Cette formation permet de maitriser la gestion entre plusieurs serveurs AD, comprendre la topologie de réplication, et être capable d'implémenter l'architecture adéquate pour répondre aux besoins et faire face aux exigences.
A l'issue de la formation vous seriez capable de gérer et simplifier le déploiement et la gestion de l’infrastructure et à fournir des accès plus sécurisés au contrôleur du domaine de n’importe quel endroit.
Vous apprendriez à configurer quelques fonctionnalités clés d’Active Directory, telles que les services de domaine Active Directory, et découvrir tous les types de contrôleur du domaine.
2. Cycle de formations Microsoft Server
Installation et
Configuration de
base
Configuration et
Bonnes Pratiques
Multi-Site et
Service
Diagnostique et
Troubleshooting
Optimisation et
Sécurisation avec
l'Architecture N-Tier
DHCP
RDS
DNS
IIS
CA…
Audit AD
Administration AD
Windows Server
Sécurité AD
3. Une formation
Introduction
1. Introduction à la Haute Disponibilité d’AD
2. Déploiement de contrôleur de domaine
3. Planification et implémentation des sites
Conclusion
Plan de la formation
4. Dans cette formation nous allons apprendre à gérer, manipuler plusieurs Contrôleurs de domaine
Active Directory, planifier, et mettre en place une architecture Multi-Maitres et Multi-Sites sécurisée
et fonctionnelle en respectant les bonnes pratiques et recommandations
Introduction
6. Une formation
Public concerné
Administrateurs système et réseaux
Consultants / Architectes Système
Techniciens système et réseaux
Etudiants BTS SIO / Bachelor / Master
Formateurs / Enseignants Système
Curieux désirant découvrir le service AD
11. Machine Conf Minimal
Serveur sous Hyper-V
ou VSphere
5 VMS
16 GO de RAM (minimum)
I3 ou plus
60 GO espace disque
SSD ou Nvme
Iso Windows server
Prérequis matériels
14. Machines Infos
DC-1 IP : 192.168.10.10
Passerelle : 192.168.10.1
DNS : 192.168.10.10
PC-1 IP : 192.168.10.50
WAN
LAN
192.168.10.0 /24
Comptes Rôles
Mehdi Membre admin du domaine
tech1 Délégation ajout des machines
Groupes restreints
L’ancienne infrastructure
18. Une formation
Le modèle multi-maître
Active Directory est une base de données multi-maitres
qui offre la possibilité d’autoriser les modifications à se
produire sur n’importe quel dc de l’entreprise
Chose qui peut induire aux conflits, pouvant
potentiellement entraîner des problèmes une fois que les
données sont répliquées dans le reste de l’entreprise
22. Une formation
Le modèle Mono-maître
Pour éviter les mises à jour et changements conflictuelles dans
Windows, Active Directory effectue des mises à jour de certains
objets de manière mono-maître
Le modèle à maître unique permet à un seul dc dans l’ensemble
du répertoire de traiter les mises à jour
Active Directory étend le modèle à maître unique présent dans les
versions antérieures de Windows pour inclure plusieurs rôles et la
possibilité de transférer des rôles vers n’importe quel dc dans
l’entreprise
Comme un rôle Active Directory n’est pas lié à un seul dc, il est
appelé rôle FSMO
24. Les différents Rôles
Les rôles (FSMO) assurent une bonne coordination entre les différents contrôleurs du domaine
De nombreux termes sont utilisés pour les opérations à maître unique dans AD DS, notamment
Maître d’opérations (ou rôle maître d’opérations)
Rôle de maître unique
Opérations à maître unique flottant (FMSO)
25. Une formation
Maitre de schéma
Le titulaire du rôle FSMO du maître de schéma est le
responsable des mises à jour du schéma d’annuaire
Il est unique dans une forêt, il doit être configuré sur un
DC protégé, seuls les membres d'admins du schéma
peuvent modifier le schéma
Les DCS et les membres de la forêt contactent uniquement
le rôle FSMO lors de la mise à jour du schéma
27. Une formation
Attribution de noms de domaine
Le dc titulaire du rôle est le seul à pouvoir ajouter ou
supprimer un domaine dans l’annuaire
Il peut également ajouter ou supprimer des références
croisées à des domaines dans des répertoires externes
Il n'est sollicité que lors d'une modification apportée à
l’espace de noms de domaine
Il est recommandé de le mettre sur le DC protégé
29. Une formation
Présentation du Maitre RID
Le titulaire du rôle FSMO maître RID est le seul
responsable du traitement des demandes de pool RID à
partir de tous les DCs au sein d’un domaine donné
Il est également responsable de la suppression d’un objet
de son domaine et de son déplacement dans un autre
domaine
Chaque DC possède son propre pool RDI unique, le Maitre
RID n'est contacté que lorsque ce pool atteint son seuil
Il n'est sollicité qu'en création d'un nouveau DC
30. Une formation
Maitre RID
Lorsqu’un DC crée un objet principal de sécurité, tel qu’un
utilisateur ou un groupe, il joint un ID de sécurité unique
(SID) à l’objet
Ce SID se compose des
Un SID de domaine identique pour tous les SID créés
dans un domaine
ID relatif (RID) unique pour chaque SID principal de
sécurité créé dans un domaine
32. Une formation
Maitre d'émulateur PDC
L’émulateur PDC fait autorité pour le domaine
Il doit être configuré pour collecter l’heure à partir d’une source
externe
Il est nécessaire pour synchroniser le temps dans une entreprise et
requis par le protocole d’authentification Kerberos
Toutes les machines d’une entreprise utilisent un temps commun
L’objectif du service de temps est de s’assurer que le service
Windows temps utilise une relation hiérarchique qui contrôle
l’autorité
Il n’autorise pas les boucles pour garantir une utilisation courante
appropriée
33. Une formation
Maitre d'émulateur PDC - Suite
Le DC ayant le rôle PDC doit être joignable par toutes les
machines du domaine incluant les serveurs et postes
d'utilisateurs
Si le PDC est injoignable durant un bon moment,
l'ouverture de session peut échouer sur les DC en raison
de décalage horaire trop important
Le changement des MDPs entre DC des sites distant
pourra être plus lent, et avoir des conflits
36. Une formation
Résumé
La planification et déploiement des rôles FSMO sont
des éléments importants pour assurer le bon
fonctionnement et la sécurité d'un domaine AD
Certains rôles doivent être sur des serveurs
protégés, selon le besoin les rôles peuvent être
dispatchés sur deux ou plusieurs serveurs
41. Une formation
Principe de HA dans l'AD
Active Directory joue un rôle essentiel dans une infrastructure
sous environnement Microsoft, il permet d'authentifier et
d’accorder l'accès à travers les tickets (jetons Kerberos) aux
différents services
Il est alors important de maintenir ce processus, et veiller à ce que
l'annuaire reste disponible et accessible
La Haute Disponibilité permet de protéger les systèmes contre les
interruptions de service et la perte de données
42. Risque d'un mono serveur
En cas d'indisponibilité du serveur principal, tous les services sont interrompus
notamment la gestion d'identité
43. Une formation
Présentation du HA
Il est important d'implémenter la HA disponibilité du
serveur d'annuaire AD, afin d'assurer et de garantir le bon
fonctionnement de tous les services
Plusieurs scénarios sont possibles, selon le résultat
souhaité
Mettre en place plusieurs DC
Mettre en place un NLB
Mettre en place un Cluster
44. Implémentation du HA
La mise en place de plusieurs DC est recommandée par Microsoft pour assurer la continuité des
services (authentification, applications des GPOs, résolution des requêtes DNS….)
Plusieurs DC ne garantissent pas la HA s'ils ne sont pas bien configurés
Serveur DC-1 Serveur DC-2
45. Bon à savoir
Si les machines sont configurées en dur pour pointer vers un DC (Script BAT, Lecteur réseau, DNS)
certains services risquent d'être inaccessible
Serveur DC-1 Serveur DC-2
DC HS ou inaccessible
46. Bon à savoir
Si les DCs détenant des rôles FSMO important restent injoignable pendant un certain temps,
l'authentification et les services risquent d‘être interrompus
PC-2
PC-2
Les nouvelles machines ne pourront
pas synchroniser le temps
Authentification refusée
Réplication corrompue
47. Mauvaise pratique
Si un DC détenant un rôle important est inaccessible, ses rôles ne sont pas transférés automatiquement, ni
répartis sur d'autres DCs, aucun DC ne pourra alors assurer ses fonctionnalités et des conflits risquent
d'apparaitre
La Haute Disponibilité n'est pas opérationnelle quand on sollicite un rôle inaccessible
Si le DC HS ne détient aucun rôle, la Haute Disponibilité est alors maintenue
48. Implémentation du NLB
La mise en place de la répartition des charges est inutile sur des DCs, vu que ces derniers la font
automatiquement est authentifie une fois / nbrs DC
Si
Si
Si
Si
Si
Si
PC-2
NLB
Répartition des charges
Charges répartie deux fois, créant un problème de réplication
49. Mise en place d'un Cluster
Le cluster est la meilleure solution garantissant la Haute Disponibilité de tous les services et rôles
d'annuaire AD, cependant sa mise en place et son maintien sont coûteux pour les entreprises
Cette solution ne garantit pas le bon fonctionnement en cas de conflit ou mauvaise configuration
au sein d'un DC
DC-1
PC-2
50. Limites du Cluster
DC-1
PC-2
Forcer un protocole d'authentification sur le
DC1, ou faire un mauvais durcissement
empêchera le bon fonctionnement de l'AD
Il est possible de relancer le DC si un service tombe, ou avoir une alerte
51. Résumé
La Haute Disponibilité sous AD est une combinaison entre Architecture, infrastructure,
répartition des rôles, et surveillance
53. Une formation
La mise en place d'un deuxième AD
Même si la mise en place d'un deuxième AD (DC) est une
chose simple, une mauvaise gestion pourra ralentir et
compromettre le bon fonctionnement des services AD
La planification à comme objectif d'améliorer et évoluer les
services dans le temps, une étude préalable est ainsi
nécessaire
54. Les étapes de planification
Etude et
planification
Etude et
planification
Analyse et
diagnostic du
présent
Analyse et
diagnostic du
présent
Recensement
Recensement
Configuration
et Mise en
place
Configuration
et Mise en
place
Recette et
Documentation
Recette et
Documentation
Teste et
Validation
Teste et
Validation
55. Une formation
Les étapes de planification
Les Licences et versions ?
Quel rôle FSMO sera déployé ?
Quel ressource a attribuer ?
Taille de disque?
Quel Rôles seront installés ?
Quel adresse IP ?
Pré-configuration DNS ?
Convention de nommage ?
NTP ?
Azure AD ?
Qui peut se connecter ?
Script pointant vers un Serveur en dur ?
56. Une formation
Licences et versions
Vérifier la compatibilité entre les différentes versions
présentes
Choisir l'homogénéité du parc (exp : 2016, 2019, 2022,
2024 ….)
Vérifier les licences CAL user pour l'authentification des
services
57. Une formation
Ressources à allouer
Processeur, RAM, Carte réseau, VM ou cloud …
Taille du disque (investigation nettoyage exp logues,
sysvol)
58. Rôle FSMO
Etudier au préalable et identifier le rôle à installer ainsi que la position du serveur (Sites et sous
réseaux)
Quel rôle supplémentaire sera installé sur le DC
59. Adresse IP
L'adresse IP est à déterminer avant le déploiement
Il est recommandé de laisser un creux @IP entre serveur pour des tâches de maintenance et
post migration (Upgrade …)
192.168.10.10 192.168.10.12 192.168.10.14
60. Nommage, restriction
Les noms des serveurs devront suivre une logique et être compréhensibles
Mettre des noms de DC incompréhensibles ne cachera pas le netbios et ne protègera pas les
serveurs (exp : Zeus, Xena, Hercules, Snoopy)
Définir qui peut ouvrir une session sur quel DC selon le rôle (exp ; restreindre les admins du
schéma sur le DC-M1)
DC-M1 DC-M2 DC-M3
61. Etat de santé
Il est très important de valider et vérifier l'état du santé des DC en place, et la réplication avec des
commandes de base et en se servant des logs
DCDIAG
Repadmin
Eventview
Best Practice Analyzer
DC-M1
63. Une formation
Rôle DNS
Le DNS associé à l'AD formant ainsi le DC, permet outre la
résolution des noms de domaine externe (du coup accès à
internet), de localiser les contrôleurs de domaine qui hébergent le
service d'annuaire
Le DNS est nécessaire pour le mécanisme d'authentification
L'ordre DNS garantie un bon fonctionnement des services AD
(AAA) et gestion d'identité, il est responsable des réplications et
permet de répondre efficacement à des requêtes de recherche
64. Mauvaises pratiques
Mettre un DNS externe tel que Google 8.8.8.8 est une mauvaise pratique, impliquant un
dysfonctionnement et engendreront des latences dans la résolution des noms et d’authentification
ainsi que l'ouverture de session
Laisser le deuxième AD auto configuré sans anticiper la configuration du premier AD ou ceux déjà
présent est un manque de maitrise avec un réel impact sur le fonctionnement
DNS : 192.168.10.10 DNS 1 : 192.168.10.10
DNS 2 : 192.168.10.12
DNS auto configuré sur AD2
65. Ordre DNS pour deux DC
Quand il s'agit de deux contrôleurs de domaine, la recommandation et l'ordre sont simples,
souvent on inverse les @ IP des DC, cela a pour objectif d'accélérer les recherches et requêtss non
aboutis
DNS 1 : 192.168.10.12
DNS 2 : 127.0.0.1
DNS 1 : 192.168.10.12
DNS 2 : 192.168.10.10
Méthode 2
Méthode 1
66. Comment ça se passe ?
Quand un contrôleur de domaine ne trouve pas de résultat ou confus, il interroge les DC présent
dans ses paramètres DNS selon l'ordre choisi, il ne validera le résultat qu'une fois toutes les
requêtes sont retournées par les DC ou qu'un DC de la liste valide la requête
PS : Contrairement à ce qu'on croit l'ordre DNS n'agit pas sur l'ouverture de session, on ne peut
pas forcer l'ouverture de session sur un DC à partir d'un ordre DNS déployé par DHCP
PC-2
67. Mécanisme DNS - AD
Méthode 1
1. PC 1 : envoie une requête de recherche sur User3
2. DC 1 : ne trouve pas l'user3 dans sa base, va interroger DC2
3. DC 2 : retournera le résultat s'il trouve ou pas user3
4. DC 1 : attend la réponse du DC2
5. DC 1 : répond à la requête du PC1
PC-2
DNS 1 : 192.168.10.10
DNS 2 : 192.168.10.12
2
3
1
68. Mécanisme DNS - AD
Méthode 2
1. PC 1 : envoie une requête de recherche sur User3
2. DC 1 : envoie une requête à DC2 et initie les recherches sur soit meme
3. DC 2 : retournera le résultat s'il trouve ou pas user3
4. DC 1 : peut confirmer le résultat
5. DC 1 : répond à la requête du PC1
PS : Cette méthode est potentiellement plus sûr et plus rapide pour deux DC
PC-2
DNS 1 : 192.168.10.12
DNS 2 : 192.168.10.10
2
3
1
69. Mécanisme DNS - AD
Cas conflit
Si l'user3 est créé en même temps sur le DC1 au moment que le DC2 est entrain de répondre à la
requête, en consultant l'event, le DC sera au courant du changement et validera la requête avant
de la retourner
PC-2
DNS 1 : 192.168.10.12
DNS 2 : 192.168.10.10
2
3
1
70. Cas de plusieurs DC
PC-2
Le grand problème se pose en cas de présence de plusieurs DC sur le même site, l'ordre
est souvent aléatoire ou négligé par la plupart des entreprises
71. Fonctionnement
Quand il s'agit de plusieurs DC, il est préférable de mettre le PDC et le DC concerné en
dernière position
PC-2
DC-1
Tous les rôles
DC-2
(PDC-RID)
DC-3
DC-4
72. Le client interroge le DC-1 par rapport user3
DC-1 ne trouve pas de réponse et interroge le DC-3 et DC-4
Il interrogera le (PDC) avant dernier (cela garantira qu'il sera au courant de tout changement)
DC-1 répondra à la requête du PC-2
PC-2
DC-1
Tous les rôles
DC-2
(PDC-RID)
DC-3
DC-4
Ordre DNS /TCP
DC-3
DC-4
DC-2
DC-1
Fonctionnement - Suite
73. Bonne pratique
Il est préférable de toujours effectuer les modifications sur le DC (PDC), cela réduira les erreurs en
cas de problème de réplication entre DC, ou si plusieurs modifications sont faites en même temps
PC-2
DC-1
Tous les rôles
DC-2
(PDC-RID)
DC-3
DC-4
75. Vérifier les GPOs présents dans le DC
Il est important de vérifier les GPOs, Sources et
scriptes pointant en dur sur un DC, cela permet
d'optimiser la répartition des charges et la Haute
disponibilité
Une formation
78. Une fois les prérequis et la planification sont vérifiées, nous pouvons passer au déploiement, notre
deuxièmes contrôleur de domaine aura les rôles suivant (PDC-RID) et les adresses IP ainsi que
l'ordre DNS établie en amant
PS : le DC peut être déployé en GUI ou par script PowerShell, il pourra aussi être automatisé par
DSC (il n'est pas nécessaire de l'automatiser)
On peut promouvoir un serveur dans le domaine en DC à partir du gestionnaire de serveur
DC-M-1
DNS : DC-m-2
DC-m-1
DC-M-2
DNS : DC-m-2
DC-m-1
Rôles (PDC-RID)
Déployer un deuxième AD
79. Configuration du site et des adresses IP inter-sites
Légende : Réseau 192.168.10.0 /24
DC-1 : 192.168.10.10
Pare-feu (Passerelle) 192.168.10.1
Clients : 192.168.10.50 ~150
81. La réplication peut être vérifié en mode graphique en créant tout simplement un objet
La commande "repadmin" donne plus de détails sur la réplication
L'ajout du rôle "réplication DFS"
DC-M-1 DC-M-2
Vérifier la réplication
84. DC-M-1 DC-M-2
Transfert des rôles
PDC
Une fois la réplication est validée, le transfert de rôle peut se faire en commande de ligne
Powershell ou sur interface graphique
Commande : "Move-ADDirectoryServerOperationMasterRole –identity "nom du DC" –
OperationMasterRole PDCEmulator"
85. DC-M-1 DC-M-2
Les bonnes pratiques
Transfert de rôles
Un même rôle ne peut pas exister en même temps dans la même infrastructure cela perturbera
tous les logs et la topologie d'AD
Attention donc au restauration ou sauvegarde du serveur, après un transfert du rôle, il faudra
commencer une sauvegarde totale si elle est en incrémentielle
87. Une formation
Présentation du mode Minimale
Le mode minimale (dit aussi mode Core) est une version
de Windows server en ligne de commande (sans interface
graphique)
Pourquoi cette version ?
Le basculement entre mode n'est plus possible
88. Une formation
Les particularités du mode Minimale
Plus léger : l'espace disque nécessaire est moins important vu
que seuls des services et fonctionnalités de base sont disponible
Plus rapide : l'installation et le démarrage (ouverture de session)
sont plus rapide vu qu'il y'a moins d'éléments à charge (bureau,
interfaces graphiques ..)
Moins gourmand : il utilise peu de ressources, par rapport au
version graphique
Plus sécurisé : peu de services sont activés par défaut, ce qui le
rend moins vulnérable, vu qu'on maitrise les services
(compteurs…) qu'on souhaite autoriser (contrairement au GUI ou il
faut fermer ce qui n'est pas utilisé)
89. Une formation
Licence et version
Le serveur Core n'a pas d'avantage ou de différence
du coté licence
90. Une formation
Ressources à allouer
Un cœur 1,4 HGZ 64 bits
512 MO
4 GO d'escape pour l'installation (32GO minimum en prod)
https://docs.microsoft.com/fr-fr/windows-server/get-
started/hardware-requirements
91. Un serveur Core hébergeant le rôle AD+DNS en occurrence DC, agit comme un DC en expérience
utilisateur
Les mêmes services seront disponible et répondra de la même façon aux requetés, il n'est pas plus
sécurisé contrairement à ce que l'on croit
Bon à savoir
PC-1
Users
93. Une fois la planification (nom, @IP, rôles) est terminée, nous pourrons procéder à
l'installation et configuration du serveur en mode Core
DC-M-1
DNS : DC-m-2
DC-m-1
DC-M-2
DNS : DC-m-2
DC-m-1
Rôles (PDC-RID)
Infra en cours
Nouveau serveur Core
DC-MC-1
DNS : DC-m-1
DC-m-2
DC-MC-1
Déployer un AD en mode Core
95. Une formation
Présentation
Le clonage de l'AD apparut à partir de la version Windows Server
2012, permet d'anticiper le déploiement des nouveaux
Contrôleurs de domaines pour éviter toutes erreurs
Le nouveau serveur aura la même configuration et paramétrage
que celui de base à quelques différences liés aux logiciels installés
Quelques rôles sont pris en charges par le clonage comme ADCS,
AD LDS et le DHCP
Grâce au fichier de réponse généré, le nouveau DC récupèrera
automatiquement son paramétrage @IP, nom et sera opérationnel
directement, ceci peut être appliqué pour un déploiement Offline
96. Le nouveau serveur sera en même mode Core ou GUI
Le serveur sera fonctionnel dès le redémarrage et agira comme un nouveau DC
Il est préférable d'enlever les applications et scripts personnalisés avant le clonage
Bon à savoir
DC-M-1 DC-M-2
Infra en cours Nouveau serveur
DC-MC-1
97. Pour plus d'information sur le mécanisme du clonage
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-
and-2012/hh831734(v=ws.11)?redirectedfrom=MSDN
Le mécanisme du clonage
98. Déployer un AD en mode clone
Une formation
Mehdi DAKHAMA
99. Une formation
Les prérequis
Le DC doit être membre du groupe « Contrôleurs de domaine
clonables »
Les commandes PS utilisées
Get-ADDCCloningExcludedApplicationList –GenerateXml
Permet de vérifier et valider la compatibilité des applications déjà
présentes
New-ADDCCloneConfigFile
Crée un fichier de réponse contenant les informations du nouveau
DC (@IP, nom)
102. Une formation
Présentation
Le DNS joue un rôle important dans l'authentification et la
réplication entre DC
La réplication entre zone ou plutôt transfert des zones
entre DC permet de choisir un serveur à partir duquel les
enregistrements seront répliqués
Une mauvaise configuration de transfert des zones expose
les DC aux attaques et aux vulnérabilités
103. Une formation
La Zone Secondaire permet de créer une copie en lecture seule de
la zone principale, avant, cela été utilisé sur des serveurs tiers
Il n'est pas recommandé d'utiliser une Zone secondaire sur un DC
en écriture, cela ne fera pas accroitre la sécurité, et augmentera le
risque de dysfonctionnement (ce n'est pas alors une bonne
pratique)
Il ne faut jamais configurer ou transférer une Zone DNS sur un
serveur linux ou quoique ce soit, ceci était une mauvaise pratique
dans le passé et devient une porte dérobée (ne plus utiliser cette
méthode, et/ou justifier cette démarche avec documentation)
Bonnes pratiques
104. Une formation
Sécurité de niveau bas : toutes les zones DNS autorisent les
transferts de zones vers tout serveur
Sécurité de niveau moyen : sans exception, les zones DNS
limitent les transferts de zones aux serveurs répertoriés dans les
enregistrements des ressources de serveurs de noms (NS) de
leurs zones
Sécurité de niveau élevé : sans exception, les zones DNS limitent
les transferts de zone vers des adresses IP spécifiées
https://docs.microsoft.com/fr-fr/services-
hub/health/remediation-steps-ad/configure-all-dns-zones-only-
to-allow-zone-transfers-to-specified-ip-addresses
Différents modes de configuration
105. Transfert et délégation
Le transfert des zones intra domaine entre DC, est une action générée et configurée par défaut
Il ne faut pas confondre, par abus de langage, le transfert de zone avec la délégation qui consiste à
envoyer une partie ou copie du zone DNS courante à un autre serveurs dans un autre domaine
(avec ou sans relation d'approbation)
107. Une formation
Présentation
Même s'il parait simple de rétrograder un DC, il faudra aussi
procéder à une planification, afin de prévoir que deviendra le DC
par la suite, qui prendra l@ IP et le nom etc… ainsi que le rôle
(FSMO)
Il est possible de supprimer l'AD à partir du serveur concerné ou
d'un autre serveur
La rétrogradation peut être lancé en mode Graphique comme en
commande avec PowerShell
Uninstall-addsdomaincontroller
108. Une formation
Assurez-vous que la réplication est fonctionnelle avant de procéder à
la rétrogradation
La rétrogradation supprime les informations de l'AD mais pas le rôle
DNS, ni AD, ils resteront toujours disponible sur le serveur mais ces
derniers n'agissent pas en tant qu'un DC et ne répliquent rien
Le DC passera de l'OU "Domain Controller" à Computer
Il est préférable de faire la rétrogradation à partir du serveur "maitre"
pour s'assurer du bon fonctionnement et du nettoyage de la zone
La rétrogradation devra se faire sur les serveurs en ligne et connectés
Il faudra oublier les sauvegardes effectués avant sur le DC, ne jamais
restaurer un DC rétrogradé dans l'infra
Bonnes pratiques
109. Pour plus d'information sur le mécanisme du clonage
https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/deploy/demoting-domain-
controllers-and-domains--level-200-
Le mécanisme du clonage
112. Une formation
Présentation
Site et Service est une interface qui permet de gérer la topologie de
réplication de l'infrastructure AD
C'est une représentation des objets stockés dans le conteneur sites de l'AD
Il permet de définir sur quel Contrôleur de domaine pourra s'authentifier le
client en fonction de son Site à partir de sa configuration réseau
Il permet de choisir la fréquence de réplication entre DC
Il permet de localiser les services publiés tels que le service d'impression
afin de proposer les imprimantes les plus proches du sites d'utilisateurs
S'il y'a une présence de plusieurs DC dans un site distant, la configuration
du Site et Service devient importante
113. Tous les réseaux doivent être définis et déclarer sur le bon site, même les sous réseaux
Les Contrôleurs du domaine restent dans la même OU, ceci n’empêche pas de les déplacer sur le
bon site, il n'existe aucun lien entre les emplacement "Site et Service" et les 'OU‘
Donc, il ne faut pas déplacer les DC dans une OU autre celle par défaut
Bonnes pratiques
192.168.10.0
192.168.20.0
114. La console Site et Service est composée de plusieurs sections que nous allons détailler ensemble
Type de liens de réplication
Intra-site : lien de réplication entre les contrôleurs de domaine dans un même site
Inter-sites : lien de réplication entre les sites Active Directory dans des sites différents
Les relations inter-sites sont présentes dans nœud Inter-Sites Transports
Eléments du Site et Service
Inter-Sites
Intra-Sites
115. Subnets : Contient les différents réseaux dans l'infrastructure, il faudra déclarer tous les réseaux faisant appel
aux services d'annuaire, même s'ils ne s'agit pas de machines
Les sites sont créer dans le dernier nœud en bleu, ils contiennent les différents contrôleurs de domaine faisant
partis du même site
L’objet Paramètres NTDS stocke les objets de connexion qui rendent possible la réplication entre plusieurs
contrôleurs de domaine, il permet de définir un Catalogue global sur un DC, et de vérifier la topologie de
réplication
Eléments du Site et Service - Suite
116. Une formation
La réplication utilise Remote Procedure Call (RPC) sur le
transport IP ou SMTP (Simple Mail Transfer Protocol)
Vous pouvez utiliser le protocole SMTP pour envoyer la
réplication dans des messages électroniques dans les
environnements dans lesquels aucune liaison de réseau
étendu n’est disponible
Dans ce cas, la réplication aura lieu en fonction de la
planification de messagerie, et non pas en fonction de la
planification de liens de sites
La réplication
117. Une formation
Par défaut, la réplication intersites utilise le protocole de transport IP pour
remettre les paquets de réplication
Vous pouvez utiliser les conteneurs Transport intersites IP et SMTP afin
d’effectuer les tâches suivantes
Créer des liens de sites (Vous pouvez ajouter des liens de sites à la
topologie de réplication selon vos besoins et la présence de nouveaux
sites)
Créer des ponts entre liens de sites (Les liens de sites sont, par défaut,
connectés par des ponts dans les services AD DS, et les ponts ne sont
pas nécessaires dans la plupart des déploiements)
En savoir plus
https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/get-
started/replication/active-directory-replication-concepts#BKMK_2
Méthode de transport de réplication
118. La fréquence permet de définir la période de réplication en prenant en compte les critères choisis
Le coût permet de favoriser un lien par rapport à un autre, le coût le moins élevé sera le prioritaire
La fréquence de réplication en minutes, cette dernière est modifiable graphiquement
Fréquence de la réplication
119. Introduction à la réplication
Active Directory
Une formation
Mehdi DAKHAMA
120. Une formation
Présentation
La réplication dans Active Directory repose sur le transfert et la
mise à jour des objets Active Directory d’un contrôleur de
domaine à un autre
Comme vu précédemment les échanges se font en fonction des
paramètres de réplication choisit (Site, mode IP/SNMP,
Fréquences)
La réplication s'appuie sur les éléments suivant
KCC
Site
Pont entre liens de sites
Réplication SYSVOL
DFS
121. Une formation
Réplication SYSVOL et DFS
SYSVOL est un ensemble de dossiers dans le système de fichiers
qui existe sur chaque contrôleur de domaine dans un domaine
Les dossiers SYSVOL fournissent un emplacement par défaut
Active Directory pour les fichiers qui doivent être répliqués dans
l’ensemble d’un domaine, y compris les objets stratégie de groupe
(GPO), les scripts de démarrage et d’arrêt, ainsi que les scripts
d’ouverture et de fermeture de session
Windows Server depuis 2012 R2 utilise le système de fichier DFSR
pour répliquer ces modifications en fonction de la planification
que vous avez créé lors de la conception de la topologie de votre
site
122. Une formation
KCC
Le KCC (Knowledge Consistency Checker – KCC) est un processus
intégré qui s’exécute sur tous les contrôleurs de domaine et qui a
pour rôle de vérifier la cohérence des données répliquées, en
lisant sur la base de données d'annuaire NTDS
Le KCC examine l’état de réplication des connexions existantes
pour déterminer si des connexions ne fonctionnent pas
Il lit les données de configuration, et lit et écrit les objets de
connexion pour les contrôleurs de domaine
Dans une réplication intrasite les données ne sont pas
compressées, les modifications sont envoyées immédiatement aux
contrôleurs de domaine
123. Une formation
Lien utile - KCC
https://docs.microsoft.com/fr-fr/windows-
server/identity/ad-ds/get-started/replication/active-
directory-replication-concepts
124. Une formation
La taille minimale d'un paquet répliqués est de 1MO en moyenne
la taille maximale envoisine les 10MO
Cette valeur peut être changer par la clé suivante
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesN
TDSParameters
Le dossier Sysvol est limité par défaut quant à lui à 4GO, c'est
pour cette raison qu'il est recommandé de ne pas placer des
images ou exe d'une grande taille dans les éléments répliqués
La réplication n'envoient que les informations sur les objets
modifiés en s'appuyant sur les metadatas
Bonnes pratiques
125. Une formation
Pont entre liens de sites
Un pont de liaison de site connecte deux ou plusieurs liens
de sites et active la transitivité entre les liens de sites
Chaque lien de site dans un pont doit avoir un site en
commun avec un autre lien de sites dans le pont
le KCC peut former un itinéraire transitif via tous les liens
de sites qui ont certains sites en commun
Si ce comportement est désactivé, chaque lien de sites
représente son propre réseau distinct et isolé
126. Site A
Site B
Site C
Site D
Cas 1 : KCC réplique
Cas 2 : Liens crées
Cas 3 : Tête de pont
129. Une formation
Présentation
Un RODC désigne un contrôleur de domaine en lecture
seule, utilisé généralement dans les succursales
Il héberge une copie en lecture seule de la base de
données AD (NTDS), ce qui empêche les utilisateurs de
faire des modifications sur l'annuaire
130. Une formation
A savoir
Le RODC ne réplique pas les données AD ni le dossier SYSVOL
vers les contrôleurs de domaine en écriture
Il est donc inutile de le mentionner dans les paramètres DNS, le
DNS est aussi en lecture seule
Le RODC ne conserve pas les hachages de mots de passe des
objets ni les attributs sensibles comme (ms-PKI-DPAPIMasterKeys,
ms-FVE-RecoveryPassword, ms-PKI-AccountCredentials …)
Les attributs sensible font partie de FAS (Filtered Attribute Set)
Le RODC fait du relais, il n'authentifie pas les utilisateurs mais
transmet leur demande au DC en écriture
131. Une formation
Il est utile lors d'un audit de sélectionner les éléments à ajouter
dans le FAS pour accroitre la sécurité tel que (ms-MCS-AdmPwd
…) ce dernier est modifiable
Il est possible de mettre en cache les informations
d'authentification pour certains utilisateurs ou groupes
Le RODC peut être installé en GUI comme en mode Core
Il est fortement déconseillé de mettre en place un RODC dans le
même site qu'un DC en écriture
Cela présente même un risque de sécurité, et rend inutile
l'utilisation du contrôleur de domaine en lecture seule
Bonnes pratiques
133. Une formation
Plan
Planifier le déploiement de RODC
Création du Site
Déploiement de RODC
Ajout d'un attribut dans le FAS
Modification Confidential et Filter
134. Planification
Le RODC sera placé dans le nouveau site à créer
Site-A
Site-B
RODC
Réplication unidirectionnelle
137. Modifier le FAS
Pour ajouter un attribut au FAS il faut ajouter à sa valeur Héxadecimal 512
Pour mettre un attribut en Confidential (c’est-à-dire que les utilisateurs authentifiés ne pourront
pas le lire) il faudra ajouter 128
Pour retirer ces valeurs il faudra soustraire la même valeur
139. Une formation
Présentation
Le cache de mot de passe dans le RODC permet d'authentifier un
utilisateur sur l'RODC, ce qui peut être utile lors d'une coupure de
connexion vers les DC en écriture
L'ajout des objets se fait dans le groupe cache des MDP RODC (on
peut ajouter et retirer un objet à tout moment)
Ajouter un objet dans le cache MDP permet d'authentifier
l'utilisateur ayant le droit, mais cela n'autorise toujours pas la
modification sur l'AD, si son MDP s'expire par exemple il sera
nécessaire de contacter un DC en écriture pour changer ce dernier
141. Une formation
Présentation
La topologie et réplication AD peut être gérer avec PowerShell ou l'outil
AD-replication-tool
Pour afficher tous les sites Active Directory
Get-ADReplicationSite -Filter * | ft hostname,site
Gérer la topologie de réplication
New-ADReplicationSite Paris
Pour définir le coût du lien de site et la fréquence de réplication
Set-ADReplicationSiteLink Paris-Marseill –Cost 100 –
ReplicationFrequencyInMinutes 15
Pour afficher les informations et l’état de réplication
Get-ADReplicationUpToDatenessVectorTable DC1
Pour afficher la table de vecteurs de mise à jour
Get-ADReplicationUpToDatenessVectorTable DC1
142. Une formation
Réplication et métadonnées
Repadmin.exe valide l'état et la cohérence de la réplication Active
Directory
Il offre aussi des options de manipulation simple des données, ce
dernier s'est vu remplacer par les commandes PS gérant des
sorties
Get-ADReplicationFailure
Get-ADReplicationPartnerMetadata
Cette applet de commande renvoie les informations sur la
configuration et l'état de réplication d'un contrôleur de domaine
pour surveiller, créer un inventaire ou résoudre un problème
Get-ADReplicationUpToDatenessVectorTable
Get-Adreplication*
143. Une formation
En savoir plus
https://docs.microsoft.com/fr-fr/windows-
server/identity/ad-ds/manage/powershell/advanced-
active-directory-replication-and-topology-management-
using-windows-powershell--level-200-
144. Découvrir les bonnes pratiques
DNS dans AD multi sites
Une formation
Mehdi DAKHAMA
145. Une formation
Présentation
Nous avons vu ensemble dans les précédents chapitres
comment configurer l'ordre DNS sur les contrôleurs de
domaines dans le même site, afin d'optimiser la réplication
et la recherche
Nous allons voir comment choisir l'ordre DNS dans des
multi-sites
L'ordre DNS est primordial dans une configuration multi-
sites, il permet d'accélérer la réplication, l’authentification
et assure un bon fonctionnement en réduisant les latences
entre sites
147. Une formation
Il n'est pas recommander de créer une relation de réplication avec
un RODC car ce dernier réplique dans un seul sens
Sur un même Site ou aucun DC n'héberge de rôle FSMO, l'ordre
DNS n'est pas important, on peut mettre DC-E-1 / 2 /3 /4, s'il y'a
un DC particulier qui va répliquer avec les autres sites, il est
préférable de mettre ce dernier en avant dernière position
(on peut ajouter exceptionnellement le DC du site le plus
proche, et dans certain cas selon la distance séparant le Site
on peut ajouter le PDC)
Bonnes pratiques
148. Une formation
Le PDC à un rôle important dans le fonctionnement AD et
réplication, c'est le seul qui doit être présent en avant
dernière position sur tous les sites si cela est possible
Il n'est pas nécessaire de renseigner tous les DC de tous les
sites sur eux même, cela va créer des conflits et beaucoup
de latence
A retenir
150. Une formation
Bilan
Dans cette formation nous avons pu
Découvrir les différents types de Contrôleurs de
domaine
Apprendre comment mettre en place une
topologie et architecture AD correcte pour
optimiser le bon fonctionnement, en respectant
les bonnes pratiques et meilleures
recommandations