Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Migration vers Active
Directory 2012 et 2012 R2
Les meilleures pratiques
Chafia AOUISSI et Nadim BIOUD
Ingénieurs Conseil ...
Au programme
- Avantage de Migrer
- Préparation de la Migration
1.
2.
3.
4.
5.

Evaluer votre environnement
Planifier votr...
AVANTAGE DE MIGRER VERS
ACTIVE DIRECTORY 2012 / R2

#mstechdays

Infrastructure, communication & collaboration
Pourquoi?
• Supportabilité
– Fin de supportabilité de Windows Server 2003
– Fin de supportabilité du matériel (Hardware)

...
Nouvelles fonctionnalités
Fonctionnalité

Schéma
2012

Schéma
2012 R2

DC
2012

Cloning/Safe restore*

x

x

Dynamic Acces...
PRÉPARER LA MIGRATION
Minimiser les risques

#mstechdays

Infrastructure, communication & collaboration
Processus de migration

Evaluer

#mstechdays

Planifier

Tester

Infrastructure, communication & collaboration

Déployer
EVALUER AVANT DE MIGRER
Etat de santé de l’AD et les bloqueurs potentiels

#mstechdays

Infrastructure, communication & co...
Bloqueurs potentiels
Store LMHash
NT 4.0 Cryptography
DES Encryption for Kerberos
SMB Signing

Windows Server
2003
X
X
X
X...
Bloqueur potentiel: Algorithme d’encryption
• DES et 3DES sont désactivés par
défaut: http://aka.ms/R2fwl8
• Identificatio...
Bloqueur potentiel: Compression des SIDs
servernamesha
renamesubfolder
TGS: PAC
compressé

Compression de
SIDs Activé par
...
Que faut-il évaluer?
• Compatibilité des applications
• Inventaire des outils/services installés sur
les DCs
• L’analyse d...
Liste de vérification de l’état de santé
Statut et état de santé

Outils / ligne de commande

Réplication AD

Repadmin /re...
PLANIFIER LA MIGRATION
Maîtriser son projet

#mstechdays

Infrastructure, communication & collaboration
Prérequis d’installation de Windows Server
2012
• Hardware recommandé
– 80 Go de disque système
– 8 Go de RAM / X64

• Win...
Architecture et Préparation

Contoso.com

Contoso.com
NewContoso.com

#mstechdays

• Gestion de capacité:
DCs/RODCs/Virtua...
Retour arrière
• Sauvegarde de l’AD
– System state + Système (Windows Server
2003/Windows Server 2008)
– Bare Metal Recove...
TESTER LA MIGRATION
Assurer ses arrières

#mstechdays

Infrastructure, communication & collaboration
Construction d’un environnement de test
Cet environnement doit être complètement isolé de la production et
doit être suppr...
MISE A JOUR DU SCHEMA
Meilleures pratiques

#mstechdays

Infrastructure, communication & collaboration
Design/UX/UI
DÉPLOYER
Mise en production

#mstechdays

Infrastructure, communication & collaboration
Déploiement du premier du DC 2012/R2
1. Préparer/appliquer la GPO de compatibilité
selon les résultats de vos tests
2. Ajo...
Finaliser le déploiement des DCs
1.
2.
3.
4.

Rétrograder les anciens DCs
Vérifier le bon fonctionnement des applications
...
Conclusion
• La Migration de l’Active Directory est un
projet et non pas une simple tâche
d’administration
• Connaître son...
Ressources
Migrating Active Directory to Windows Server 2012 R2 (TechNet Virtual Labs)
http://go.microsoft.com/?linkid=984...
Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !...
Digital is
business
Pour aller plus loin…
http://aka.ms/MVA

Offre spéciale TechDays limitée aux 200
premières demandes, 1 pack par individu

...
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Prochain SlideShare
Chargement dans…5
×

Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques

14 284 vues

Publié le

Les dernières versions d’Active Directory permettent de mieux tirer parti de la virtualisation, de cloner des contrôleurs de domaines, (etc.) mais également de fournir de nouvelles fonctionnalités à vos utilisateurs comme Dynamic Access Control et un support avancé du Bring Your Own Device. Cette session basée sur nos retours d’expérience Global Business Support inclut nos conseils et méthodes pour que votre migration depuis Windows Server 2003, 2008 ou 2008 R2 soit une traversée sans vague ! Bref, de quoi faire des utilisateurs satisfaits, un DSI heureux, et tout cela avec les meilleures pratiques et avec style.

Speakers : Chafia Aouissi (Microsoft France), Nadim Bioud (Microsoft France)

Publié dans : Technologie

Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques

  1. 1. Migration vers Active Directory 2012 et 2012 R2 Les meilleures pratiques Chafia AOUISSI et Nadim BIOUD Ingénieurs Conseil Grands Comptes Microsoft Infrastructure, communication & collaboration
  2. 2. Au programme - Avantage de Migrer - Préparation de la Migration 1. 2. 3. 4. 5. Evaluer votre environnement Planifier votre projet Tester en pré-production Démo (Mise à jour du Schéma) Déployer - Conclusion #mstechdays Infrastructure, communication & collaboration
  3. 3. AVANTAGE DE MIGRER VERS ACTIVE DIRECTORY 2012 / R2 #mstechdays Infrastructure, communication & collaboration
  4. 4. Pourquoi? • Supportabilité – Fin de supportabilité de Windows Server 2003 – Fin de supportabilité du matériel (Hardware) • Consolidation et mutualisation – Virtualisation – Réduction du nombre de contrôleurs de domaine • Nouvelles fonctionnalités – Windows Server 2012 – Windows Server 2012R2 #mstechdays Infrastructure, communication & collaboration
  5. 5. Nouvelles fonctionnalités Fonctionnalité Schéma 2012 Schéma 2012 R2 DC 2012 Cloning/Safe restore* x x Dynamic Access Control ** x x x Group managed services x x Work folders x x Workplace join • • DFL 2012 x Kerberos (compression de SID, blindage,etc) PDC 2012 x ** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine. * Nécessite le support du VM-GenerationID par l’hyperviseur utilisé. #mstechdays Infrastructure, communication & collaboration x
  6. 6. PRÉPARER LA MIGRATION Minimiser les risques #mstechdays Infrastructure, communication & collaboration
  7. 7. Processus de migration Evaluer #mstechdays Planifier Tester Infrastructure, communication & collaboration Déployer
  8. 8. EVALUER AVANT DE MIGRER Etat de santé de l’AD et les bloqueurs potentiels #mstechdays Infrastructure, communication & collaboration
  9. 9. Bloqueurs potentiels Store LMHash NT 4.0 Cryptography DES Encryption for Kerberos SMB Signing Windows Server 2003 X X X X Computer Browser Service enabled X LMCompatibilityLevel DFS Site-Costed Referrals 2 Fonctionnalité/configuration par défaut Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 /R2 X X X X 3 X 3 X 3 X X X 49152-65535 X 49152-65535 LDAPS / PKI Strict enforcement of RFC 2696 Section 3 (LDAP) SID/PAC Compression Dynamic RPC Ports #mstechdays 1025-5000 49152-65535 Infrastructure, communication & collaboration
  10. 10. Bloqueur potentiel: Algorithme d’encryption • DES et 3DES sont désactivés par défaut: http://aka.ms/R2fwl8 • Identification des utilisateurs DES/3DES Get-aduser –filter * -Properties UserAccountControl|where{($_.useraccountcontrol -band 2097152) -ne 0} dsquery * -filter “(UserAccountControl:1.2.840.113556.1.4.804:=2097152)” • Pour réactiver le DES - Windows Settings -> Security Settings -> Local Policies -> Security Options->Network Security: Configure encryption types allowed for Kerberos #mstechdays Infrastructure, communication & collaboration
  11. 11. Bloqueur potentiel: Compression des SIDs servernamesha renamesubfolder TGS: PAC compressé Compression de SIDs Activé par défaut TGS: PAC compressé Client Access Denied DC 2012/R2 • Solutions – – #mstechdays Désactiver la compression de SIDs sur le compte de la resource uniquement Désactiver la compression des SID sur tous les KDCs Windows Server 2012/R2 • REG_DWORD: DisableResourceGroupsFields=1 HKLMSoftwareMicrosoftWindowsCurrentV ersionPoliciesSystemKdcParameters • Nécessite le redémarrage du DC Infrastructure, communication & collaboration Compression de SIDs non prise en compte NAS
  12. 12. Que faut-il évaluer? • Compatibilité des applications • Inventaire des outils/services installés sur les DCs • L’analyse de l’état de santé de votre AD ainsi que la remédiation des points critiques et importants ( exemple: AD RaaS – Bilan de santé et analyse de risque) #mstechdays Infrastructure, communication & collaboration
  13. 13. Liste de vérification de l’état de santé Statut et état de santé Outils / ligne de commande Réplication AD Repadmin /replsum pour la forêt Repadmin /showrepl au niveau du DC Repadmin /removelingeringobjects /advisory Outil Adreplstatus: http://aka.ms/adreplstatus Réplication du SYSVOL (FRS ou DFSR) SONAR – Ultrasound – DfsrMon- DfsrMgmt Résolution de Nom (DNS) Dnslint /ad « IP du DC » /s « IP du DNS » Dcdiag /test:DNS « nom du DC » Base NTDS.dit /Performance/Services Journaux d’événements (EventComb) Best practices analyzer depuis Windows 2008 R2 Sauvegarde de l’état du Système Repadmin /Showbackups Diagnostic général / Rôles FSMO /Synchronisation de temps Dcdiag /q /e Netdom query fsmo #mstechdays Infrastructure, communication & collaboration
  14. 14. PLANIFIER LA MIGRATION Maîtriser son projet #mstechdays Infrastructure, communication & collaboration
  15. 15. Prérequis d’installation de Windows Server 2012 • Hardware recommandé – 80 Go de disque système – 8 Go de RAM / X64 • Windows Edition – Standard ou datacenter – Core/Intermediate/full • Hyperviseur (Cloning DC/safe resotre) – Hyperviseur qui supporte VM-generationID • Prérequis promotion DC – Mode fonctionnel de la forêt Windows 2003 #mstechdays Infrastructure, communication & collaboration
  16. 16. Architecture et Préparation Contoso.com Contoso.com NewContoso.com #mstechdays • Gestion de capacité: DCs/RODCs/Virtualisati on • Créer le plan de migration • Identifier les applications à tester Infrastructure, communication & collaboration
  17. 17. Retour arrière • Sauvegarde de l’AD – System state + Système (Windows Server 2003/Windows Server 2008) – Bare Metal Recovery (Windows Server 2008 R2) • Forest Recovery – Plan détaillé de la reprise d’activité (Restauration totale de la forêt) – Plus d’info: http://aka.ms/W9714e #mstechdays Infrastructure, communication & collaboration
  18. 18. TESTER LA MIGRATION Assurer ses arrières #mstechdays Infrastructure, communication & collaboration
  19. 19. Construction d’un environnement de test Cet environnement doit être complètement isolé de la production et doit être supprimé à la fin des tests Méthode Avantages/Inconvénient Restaurer la sauvegarde d’un DC Physique/virtuel de chaque domaine vers une machine Physique/virtuelle de l’environnement de test - Ajout d’un DC Virtuel dans chaque domaine de la forêt de production et le déplacer vers l’environnement de test - #mstechdays - Avantage: Tester la validité de la sauvegarde AD de la production Inconvénient: Nécessite un matériel identique dans le lab (DC physique)/Nécessite l’existence d’un DC virtuel dans l’environnement (DC virtuel) Avantage: ne nécessite pas du matériel additionnel. Inconvénient: Pas de test de la sauvegarde. Il faut nettoyer le domaine de production (metadatacleanup: http://aka.ms/Lictx9 ) Infrastructure, communication & collaboration
  20. 20. MISE A JOUR DU SCHEMA Meilleures pratiques #mstechdays Infrastructure, communication & collaboration Design/UX/UI
  21. 21. DÉPLOYER Mise en production #mstechdays Infrastructure, communication & collaboration
  22. 22. Déploiement du premier du DC 2012/R2 1. Préparer/appliquer la GPO de compatibilité selon les résultats de vos tests 2. Ajout du rôles ADDS et promotion 3. Vérification de l’état de santé (voir slide 16) 4. Valider le bon fonctionnement des applications et de l’authentification 5. Effectuer des sauvegardes et des tests de restauration #mstechdays Infrastructure, communication & collaboration
  23. 23. Finaliser le déploiement des DCs 1. 2. 3. 4. Rétrograder les anciens DCs Vérifier le bon fonctionnement des applications Rétrograder le dernier DC Augmenter le niveau fonctionnel du domaine et de la forêt 5. Activer les nouvelles fonctionnalités (Migrer la réplication du SYSVOL: http://aka.ms/Bd8ds5 ) 6. Mettre à jour les procédures opérationnelles et le plan de reprise d’activité #mstechdays Infrastructure, communication & collaboration
  24. 24. Conclusion • La Migration de l’Active Directory est un projet et non pas une simple tâche d’administration • Connaître son environnement pour mieux gérer les problèmes connus • Faire des tests pour éviter les mauvaises surprises #mstechdays Infrastructure, communication & collaboration
  25. 25. Ressources Migrating Active Directory to Windows Server 2012 R2 (TechNet Virtual Labs) http://go.microsoft.com/?linkid=9842894 Mettre à niveau des contrôleurs de domaine vers Windows Server 2012 http://technet.microsoft.com/fr-fr/library/hh994618.aspx Microsoft Virtual Academy – Windows Server 2012 http://www.microsoftvirtualacademy.com/colleges/WindowsServer2012#?fbid=2Ye31l k87rC Configuration requise et informations d’installation pour Windows Server 2012 R2 http://technet.microsoft.com/fr-fr/library/dn303418.aspx Windows Server 2012 : modifications apportées par Adprep.exe http://technet.microsoft.com/fr-fr/library/hh994609 Installer et déployer Windows Server 2012 http://technet.microsoft.com/fr-fr/library/hh831620 Présentation des niveaux fonctionnels des services de domaine Active Directory http://technet.microsoft.com/fr-fr/library/understanding-active-directory-functionallevels(v=WS.10).aspx #mstechdays Infrastructure, communication & collaboration
  26. 26. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Réagissez sur #mstechdays Merci de nous aider à améliorer les Techdays ! #mstechdays Infrastructure, communication & collaboration
  27. 27. Digital is business
  28. 28. Pour aller plus loin… http://aka.ms/MVA Offre spéciale TechDays limitée aux 200 premières demandes, 1 pack par individu http://aka.ms/jeveuxwindows2012 Approfondissez Microsoft System Center 2012 Agenda des séminaires techniques pour les IT Pros : http://aka.ms/itcamps-france Agenda des séminaires fonctionnels pour les décideurs : http://aka.ms/TDI #mstechdays http://aka.ms/jeveuxmoncloudprive http://aka.ms/free/trial Infrastructure, communication & collaboration

×