En route vers Active Directory 2012 R2 et au-delà

En route vers Active Directory 2012 R2 et au-delà

Christophe Dubos

Nadim Bioud

Microsoft France

tech.days 2015#mstechdays

Pourquoi

passer à

Windows

Server 2012

R2 ?

Retours

d’expérienceQ & A


Supportabilité

Consolidation et mutualisation

Nouvelles fonctionnalités


Support de la virtualisation

• Toute les fonctionnalités d’Active Directory sont désormais compatibles avec la virtualisation

Déploiement simplifié

• Intégration des outils de préparation et de déploiement d’Active Directory

• Déploiement massif simplifié avec le clonage

• Environnement Powershell complet

Gestion simplifiée

• Interface graphique complète pour les objets supprimés et les stratégies de mot de passe

• Powershell pour gérer la réplication, la topologie et vue de l’historique des commandes

• Meilleure gestion des comptes de services de groupes


Fonctionnalité Schéma

2012

Schéma

2012 R2

DC

2012

PDC

2012

DFL

2012

Cloning/Safe restore* x x x

Dynamic Access Control ** x x x

Kerberos (compression de SID,

blindage,etc)

x x

Group Managed Services Accounts x x

Work folders x

Workplace join x

• ** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine.

• * Nécessite le support du VM-GenerationID par l’hyperviseur utilisé.


En déployant… Je gagne…

Le premier Serveur Membre Windows

Server 2012 R2

(ou machine d’administration plus

outils d’administration à distance RSAT)

• Active Directory Administrative Center

• Windows PowerShell History Viewer

• Interface Graphique Corbeille et stratégies de mot de passe

multiple

• Active Directory-based Activation

• Besoin de l’extension de Schéma 2012 R2

• Commandes Powershell pour la réplication et la topologie

• AD FS (v3.0)

Le premier contrôleur de domaine

Windows Server 2012 R2

• Préparation et déploiement simplifié à distance

• Dynamic Access Control policies and claims

• Kerberos Claims in AD FS (v3.0)

• Cross-domain Kerberos Constrained Delegation

• Group Managed Service Accounts

• Virtualization-Safe for the Windows Server 2012 R2 DC

• Demande un Hyperviseur qui supporte VM-Gen-ID

Bascule Windows Server 2012 DFL/FFL

et PDCE

• Déploiement rapide des DC avec clonage

• Demande un hyperviseur qui supporte le VM-Gen-ID


Historiquement, la virtualisation permet un datacenter plus dynamique… sauf pour l’AD…

Les contrôleurs de domaines répliquent les différences entre eux

Les snapshots introduisent donc le problème d’USN rollbacks:

Existe également un risque de création de compte avec SID dupliqués…


USN rollback PAS détecté: réplication uniquement des 50 utilisateurs entre les 2 DC

Les autres sont quelque part sur un DC

100 comptes utilisateurs avec un RIDs 500-599 en conflit!


Les contrôleurs de domaines virtuels Windows Server 2012 R2 détectent quand:

Utilisation de l’attribut (VM-generation ID) variant lorsqu’un snapshot est créé

Les DC virtuels Windows Server 2012 R2 vérifient en permanence leur VM-generation ID pour protéger l’intégrité de l’Active Directory.

En cas de changement détecté :



Classification des

données

Expressions de contrôle

d’accès flexibles, basées sur

les critères

- utilisateur (groupes et

claims)

- périphérique

- classification des

documents

Contrôle d’accès centralisé

via les Central Access Policies

(CAP).

Audit ciblé des accès basé

sur les classifications des

documents et l’identité des

utilisateurs.

Déploiement centralisé des

politiques d’audit via les

Global Audit Policies (GAP).

Chiffrement RMS

automatique en fonction des

classifications des

documents.

Politique d’audit via

des expressions

Conditions d’accès

basées sur les Claims

Chiffrement

Utilisation des propriétés

stockées dans Active

Directory pour la

classification des documents.

Classification automatique

des documents en fonction

de leur contenu.


Central Access Policy

User claimsUser.Department = Finance

User.Clearance = High

Central Access RuleApplies to: Resource.Impact = High

Allow | Read,Write | if (User.Department = Resource.Department) AND (Device.Managed = True)

Device claimsDevice.Department =

FinanceDevice.Managed = True

Resource propertiesResource.Department =

FinanceResource.Impact = High

File Server


Pourquoi

passer à

Windows

Server 2012

R2 ?

Retours



• Compatibilité des applications

• Inventaire des outils/services installés sur les

DCs (Anti-virus, agent de supervision, outil de sauvegarde…)

• L’analyse de l’état de santé de votre AD ainsi

que la remédiation des points critiques et

importants


Avant


Après


• Gestion de capacité: DCs/RODCs/Virtualisation

• Plan de migration Contoso.com

Contoso.com

NewContoso.com

Mise à jour


1. Préparer/appliquer la GPO de compatibilité selon les résultats de vos tests

2. Ajout du rôles ADDS et lancer la promotion

3. Vérification de l’état de santé de la foret

4. Valider le bon fonctionnement des applications et de l’authentification

5. Effectuer des sauvegardes et des tests de restauration


1. Rétrograder les anciens DCs

2. Vérifier le bon fonctionnement des applications

3. Rétrograder le dernier DC

4. Augmenter le niveau fonctionnel du domaine et de la forêt

5. Activer les nouvelles fonctionnalités (Migrer le moteur de réplication du SYSVOL: http://aka.ms/Bd8ds5 )

6. Mettre à jour les procédures opérationnelles et le plan de reprise d’activité

http://aka.ms/Bd8ds5


Pas besoin de passer par Windows Server 2008 R2

DFL et FFL (Tout produit hors support n’est pas testé) Pour les applications Microsoft supportés, existence de correctifs ou de meilleures pratiques, voici quelques exemples et points d’attention:

- Active Directory Replication (il est recommandé de redémarrer le service KDC)

- OCS 2007 R2 (préparer à nouveau la forêt pour ce produit)

- Applications utilisant le .NET Framework 3.5 SP1 ou une version antérieure (existence d’un fix http://support.microsoft.com/kb/2260240)

http://support.microsoft.com/kb/2260240


AD V.Next n’est pas Azure AD

AD V.Next ne sera pas disponible en 2015

Azure AD intégrera prochainement un service d’annuaire d’infrastructure Azure AD Domaine Services actuellement preview


Azure Active Directory c’est


Active Directory dans Azure c’est


Pourquoi

passer à

Windows

Server 2012

R2 ?

Retours



© 2015 Microsoft Corporation. All rights reserved.

tech days•

2015

#mstechdays techdays.microsoft.fr

Technology

En route vers Active Directory 2012 R2 et au-delà