En route vers Active Directory 2012 R2 et au-delà

638 vues

Publié le

La fin de support prochaine de Windows Sevrer 2003 est pour de nombreux clients l’occasion de migrer leur environnement Active Directory existant. C’est aussi l’occasion de regarder les évolutions apportées par les versions 2012 / 2012 R2 d’Active Directory afin de ne pas limiter cette opération à une simple montée de version mais de l’utiliser comme une occasion de mettre en place les évolutions en terme de fonctionnalités et d’architecture qui permettront d’envisager de nouveaux scénario de mise en œuvre. De quoi faire d’une pierre deux coups en restant pleinement supporté et en apportant à vos utilisateurs de nouveaux services… de quoi permettre à votre DSI de retrouver le sourire en transformant un souci en occasion de briller…

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
638
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
85
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

En route vers Active Directory 2012 R2 et au-delà

  1. 1. En route vers Active Directory 2012 R2 et au-delà Christophe Dubos Nadim Bioud Microsoft France
  2. 2. tech.days 2015#mstechdays Pourquoi passer à Windows Server 2012 R2 ? Retours d’expérience Q & A
  3. 3. tech.days 2015#mstechdays  Supportabilité  Consolidation et mutualisation  Nouvelles fonctionnalités
  4. 4. tech.days 2015#mstechdays Support de la virtualisation • Toute les fonctionnalités d’Active Directory sont désormais compatibles avec la virtualisation Déploiement simplifié • Intégration des outils de préparation et de déploiement d’Active Directory • Déploiement massif simplifié avec le clonage • Environnement Powershell complet Gestion simplifiée • Interface graphique complète pour les objets supprimés et les stratégies de mot de passe • Powershell pour gérer la réplication, la topologie et vue de l’historique des commandes • Meilleure gestion des comptes de services de groupes
  5. 5. tech.days 2015#mstechdays Fonctionnalité Schéma 2012 Schéma 2012 R2 DC 2012 PDC 2012 DFL 2012 Cloning/Safe restore* x x x Dynamic Access Control ** x x x Kerberos (compression de SID, blindage,etc) x x Group Managed Services Accounts x x Work folders x Workplace join x • ** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine. • * Nécessite le support du VM-GenerationID par l’hyperviseur utilisé.
  6. 6. tech.days 2015#mstechdays En déployant… Je gagne… Le premier Serveur Membre Windows Server 2012 R2 (ou machine d’administration plus outils d’administration à distance RSAT) • Active Directory Administrative Center • Windows PowerShell History Viewer • Interface Graphique Corbeille et stratégies de mot de passe multiple • Active Directory-based Activation • Besoin de l’extension de Schéma 2012 R2 • Commandes Powershell pour la réplication et la topologie • AD FS (v3.0) Le premier contrôleur de domaine Windows Server 2012 R2 • Préparation et déploiement simplifié à distance • Dynamic Access Control policies and claims • Kerberos Claims in AD FS (v3.0) • Cross-domain Kerberos Constrained Delegation • Group Managed Service Accounts • Virtualization-Safe for the Windows Server 2012 R2 DC • Demande un Hyperviseur qui supporte VM-Gen-ID Bascule Windows Server 2012 DFL/FFL et PDCE • Déploiement rapide des DC avec clonage • Demande un hyperviseur qui supporte le VM-Gen-ID
  7. 7. tech.days 2015#mstechdays  Historiquement, la virtualisation permet un datacenter plus dynamique… sauf pour l’AD…  Les contrôleurs de domaines répliquent les différences entre eux  Les snapshots introduisent donc le problème d’USN rollbacks:  Existe également un risque de création de compte avec SID dupliqués…
  8. 8. tech.days 2015#mstechdays USN rollback PAS détecté: réplication uniquement des 50 utilisateurs entre les 2 DC Les autres sont quelque part sur un DC  100 comptes utilisateurs avec un RIDs 500-599 en conflit!
  9. 9. tech.days 2015#mstechdays  Les contrôleurs de domaines virtuels Windows Server 2012 R2 détectent quand:  Utilisation de l’attribut (VM-generation ID) variant lorsqu’un snapshot est créé  Les DC virtuels Windows Server 2012 R2 vérifient en permanence leur VM-generation ID pour protéger l’intégrité de l’Active Directory.  En cas de changement détecté :
  10. 10. tech.days 2015#mstechdays
  11. 11. tech.days 2015#mstechdays Classification des données Expressions de contrôle d’accès flexibles, basées sur les critères - utilisateur (groupes et claims) - périphérique - classification des documents Contrôle d’accès centralisé via les Central Access Policies (CAP). Audit ciblé des accès basé sur les classifications des documents et l’identité des utilisateurs. Déploiement centralisé des politiques d’audit via les Global Audit Policies (GAP). Chiffrement RMS automatique en fonction des classifications des documents. Politique d’audit via des expressions Conditions d’accès basées sur les Claims Chiffrement Utilisation des propriétés stockées dans Active Directory pour la classification des documents. Classification automatique des documents en fonction de leur contenu.
  12. 12. tech.days 2015#mstechdays Central Access Policy User claims User.Department = Finance User.Clearance = High Central Access Rule Applies to: Resource.Impact = High Allow | Read,Write | if (User.Department = Resource.Department) AND (Device.Managed = True) Device claims Device.Department = Finance Device.Managed = True Resource properties Resource.Department = Finance Resource.Impact = High File Server
  13. 13. tech.days 2015#mstechdays Pourquoi passer à Windows Server 2012 R2 ? Retours d’expérience Q & A
  14. 14. tech.days 2015#mstechdays • Compatibilité des applications • Inventaire des outils/services installés sur les DCs (Anti-virus, agent de supervision, outil de sauvegarde…) • L’analyse de l’état de santé de votre AD ainsi que la remédiation des points critiques et importants
  15. 15. tech.days 2015#mstechdays Avant
  16. 16. tech.days 2015#mstechdays Après
  17. 17. tech.days 2015#mstechdays • Gestion de capacité: DCs/RODCs/Virtualisation • Plan de migration Contoso.com Contoso.com NewContoso.com Mise à jour
  18. 18. tech.days 2015#mstechdays 1. Préparer/appliquer la GPO de compatibilité selon les résultats de vos tests 2. Ajout du rôles ADDS et lancer la promotion 3. Vérification de l’état de santé de la foret 4. Valider le bon fonctionnement des applications et de l’authentification 5. Effectuer des sauvegardes et des tests de restauration
  19. 19. tech.days 2015#mstechdays 1. Rétrograder les anciens DCs 2. Vérifier le bon fonctionnement des applications 3. Rétrograder le dernier DC 4. Augmenter le niveau fonctionnel du domaine et de la forêt 5. Activer les nouvelles fonctionnalités (Migrer le moteur de réplication du SYSVOL: http://aka.ms/Bd8ds5 ) 6. Mettre à jour les procédures opérationnelles et le plan de reprise d’activité
  20. 20. tech.days 2015#mstechdays  Pas besoin de passer par Windows Server 2008 R2  DFL et FFL (Tout produit hors support n’est pas testé) Pour les applications Microsoft supportés, existence de correctifs ou de meilleures pratiques, voici quelques exemples et points d’attention: - Active Directory Replication (il est recommandé de redémarrer le service KDC) - OCS 2007 R2 (préparer à nouveau la forêt pour ce produit) - Applications utilisant le .NET Framework 3.5 SP1 ou une version antérieure (existence d’un fix http://support.microsoft.com/kb/2260240)
  21. 21. tech.days 2015#mstechdays  AD V.Next n’est pas Azure AD  AD V.Next ne sera pas disponible en 2015  Azure AD intégrera prochainement un service d’annuaire d’infrastructure Azure AD Domaine Services actuellement preview
  22. 22. tech.days 2015#mstechdays  Azure Active Directory c’est
  23. 23. tech.days 2015#mstechdays  Active Directory dans Azure c’est
  24. 24. tech.days 2015#mstechdays Pourquoi passer à Windows Server 2012 R2 ? Retours d’expérience Q & A
  25. 25. tech.days 2015#mstechdays
  26. 26. © 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr

×