Active Directory : nouveautés Windows Server 2012
 

Active Directory : nouveautés Windows Server 2012

on

  • 7,225 vues

Support complet de la virtualisation, déploiement facilité et administration plus efficace : venez découvrir les nouveautés de AD dans Windows Server 2012. Après avoir assisté à cette session ...

Support complet de la virtualisation, déploiement facilité et administration plus efficace : venez découvrir les nouveautés de AD dans Windows Server 2012. Après avoir assisté à cette session vous saurez comment il vous sera possible de tirer parti de ces innovations de manière progressive et rapide dans votre infrastructure.

Statistiques

Vues

Total des vues
7,225
Vues sur SlideShare
7,225
Vues externes
0

Actions

J'aime
0
Téléchargements
259
Commentaires
0

0 Ajouts 0

No embeds

Accessibilité

Catégories

Détails de l'import

Uploaded via as Microsoft PowerPoint

Droits d'utilisation

© Tous droits réservés

Report content

Signalé comme inapproprié Signaler comme inapproprié
Signaler comme inapproprié

Indiquez la raison pour laquelle vous avez signalé cette présentation comme n'étant pas appropriée.

Annuler
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Votre message apparaîtra ici
    Processing...
Poster un commentaire
Modifier votre commentaire
  • Notation

Active Directory : nouveautés Windows Server 2012 Active Directory : nouveautés Windows Server 2012 Presentation Transcript

  • Active Directory : nouveautés deWindows Server 2012Arnaud Lheureux, Christophe DubosArchitectes InfrastructureMicrosoft FranceEntreprise / IT / Serveurs / Réseaux / Sécurité@ArnaudLheureuxhttp://aka.ms/arnaud
  • Au programmeDéploiementetvirtualisationAdministrationplus efficaceSécurité del’infrastructure
  • Evolutions principales de l’Active DirectoryCompatible avec la virtualisation•Toute les fonctions de l’AD sont désormais compatibles avec la virtualisationDéploiement simplifié•Un seul outillage pour préparer et déployer AD•Déploiement massif simplifié avec le clonage•Déploiement centralisé•Environnement Powershell completGestion simplifiée•Interface graphique complète pour les objets supprimés et les stratégies de mot de passe•Powershell pour gérer la réplication, la topologie et vue de l’historique des commandes•Meilleure gestion des comptes de services de groupes View slide
  • • Avec les précédentes versions de Windows Server– Le déploiement des nouveaux DC pour ajout ou montée deversion était une opération consommatrice en temps et sourced’erreurs…• Séquence d’opérations type– Obtention ADPREP et niveau de privilèges requis– Connexion interactive à différents DCs (différents domaines)– Préparation et exécution dans une séquence précise– Attente de la convergence de la réplication à chaque étapeDéploiement simplifié View slide
  • • Etapes de préparation maintenant intégrées dansle processus de promotion– Validation globale des prérequis en amont du déploiement– Installation du rôle et promotion dans la même interface– Intégration avec Server Manager et exécution à distance• Prérequis– Niveau fonctionnel de foret Windows Server 2003– Enterprise Admin et Schema AdminsDéploiement simplifié : Intégration desprocessus
  • Déploiement simplifié : Vérification desprérequis
  • • Logique de reprise après erreurs lors du DCpromo initiale– La coupure réseau n’est plus un échec pour la promotion!– Boucle infinie jusqu’au succès… ou interruption de l’administrateurDéploiement plus robuste
  • DÉPLOIEMENT D’ACTIVEDIRECTORYAVEC WINDOWSSERVER 2012
  • • Objectif de l’Install From Media (IFM)– Accélérer le temps de déploiement des DC…. Sauf que ladéfragmentation offline prend parfois plus de temps que prévu!• Avec Windows Server 2012 le mécanisme depréparation de la base (NTDUTIL IFMprep) permetde passer outre cette étape– Le comportement par défaut reste le même (défragmentation)– Gains potentiels importants sur le temps de préparation des basesau détriment de la taille de la baseDéploiement - Mode IFM optimisé
  • • Avec les précédentes versions de Windows Server– Le déploiement d’un DC virtuel représentait une charge de travailéquivalente à celle d’un DC physique• La virtualisation apporte beaucoup de facilités– Les DCs constituent finalement des instances identiques d’unpoint de vue AD• Excepté le nom, l’@IP, …– Déployer des DC implique des étapes redondantes:• Préparation et déploiement d’image serveur sysprep• Promotion manuelle via synchronisation réseau ou copie IFM• Vérifications et configurations post-déploiement nécessairesDéploiement accéléré via clonage
  • • Avec Windows Server 2012 il est possible de créerune réplique d’un DC virtualisé par clonage– Copie de VHD via les mécanismes d’export et d’import– Interactions entre les administrateurs Hyper-V et AD simplifiées• L’autorisation des opérations de clonage reste sous le contrôle desadministrateurs de domaine / Entreprise• Les administrateurs Hyper-V peuvent déployer les DC préparés auclonage en les copiant– Nouvelle possibilité pour le “disaster-recovery”• Un DC Windows Sevrer 2012 virtualisé par domaine suffit pourreconstruire une forêt complète• Les DC sont déployés beaucoup plus rapidement– Provision à la demande (ex. déploiement de cloud, etc.)Déploiement accéléré via clonage
  • Démarrage NTDSRécupération VM-GenID courantSi différent valeur dans le DITRéinitialisation InvocationID,suppression RID poolDCCloneConfig.xml disponible ?Dcpromo /fixcloneLecture DCCloneConfig.xmlConfiguration paramètres réseauLocalisation PDCAppel _IDL_DRSAddCloneDC(name, site)Vérification autorisationCréation nouvel objet DC via duplicationobjets DC source(NTDSDSA, Server, Computer instances)Génération nouveau comptemachine et mot de passe pour DCSauvegarde état clone (nouveau nom,mot de passe, site)Promotion nouveau DC (IFM)Exécution providers SYSPREP spécifiquesRedémarrageVM clone PDCWindows Server 2012IDL_DRSAddCloneDCCN=Configuration|--CN=Sites|---CN=<site name>|---CN=Servers|---CN=<DC Name>|---CN=NTDS SettingsDéploiement accéléré - Processus declonage
  • • Prérequis– DC virtuel Windows Server 2012 hébergé sur un hyperviseur supportant VM-GenerationID– PDC Windows Server 2012 pour autoriser le clonage– DC source autorisé pour le clonage• Niveau domaine: « Allow DC to create a clone of itself »• Niveau compte: membre groupe « Clonable Domain Controllers »– DCCloneConfig.XML présent sur le DC cloné• Répertoire NTDS (ou hébergeant NTDS.DIT) ou USB– Services installés sur le DC cloné doivent supporter l’opération• Ex: DNS, FRS, DFSR• « AllowList » (Get-ADDCCloningExcludedApplicationList)• Si composant pas dans AllowList, échec clonage et DC cloné démarrera en DSRMDéploiement accéléré via clonage
  • DÉPLOIEMENT PAR CLONAGE
  • • Historiquement, la virtualisation permet un datacenter plusdynamique… sauf pour l’AD…• Les contrôleurs de domaines répliquent les différences entreeux– Retour arrière impossible– Re-instanciation de base en cas des restauration• Les snapshots introduisent donc le problème d’USN rollbacks:– lingering objects– Mot de passes inconsistants– Attributs inconsistants– Inconsistances sur le schéma• Existe également un risque de création de compte avec SIDdupliqués…AD Virtualization-Safe
  • Problème des USN Rollbacks…USN rollback PAS détecté: réplication uniquement des 50 utilisateurs entre les 2 DCLes autres sont quelque part sur un DC 100 comptes utilisateurs avec un RIDs 500-599 en conflit!
  • • Les contrôleurs de domaines virtuels Windows Server 2012détectent quand:– un snapshot est appliqué– une VM est copiée• Utilisation de l’attribut (VM-generation ID) variant lorsqu’unsnapshot est créé• Les DC virtuels Windows Server 2012 vérifient en permanenceleur VM-generation ID pour protéger l’intégrité de l’ActiveDirectory.• En cas de changement détecté :– Utilisation d’une nouvelle plage RID– Nouvel invocationID– Re-vérification des rôles FSMOsVirtualization-Safe
  • AD DANS WINDOWS SERVER2012 ET LA VIRTUALISATION
  • • Fonctionnalité introduite dans WS2008R2 permettant a une machinede joindre le domaine sans connectivité… maintenant étendue pourinclure:– Les certificats– Les stratégies de groupe• En résumé…– Dans un environnement DirectAccess, la machine peut désormais joindrele domaine et s’y connecter directement….– Le transport sécurisé du blob de jonction reste à votre charge Jonction au domaine hors-ligne
  • • Les plages RID sont distribuées aux DC et permettent la création desSID• Pas de modifications majeure depuis Windows 2000 mais…– Création d’un compte qui échoue consomme un SID– Bug due à l’absence de certains attributs peut créer une consommationmassive de l’espace (rIDSetReferences)• Améliorations de Windows Server 2012– Alertes périodiques sur la consommation et l’invalidation des portions del’espace– Possibilité d’étendre l’espace d’adressage (déblocage du 31ème bit)– Blocage artificiel à 90% de l’espace consomméAméliorations sur la gestion des étenduesRID
  • • Permet d’activer lafonctionnalité corbeille parl’interface si le DFL/FFL lepermet• Simplifie la récupérationd’objets– Plus besoin ducontexte Powershell– Affiche directement lesobjets récupérablesInterface pour la corbeille
  • • Permet aux administrateurs de voirl’équivalent Powershell des actionsdans l’Administrative Center– Toute action dans l’interfacegraphique est transcrite dansl’historique– L’administrateur peutcopier/copier et s’inspirer de lasyntaxe pour ses futurs scripts!• Apprentissage plus rapide• Accoutumance douce à PowershellHistoriqueActive Directory WindowsPowerShell
  • • Création, édition et attributiondes stratégies de mots depasses directement depuisl’Active DirectoryAdministrative Center• Légèrement plus intuitif queADSIEDITStratégies de mots de passes multiples
  • AD ADMINISTRATIVE CENTER
  • • Visualisation etreporting du status deréplication desstratégies de groupe– Remplaçant deGPOTool.exe et des outilsbasiques de monitoring– Sélectionne un DC commeréférence et compare l’étatdes partenaires deréplicationRapports d’états pour les GPO
  • • GPMC permet de déclencher unrafraichissement à distance– Création d’une tâche planifiéeexécutée dans les +/- 10 minutes• Nécessite flux et droits surmachines distantes– Disponible dans GPMC et Powershell– Nécessite Vista+ et WS2008+Rafraichissement distant des GPO
  • • Gestion de la topologie AD avant– repadmin– ntdsutil– Active Directory Sites and Services– etc.• Automatiser les tâches consommatrices de temps– Création/gestion des sites, liens de sites, sous-réseaux et objets de connexion– Forcer la réplication d’objets entre DC– Voir les échecs de réplications– Voir les métadonnées des objets– Etc.Gestion de la topologie AD AvecPowershell
  • • Gestion de l’activation en entreprise pour Windows/Officerequiert un serveur KMS…• Surplus administratif– Permet de gérer ~90% des cas de déploiement d’entreprise– Pas de console d’administration centralisée par défaut• Trafic RPC doit être activé vers le serveurs• Pas d’authentification• Impossible de connecter ce serveur a des réseaux externesActivation machine Basée sur ActiveDirectory
  • • Utilisation des contrôleurs de domaine pour activer lesclients– Pas de serveur additionnel nécessaire– Basé sur appels LDAP, pas de RPC– RODC supporté• Pas d’écriture d’objets dans l’AD après le déploiement– Activation initiale de la CSVLK (customer-specific volume license key) :• Spécification de la clé dans l’assistant volume activation ou en ligne decommande• Activation initiale sur internet/téléphone (comme pour clés retail)– Stockage dans la partition de configuration– Les machines clientes peuvent être membres de n’importe quel domainede la foretActivation machine Basée sur ActiveDirectory
  • Activation machine Basée sur ActiveDirectory
  • • Prérequis– Machines Windows 8 uniquement– Extension de schéma Windows Server 2012• Ne nécessite pas de contrôleur de domaine 2012• Serveur de licence nécessite Windows Server 2012– Peut coexister avec KMS• Nécessaire pour l’activation des versionsprécédentes de WindowsActivation machine Basée sur ActiveDirectory
  • Dynamic Access Control en une Slide !Classification desdonnéesExpressions de contrôled’accès flexibles, baséessur les critères- utilisateur (groupes etclaims)- périphérique- classification desdocumentsContrôle d’accès centralisévia les CentralAccessPolicies (CAP).Audit ciblé des accès basésur les classifications desdocuments et l’identité desutilisateurs.Déploiement centralisé despolitiques d’audit via lesGlobalAudit Policies(GAP).Chiffrement RMSautomatique en fonctiondes classifications desdocuments.Politique d’audit viades expressionsConditions d’accèsbasées sur lesClaimsChiffrementUtilisation des propriétésstockées dans ActiveDirectory pour laclassification desdocuments.Classification automatiquedes documents en fonctionde leur contenu.
  • Dynamic Access ControlRevendications UtilisateurDépartement=FinanceHabilitation=HauteRevendications MachineDépartement=FinanceAdministré=VraiPropriétés RessourceDépartement =FinanceSensibilité=HauteStratégie d’accès centraliséeS’applique à @Fichier .Sensibilité=HauteAutoriser Lecture, Ecriture | si (@utilisateur.Département==@Fichier.Département) et (@Machine.Administré==Vrai)
  • Ajout progressif des fonctionnalitésInfrastructurecouranteServeur defichiers WindowsServer 2012• Politiquesd’accès etd’audit baséessur les groupeset classificationdes fichiersContrôleurWindows Server2012• Politiquesd’accès etd’auditcentralisées• Revendicationsutilisateurutilisables dansces politiquesClient Windows 8• Ajouterrevendicationsmachines auxpolitiquesd’accès etd’audit• Meilleureexpérience suraccès refusés
  • • Délégation contrainte plus simple– Front/Back end plus forcément dans les même domaines– Gestion des SPN allégés, Contexte de configuration en Powershell– Droits domain admins plus nécessaires pour la configuration• Support de FAST (Flexible Authentication SecureTunneling)– Renforcement de la sécurité de Kerberos, décrit dans RFC 6113– Etablissement d’un canal protégé pour les échanges Kerberos• Support de ADFS v2.1– Inclus les claims dans les tickets Kerberos (pour scénarios DAC)Nouveautés de Kerberos
  • • Extension aux comptes de services Windows Server 2008R2– Peut maintenant être distribué sur plusieurs serveurs– Nouveau type de security principal– Changements de mots de passe gérés par le GKDS (nécessite WS2012)– Gestion en PowerShell New-ADServiceAccount– Support par le Service Control Manager, IIS, et applications• Pas de Task Scheduler• Nécessite– Extension de Schéma 2012, 1 DC 2012– Windows Server 2012 ou Windows 8 sur les machines hébergeant legMSAGroup Managed Service Accounts (gMSA)
  • Tirer partie de Windows Server 2012 dèsaujourd’huiEn déployant… Je gagneLe premier Serveur Membre WindowsServer 2012(ou machine d’administration et RSAT)• Active Directory Administrative Center• Windows PowerShell History Viewer• Interface Graphique Corbeille et stratégies de mot depasse multiple• Utilisation de DAC & FCI• Active Directory-based Activation• Besoin de l’extension de Schéma 2012• Commandes Powershell pour la réplication et la topologie• AD FS (v2.1)Le premier contrôleur de domaineWindows Server 2012• Préparation et déploiement simplifié à distance• Dynamic Access Control policies and claims• Kerberos Claims in AD FS (v2.1)• Cross-domain Kerberos Constrained Delegation• Group Managed Service Accounts• Virtualization-Safe for the Windows Server 2012 DC• Demande un Hyperviseur qui supporte VM-Gen-IDBascule Windows Server 2012 DFL/FFLet PDCE• Déploiement rapide des DC avec clonage• Demande un hyperviseur qui supporte le VM-Gen-ID
  • Avant…• Comptes de service valide sur une machineuniquement• Délégation contrainte Kerberos avecserveurs dans le même domaine• Pas de protection des messages d’erreurKerberos• FGPP dans ADSIEdit.msc et Restaurationd’objets avec Powershell• Pas d’aide au PowerShell• Pléthore d’outils pour la gestion de latopologieWindows Server 2012• Gestion des comptes de services pour lesfermes de serveurs (gMSA)• Gestion de la délégation contrainte Kerberosmulti domaines• Protection des échanges Kerberos• Interface Utilisateur Active Directory– Active Directory Administrative Centerpour FGPP et restauration d’objets– Historique/équivalent des commandesd’administration affichées enPowershell• Gestion de la topologie de réplicationfacilitée avec PowerShellEn résumé…Plus simple à gérer!
  • Avant…• Utilisation de snapshots pouvant donner lieuà des corruptions d’AD• Préparation d’une upgrade Active Directorydemande beaucoup d’outils et demanipulations• Promotion d’un DC peut échouer à caused’une coupure réseau• Déploiement de DC en logon interactif• Difficile d’écrire les scripts d’automatisationWindows Server 2012• Virtualisation sans risques• Déploiement simplifié– Installation de bout en bout etexpérience uniforme– Opérations jouables à distance, ciblageautomatique des rôles FSMOnécessaire pour les opérations– Validation de tous les prérequis avantles opérations– Déploiement disponible en PowerShell• Clonage des DC• Intégration AD FSEn résumé…Plus simple à déployer!
  • Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
  • Formez-vous en ligneRetrouvez nos évènementsFaites-vous accompagnergratuitementEssayer gratuitement nossolutions ITRetrouver nos expertsMicrosoftPros de l’ITDéveloppeurswww.microsoftvirtualacademy.comhttp://aka.ms/generation-apphttp://aka.ms/evenements-developpeurshttp://aka.ms/itcamps-franceLes accélérateursWindows Azure, Windows Phone,Windows 8http://aka.ms/telechargementsLa Dev’Team sur MSDNhttp://aka.ms/devteamL’IT Team sur TechNethttp://aka.ms/itteam