Retour d'expérience de Microsoft Services Déploiement de contrôleurs de domaine en lecture seule en réseau d’agences Sébas...
Agenda <ul><li>Qu’est-ce que le RODC  ?  </li></ul><ul><li>Présentations des principales fonctionnalités : </li></ul><ul><...
1. Qu'est-ce que le RODC ?
Qu'est-ce le RODC ? <ul><li>Un nouveau type de contrôleur de domaine avec comme principales caractéristiques : </li></ul><...
Scénarii d’usage <ul><li>Pour pouvoir  déployer des contrôleurs de domaine  sur les sites où ils sont nécessaires  (indisp...
2.  Présentation des fonctionnalités Une base en lecture seule
Une base AD en lecture seule : Principes <ul><li>Les  accès en écriture  doivent être fait sur un contrôleur de domaine en...
Une base AD en lecture seule : Exemple du DNS <ul><li>Si les postes sont clients DNS du RODC , le fonctionnement est le su...
2. Présentation des fonctionnalités Une réplication unidirectionnelle
Une réplication unidirectionnelle : intérêts <ul><li>Intégrité :   </li></ul><ul><ul><li>Les modifications réalisées dans ...
Une réplication unidirectionnelle : fonctionnement <ul><ul><li>L’objet de connexion n’est visible qu’avec une connexion de...
2. Présentation des fonctionnalités La stratégie de réplication de mot de passe
La stratégie de réplication des mots de passe : Principes <ul><li>La stratégie de réplication de mot de passe identifie  l...
La stratégie de réplication des mots de passe : Fonctionnement <ul><li>RODC: recherche en base “Je n’ai pas les secrets de...
La stratégie de réplication des mots de passe : configuration <ul><li>La stratégie est stockée dans 2 attributs du compte ...
La stratégie de réplication de mot de passe
La stratégie de réplication des mots de passe :  Réinitialisation des mots de passe <ul><li>Il est possible de  réinitiali...
2. Présentation des fonctionnalités La séparation des rôles d'administration
La séparation des rôles d'administration : Objectifs <ul><li>La délégation a deux objectifs principaux : </li></ul><ul><ul...
La séparation des rôles d'administration <ul><li>La délégation de l’administration est réalisable en ligne de commandes, d...
2. Présentation des fonctionnalités Le filtrage des attributs
Le filtrage des attibuts (Filtered Attribut Set) <ul><li>Le FAS permet de filtrer les attributs répliqués vers les RODCs. ...
3.  Les éléments clés d’une architecture comportant des RODCs
Analyse de l’existant <ul><li>L’analyse de l’existant devra identifier des éléments classiques pour une architecture Activ...
Analyse des besoins pour le service d’authentification <ul><li>Les questions à se poser : </li></ul><ul><ul><li>Quel est l...
Définition de l'architecture : Où placer des RODCs ?
Définition de l'architecture  : architecture physique <ul><li>Un RODC ne peut répliquer la partition de domaine qu’avec un...
Définition de l'architecture  : architecture physique <ul><li>Il est supporté de placer un RODCs sur un site avec des cont...
Déploiement : pré-requis pour un déploiement dans une forêt 2003 <ul><li>La forêt doit être au minimum au niveau fonctionn...
Déploiement : clients supportés <ul><li>Les clients supportés sur un site avec un RODC les postes et serveurs Windows 2000...
Compatibilité applicative <ul><li>L’ensemble  des applications et des scripts  devront être catégorisés en fonction : </li...
Compatibilité applicative <ul><li>Les applications Microsoft compatibles sont listées à l’adresse  http://technet.microsof...
Synthèse
Synthèse <ul><li>Le RODC a été développé pour les sites où il n’est pas possible de  sécuriser physiquement  les serveurs ...
Liens <ul><li>Planning and Architecture: AD DS :  http://technet.microsoft.com/en-us/library/cc732058.aspx </li></ul><ul><...
Upcoming SlideShare
Loading in …5
×

Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de domaine en lecture seule en réseau d’agences »

2,736 views

Published on

Descriptif :
Ce retour d’expérience sera l’occasion d’aborder de façon pragmatique les éléments suivants :

- Qu’est-ce qu’un RODC et quels sont ces principes de fonctionnement ?
- Les pré-requis et éléments structurant pour la définition de l’architecture Active Directory,
- La séparation des rôles d’administration et sa configuration,
- La stratégie de réplication des mots de passe et le filtrage des attributs.

Published in: Technology
  • Be the first to comment

Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de domaine en lecture seule en réseau d’agences »

  1. 1. Retour d'expérience de Microsoft Services Déploiement de contrôleurs de domaine en lecture seule en réseau d’agences Sébastien Dethève – Senior Consultant
  2. 2. Agenda <ul><li>Qu’est-ce que le RODC ? </li></ul><ul><li>Présentations des principales fonctionnalités : </li></ul><ul><ul><li>Base AD en lecture seule , </li></ul></ul><ul><ul><li>La réplication unidirectionnelle, </li></ul></ul><ul><ul><li>La stratégie de réplication des mots de passe, </li></ul></ul><ul><ul><li>La séparation des rôles d’administration, </li></ul></ul><ul><ul><li>Filtered Attribut Set. </li></ul></ul><ul><li>Les éléments clés d’une architecture comportant des RODCs </li></ul><ul><ul><li>Architecture physique : où placer les RODCs ?, </li></ul></ul><ul><ul><li>Pré-requis au déploiement, </li></ul></ul><ul><ul><li>Clients supportés, </li></ul></ul><ul><ul><li>Compatibilité applicatives,… </li></ul></ul>
  3. 3. 1. Qu'est-ce que le RODC ?
  4. 4. Qu'est-ce le RODC ? <ul><li>Un nouveau type de contrôleur de domaine avec comme principales caractéristiques : </li></ul><ul><ul><li>Une base Active Directory en lecture seule qui ne contient par défaut que quelques mots de passe, </li></ul></ul><ul><ul><li>Une réplication unidirectionnelle : uniquement descendante, </li></ul></ul><ul><ul><li>Une réplication unidirectionnelle de l’arborescence SYSVOL , </li></ul></ul><ul><ul><li>La possibilité de séparer les rôles d’administration : l’administrateur du RODC n’a pas de privilèges sur le domaine ou sur les autres contrôleurs de domaine. </li></ul></ul>
  5. 5. Scénarii d’usage <ul><li>Pour pouvoir déployer des contrôleurs de domaine sur les sites où ils sont nécessaires (indisponibilité WAN ou bande passante WAN insuffisante,…) mais pour lesquels la sécurité physique ne peut être assurée : </li></ul><ul><ul><li>Une base de données en lecture seule et une réplication unidirectionnelle : les réplications de modifications réalisées localement ne sont pas possible, </li></ul></ul><ul><ul><li>Peu de mots de passe stockés et possibilité de les réinitialiser de manière ciblée. </li></ul></ul><ul><li>Pour bénéficier des fonctionnalités du RODC (séparation des rôles d’administration, Sysvol en lecture seule,…), </li></ul><ul><li>Les guides d’architecture pour le scenario DMZ sont en cours de rédaction. </li></ul>
  6. 6. 2. Présentation des fonctionnalités Une base en lecture seule
  7. 7. Une base AD en lecture seule : Principes <ul><li>Les accès en écriture doivent être fait sur un contrôleur de domaine en écriture ( RW DC ). </li></ul><ul><li>Si un RW DC ne peut être contacté : </li></ul><ul><ul><li>Seuls les comptes dont le mot de passe est en cache peuvent s’authentifier : </li></ul></ul><ul><ul><li>Le mot de passe du compte machine doit également être dans le cache </li></ul></ul><ul><ul><li>Les comptes dont le mot de passe a expiré ne peuvent ouvrir de session </li></ul></ul><ul><ul><li>Les changements de mots de passe et déverrouillage de comptes ne sont pas possibles, </li></ul></ul><ul><ul><li>Les mises à jour des enregistrements DNS échouent ,… </li></ul></ul>
  8. 8. Une base AD en lecture seule : Exemple du DNS <ul><li>Si les postes sont clients DNS du RODC , le fonctionnement est le suivant : </li></ul><ul><ul><li>Le client émet une requête de type SOA vers son serveur DNS, </li></ul></ul><ul><ul><li>Le RODC renvoie au client le nom d’un contôleur de domaine W2K08 qui héberge la zone, </li></ul></ul><ul><ul><li>Le client envoie une requête au DC et le RODC attend entre 30 et 210 secondes puis essaie de répliquer uniquement l’objet DNS à partir du serveur RW DC. </li></ul></ul><ul><ul><li>Ce type de réplication est nommée RSO (replicate-single-object) et est indépendante de la réplication programmée. </li></ul></ul>
  9. 9. 2. Présentation des fonctionnalités Une réplication unidirectionnelle
  10. 10. Une réplication unidirectionnelle : intérêts <ul><li>Intégrité : </li></ul><ul><ul><li>Les modifications réalisées dans AD et Sysvol sur le RODC ne peuvent être répliquées au niveau du domaine . </li></ul></ul><ul><ul><li>En cas d’utilisation de DFS pour la réplication de Sysvol, le contenu de Sysvol est remis en cohérence suite à une modification locale potentielle. </li></ul></ul><ul><li>Diminution de la charge des serveurs tête de pont des hubs : </li></ul><ul><ul><li>La réplication est uniquement descendante. </li></ul></ul><ul><ul><li>Le flux de réplication est d’autant plus réduit que les mots de passe ne sont pas répliqués. </li></ul></ul>
  11. 11. Une réplication unidirectionnelle : fonctionnement <ul><ul><li>L’objet de connexion n’est visible qu’avec une connexion de la la MMC Site et Services sur le RODC </li></ul></ul><ul><ul><li>La connexion de la MMC au RODC est donc nécessaire pour forcer la réplication vers le RODC. </li></ul></ul><ul><ul><li>Connecté à un </li></ul></ul><ul><ul><li>quelconque DC : </li></ul></ul><ul><ul><li>Connecté au RODC : </li></ul></ul>
  12. 12. 2. Présentation des fonctionnalités La stratégie de réplication de mot de passe
  13. 13. La stratégie de réplication des mots de passe : Principes <ul><li>La stratégie de réplication de mot de passe identifie les comptes dont le mot de passe peut être mis en cache sur un RODC et ceux pour qui c’est interdit. </li></ul><ul><li>Elle est définie pour chaque RODC. </li></ul><ul><ul><li>Par défaut , les mots de passe ne sont pas présents dans le cache avant une authentification de l’utilisateur sur le RODC. </li></ul></ul><ul><ul><li>Il est possible de préremplir le cache des mots de passe d’un RODC (par la MMC ou en ligne de commandes). </li></ul></ul><ul><ul><li>3 types de stratégies possibles : </li></ul></ul><ul><ul><ul><li>Aucun mot de passe en cache, </li></ul></ul></ul><ul><ul><ul><li>La plupart des mots de passe, </li></ul></ul></ul><ul><ul><ul><li>Intermédiaire : par exemple les mots de passe des utilisateurs du site </li></ul></ul></ul>
  14. 14. La stratégie de réplication des mots de passe : Fonctionnement <ul><li>RODC: recherche en base “Je n’ai pas les secrets de l’utilisateur </li></ul><ul><li>Transfert de la requête au DC </li></ul><ul><li>Le DC valide la requête </li></ul><ul><li>Et renvoie le TGT au RODC </li></ul><ul><li>Le RODC fournit le TGT à l’utilisateur et demande la réplication du mot de passe </li></ul><ul><li>Le DC vérifie la stratégie de réplication des mots de passe pour vérifier si le mot de passe peut être répliqué </li></ul><ul><li>Demande d’un TGT au RODC </li></ul>Note: le TGT est signé par le RW DC dans cette situation
  15. 15. La stratégie de réplication des mots de passe : configuration <ul><li>La stratégie est stockée dans 2 attributs du compte d’ordinateur du RODC : </li></ul><ul><ul><li>msDS-Reveal-OnDemandGroup : “allowed list” contient la liste des comptes dont le mot de passe peut être répliqué </li></ul></ul><ul><ul><li>msDS-NeverRevealGroup : “denied list”contient la liste des comptes dont la réplication des mots de passe est interdite. (contient les groupes administrators, Backup Operators, Server Operators, Account Operators par défaut) </li></ul></ul><ul><li>Il existe également 2 groupes de domaine </li></ul><ul><ul><li>Allowed RODC Password Replication Group inclut dans l’attribut msDS-Reveal-OnDemandGroup de tous les RODCs </li></ul></ul><ul><ul><li>Denied RODC Password Replication Group présent dans l’attribut msDS- NeverRevealGroup de chaque RODC . </li></ul></ul>
  16. 16. La stratégie de réplication de mot de passe
  17. 17. La stratégie de réplication des mots de passe : Réinitialisation des mots de passe <ul><li>Il est possible de réinitialiser , sur un DC RW, les mots de passe qui ont été stocké sur un RODC identifié en ligne de commandes ou à l’aide de la MMC Utilisateurs et Ordinateurs du domaine </li></ul>
  18. 18. 2. Présentation des fonctionnalités La séparation des rôles d'administration
  19. 19. La séparation des rôles d'administration : Objectifs <ul><li>La délégation a deux objectifs principaux : </li></ul><ul><ul><li>Permettre l’administration courante du serveur par un utilisateur qui n’est pas administrateur du domaine. </li></ul></ul><ul><ul><li>Permettre la délégation de l’installation d’un RODC par un utilisateur qui n’est pas administrateur du domaine. </li></ul></ul><ul><li>Privilèges de l’administrateur délégué : </li></ul><ul><ul><li>L’administrateur délégué a un rôle d’administrateur local du serveur et peut de ce fait installer des pilotes, gérer les services, redémarrer le serveur. </li></ul></ul><ul><ul><li>Il n’a aucun privilège sur un autre contrôleur de domaine ou autre RODC. </li></ul></ul><ul><li>Fonctionnement de l’installation d’un RODC par un administrateur délégué : </li></ul><ul><ul><li>La délégation de l’installation nécessite la précréation du compte du RODC et l a définition du groupe des administrateurs délégués par un administrateur du domaine. </li></ul></ul><ul><ul><li>L’installation et la désinstallation du rôle AD-DS peuvent être réalisées par l’administrateur délégué. </li></ul></ul>
  20. 20. La séparation des rôles d'administration <ul><li>La délégation de l’administration est réalisable en ligne de commandes, dans le fichier de réponse ou par l’interface graphique. </li></ul><ul><li>Il est possible de définir le groupe des administrateurs délégués en utilisant l’attribut ManagedBy du RODC ou au travers de commandes ntdsutil ou dsmgmt. </li></ul><ul><li>Les commandes ntdsutil ou dsmgmt stockent les informations dans le registre alors que l’attribut est stocké dans l’AD. </li></ul><ul><li>L’utilisation de l’attribut est recommandé pour faciliter l’audit des administrateurs délégués. </li></ul>
  21. 21. 2. Présentation des fonctionnalités Le filtrage des attributs
  22. 22. Le filtrage des attibuts (Filtered Attribut Set) <ul><li>Le FAS permet de filtrer les attributs répliqués vers les RODCs. </li></ul><ul><li>Il est paramétrable afin de permettre de bloquer la réplication d’attribut considérés comme sensibles sur les RODCs (Par exemple pour une application stockant des secrets dans Active Directory). </li></ul><ul><li>Si l’on définit des nouveaux attributs dans le FAS, il est également recommandé de marquer ces attributs comme confidentiels. </li></ul>
  23. 23. 3. Les éléments clés d’une architecture comportant des RODCs
  24. 24. Analyse de l’existant <ul><li>L’analyse de l’existant devra identifier des éléments classiques pour une architecture Active Directory notamment : </li></ul><ul><ul><li>L’architecture physique et logique d’Active Directory, </li></ul></ul><ul><ul><li>Les systèmes d’exploitation des contrôleurs de domaine et des clients. </li></ul></ul><ul><li>Un focus particulier sera mis sur : </li></ul><ul><ul><li>Les applications et les scripts utilisés sur les sites d’agences </li></ul></ul>
  25. 25. Analyse des besoins pour le service d’authentification <ul><li>Les questions à se poser : </li></ul><ul><ul><li>Quel est le niveau de disponibilité et la bande passante disponible sur le WAN ? </li></ul></ul><ul><ul><li>Quel est le niveau de sécurité physique des sites ? </li></ul></ul><ul><ul><li>Quelle applications s’appuient sur AD ? </li></ul></ul><ul><li>L’algorithme “simplifié” de décision est le suivant : </li></ul><ul><ul><li>Si la bande passante WAN et la disponibilité sont suffisantes : Authentification WAN, </li></ul></ul><ul><ul><li>S’il n’y a pas d’application nécessitant un accès en écriture à AD : placer un RODC, </li></ul></ul><ul><ul><li>Si le niveau de sécurité physique est adapté, l’administration locale ou distante possible : placer un DCRW. </li></ul></ul>
  26. 26. Définition de l'architecture : Où placer des RODCs ?
  27. 27. Définition de l'architecture : architecture physique <ul><li>Un RODC ne peut répliquer la partition de domaine qu’avec un contrôleur de domaine Windows Server 2008. </li></ul><ul><li>La topologie de réplication doit prendre en compte cette contrainte : </li></ul><ul><ul><li>Activation de l’option Bridge all site links (déconseillé pour les réseaux d’agences de manière générale), sinon si Basl désactivée : </li></ul></ul><ul><ul><li>Lien de site entre le site du RODC et un site hébergeant un site avec un contrôleur 2008, </li></ul></ul><ul><ul><li>Pont de liens de site ou </li></ul></ul><ul><ul><li>Ajout d’un contrôleur de domaine W2K08 </li></ul></ul>
  28. 28. Définition de l'architecture : architecture physique <ul><li>Il est supporté de placer un RODCs sur un site avec des contrôleurs de domaine ou d’autres RODCs. </li></ul><ul><li>Ce n’est généralement pas recommandé : </li></ul><ul><ul><li>Pour des raisons de sécurité : si le RODC est compromis, les ressources du site peuvent être comprises y compris le contrôleur de domaine, </li></ul></ul><ul><ul><li>Pour des raisons de consistence dans le fonctionnement : - s’il y a plusieurs RODCs sur le site, en cas d’incapacité à contacter un DC RW, le contenu des caches des mots de passe peut diverger, de même que les enregistrements dynamiques DNS des postes du site - s’il y a un DC RW 2003, en cas d’incapacité à contacter un DC RW 2008, les modifications en écriture ne seront pas possibles. </li></ul></ul>
  29. 29. Déploiement : pré-requis pour un déploiement dans une forêt 2003 <ul><li>La forêt doit être au minimum au niveau fonctionnel Windows Server 2003 </li></ul><ul><li>Dans une forêt Windows Server 2003, il est nécessaire de préparer la forêt et le domaine pour pouvoir installer des contrôleurs Windows Server 2008 : </li></ul><ul><ul><li>Adprep /forestprep </li></ul></ul><ul><ul><li>Adprep /domainprep /gprep </li></ul></ul><ul><li>Il est également nécessaire de préparer le schéma pour installer des RODCs : Adprep /rodcprep </li></ul>
  30. 30. Déploiement : clients supportés <ul><li>Les clients supportés sur un site avec un RODC les postes et serveurs Windows 2000 et les versions postérieures de Windows </li></ul><ul><li>Il est recommandé de passer le dernier service pack et d’évaluer si le correctif 944043 est nécessaire (il est disponible pour Windows XP et Windows Server 2003 et permet de répondre à des problèmes connus avec les RODC). </li></ul><ul><li>Pour les contrôleurs de domaine Windows Server 2003, ce correctif est nécessaire si l’autositecoverage est activé. </li></ul>
  31. 31. Compatibilité applicative <ul><li>L’ensemble des applications et des scripts devront être catégorisés en fonction : </li></ul><ul><ul><li>Des interactions avec Active Directory : </li></ul></ul><ul><ul><ul><li>Lecture, </li></ul></ul></ul><ul><ul><ul><li>Ecriture, </li></ul></ul></ul><ul><ul><ul><li>Lecture d’une valeur juste après modification </li></ul></ul></ul><ul><ul><li>Du fonctionnement souhaité en cas d’indisponibilité du WAN (i.e. de DC RW) </li></ul></ul><ul><li>Les tests devront valider : </li></ul><ul><ul><ul><li>L’installation </li></ul></ul></ul><ul><ul><ul><li>Le fonctionnement lorsqu’un DC RW est disponible et en l’absence de DC RW. </li></ul></ul></ul>
  32. 32. Compatibilité applicative <ul><li>Les applications Microsoft compatibles sont listées à l’adresse http://technet.microsoft.com/en-Us/library/cc732790.aspx </li></ul><ul><li>Pour SQL Server 2005 ou SCCM par exemple, il peut être nécessaire de créer les groupes sur des DC RW puis de répliquer avant de lancer l’installation. </li></ul><ul><li>ADSI : les opérations de lecture sont réalisées sur un DC RW par défaut. </li></ul><ul><li>Un login script utilisant ADSI peut ne pas fonctionner en cas d’indisponibilité WAN (KB 952611) </li></ul><ul><li>LDAP : lors d’une opération en écriture, le RODC fournit un referral vers un DC RW. Les applications LDAP doivent être configurée pour pouvoir suivre le referral </li></ul>
  33. 33. Synthèse
  34. 34. Synthèse <ul><li>Le RODC a été développé pour les sites où il n’est pas possible de sécuriser physiquement les serveurs mais où un service d’authentication était nécessaires. Mais les fonctionnalités apportées sont intéressantes pour d’autres scénarios. </li></ul><ul><li>Les contrôleurs de domaine en écriture sont nécessaires pour réaliser l’authentification si le RODC ne dispose pas du mot de passe en cache et toute opération en écriture (changement de mot de passe, déverrouillage,…) </li></ul><ul><li>Il est important de valider l’installation et le comportement des applications (et scripts) installées sur un RODC ou présentes sur le site d’un RODC en cas d’indisponibilité d’un contrôleur de domaine en écriture. </li></ul>
  35. 35. Liens <ul><li>Planning and Architecture: AD DS : http://technet.microsoft.com/en-us/library/cc732058.aspx </li></ul><ul><li>Read-Only Domain Controller Planning and Deployment Guide : http://technet.microsoft.com/en-us/library/cc771744.aspx </li></ul><ul><li>  </li></ul><ul><li>Upgrading Active Directory Domains to Windows Server 2008 AD DS Domains : http://technet.microsoft.com/en-us/library/cc731188.aspx </li></ul><ul><li>  </li></ul><ul><li>IPD Windows Server® 2008 Active Directory® Domain Services : http://go.microsoft.com/fwlink/?LinkId=100915 </li></ul><ul><li>  </li></ul><ul><li>Branch Office Infrastructure Solution for Windows Server 2008 : http://www.microsoft.com/downloads/details.aspx?FamilyId=02057405-49AF-4867-BF1D-E0232B5C59E3&displaylang=en </li></ul>

×