formation Mehdi DAKHAMA
  • 139. Une formation Présentation Le cache de mot de passe dans le RODC permet d'authentifier un utilisateur sur l'RODC, ce qui peut être utile lors d'une coupure de connexion vers les DC en écriture L'ajout des objets se fait dans le groupe cache des MDP RODC (on peut ajouter et retirer un objet à tout moment) Ajouter un objet dans le cache MDP permet d'authentifier l'utilisateur ayant le droit, mais cela n'autorise toujours pas la modification sur l'AD, si son MDP s'expire par exemple il sera nécessaire de contacter un DC en écriture pour changer ce dernier
  • 140. Gérer la topologie des sites Une formation Mehdi DAKHAMA
  • 141. Une formation Présentation La topologie et réplication AD peut être gérer avec PowerShell ou l'outil AD-replication-tool Pour afficher tous les sites Active Directory Get-ADReplicationSite -Filter * | ft hostname,site Gérer la topologie de réplication New-ADReplicationSite Paris Pour définir le coût du lien de site et la fréquence de réplication Set-ADReplicationSiteLink Paris-Marseill –Cost 100 – ReplicationFrequencyInMinutes 15 Pour afficher les informations et l’état de réplication Get-ADReplicationUpToDatenessVectorTable DC1 Pour afficher la table de vecteurs de mise à jour Get-ADReplicationUpToDatenessVectorTable DC1
  • 142. Une formation Réplication et métadonnées Repadmin.exe valide l'état et la cohérence de la réplication Active Directory Il offre aussi des options de manipulation simple des données, ce dernier s'est vu remplacer par les commandes PS gérant des sorties Get-ADReplicationFailure Get-ADReplicationPartnerMetadata Cette applet de commande renvoie les informations sur la configuration et l'état de réplication d'un contrôleur de domaine pour surveiller, créer un inventaire ou résoudre un problème Get-ADReplicationUpToDatenessVectorTable Get-Adreplication*
  • 143. Une formation En savoir plus https://docs.microsoft.com/fr-fr/windows- server/identity/ad-ds/manage/powershell/advanced- active-directory-replication-and-topology-management- using-windows-powershell--level-200-
  • 144. Découvrir les bonnes pratiques DNS dans AD multi sites Une formation Mehdi DAKHAMA
  • 145. Une formation Présentation Nous avons vu ensemble dans les précédents chapitres comment configurer l'ordre DNS sur les contrôleurs de domaines dans le même site, afin d'optimiser la réplication et la recherche Nous allons voir comment choisir l'ordre DNS dans des multi-sites L'ordre DNS est primordial dans une configuration multi- sites, il permet d'accélérer la réplication, l’authentification et assure un bon fonctionnement en réduisant les latences entre sites
  • 147. Une formation Il n'est pas recommander de créer une relation de réplication avec un RODC car ce dernier réplique dans un seul sens Sur un même Site ou aucun DC n'héberge de rôle FSMO, l'ordre DNS n'est pas important, on peut mettre DC-E-1 / 2 /3 /4, s'il y'a un DC particulier qui va répliquer avec les autres sites, il est préférable de mettre ce dernier en avant dernière position (on peut ajouter exceptionnellement le DC du site le plus proche, et dans certain cas selon la distance séparant le Site on peut ajouter le PDC) Bonnes pratiques
  • 148. Une formation Le PDC à un rôle important dans le fonctionnement AD et réplication, c'est le seul qui doit être présent en avant dernière position sur tous les sites si cela est possible Il n'est pas nécessaire de renseigner tous les DC de tous les sites sur eux même, cela va créer des conflits et beaucoup de latence A retenir
  • 150. Une formation Bilan Dans cette formation nous avons pu Découvrir les différents types de Contrôleurs de domaine Apprendre comment mettre en place une topologie et architecture AD correcte pour optimiser le bon fonctionnement, en respectant les bonnes pratiques et meilleures recommandations