Le document présente les raisons de migrer vers Windows Server 2012 R2, en mettant en avant des caractéristiques telles que la compatibilité avec la virtualisation, un déploiement simplifié d'Active Directory, et la gestion centralisée des accès. Il souligne également les nouvelles fonctionnalités en matière de sécurité, de contrôle d'accès dynamique, et les étapes de migration vers ce système. En conclusion, le texte aborde les considérations essentielles pour assurer une transition fluide et réussie vers Windows Server 2012 R2.

1. En route vers Active Directory
2012 R2 et au-delà
Christophe Dubos
Nadim Bioud
Microsoft France

2. tech.days 2015#mstechdays
Pourquoi
passer à
Windows
Server 2012
R2 ?
Retours
d’expérience
Q & A

3. tech.days 2015#mstechdays
 Supportabilité
 Consolidation et mutualisation
 Nouvelles fonctionnalités

4. tech.days 2015#mstechdays
Support de la virtualisation
• Toute les fonctionnalités d’Active Directory sont désormais compatibles avec la virtualisation
Déploiement simplifié
• Intégration des outils de préparation et de déploiement d’Active Directory
• Déploiement massif simplifié avec le clonage
• Environnement Powershell complet
Gestion simplifiée
• Interface graphique complète pour les objets supprimés et les stratégies de mot de passe
• Powershell pour gérer la réplication, la topologie et vue de l’historique des commandes
• Meilleure gestion des comptes de services de groupes

5. tech.days 2015#mstechdays
Fonctionnalité Schéma
2012
Schéma
2012 R2
DC
2012
PDC
2012
DFL
2012
Cloning/Safe restore* x x x
Dynamic Access Control ** x x x
Kerberos (compression de SID,
blindage,etc)
x x
Group Managed Services Accounts x x
Work folders x
Workplace join x
• ** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine.
• * Nécessite le support du VM-GenerationID par l’hyperviseur utilisé.

6. tech.days 2015#mstechdays
En déployant… Je gagne…
Le premier Serveur Membre Windows
Server 2012 R2
(ou machine d’administration plus
outils d’administration à distance RSAT)
• Active Directory Administrative Center
• Windows PowerShell History Viewer
• Interface Graphique Corbeille et stratégies de mot de passe
multiple
• Active Directory-based Activation
• Besoin de l’extension de Schéma 2012 R2
• Commandes Powershell pour la réplication et la topologie
• AD FS (v3.0)
Le premier contrôleur de domaine
Windows Server 2012 R2
• Préparation et déploiement simplifié à distance
• Dynamic Access Control policies and claims
• Kerberos Claims in AD FS (v3.0)
• Cross-domain Kerberos Constrained Delegation
• Group Managed Service Accounts
• Virtualization-Safe for the Windows Server 2012 R2 DC
• Demande un Hyperviseur qui supporte VM-Gen-ID
Bascule Windows Server 2012 DFL/FFL
et PDCE
• Déploiement rapide des DC avec clonage
• Demande un hyperviseur qui supporte le VM-Gen-ID

7. tech.days 2015#mstechdays
 Historiquement, la virtualisation permet un datacenter plus
dynamique… sauf pour l’AD…
 Les contrôleurs de domaines répliquent les différences entre eux
 Les snapshots introduisent donc le problème d’USN rollbacks:
 Existe également un risque de création de compte avec SID
dupliqués…

8. tech.days 2015#mstechdays
USN rollback PAS détecté: réplication uniquement des 50 utilisateurs entre les 2 DC
Les autres sont quelque part sur un DC 
100 comptes utilisateurs avec un RIDs 500-599 en conflit!

9. tech.days 2015#mstechdays
 Les contrôleurs de domaines virtuels Windows Server 2012 R2
détectent quand:
 Utilisation de l’attribut (VM-generation ID) variant lorsqu’un
snapshot est créé
 Les DC virtuels Windows Server 2012 R2 vérifient en permanence
leur VM-generation ID pour protéger l’intégrité de l’Active
Directory.
 En cas de changement détecté :

10. tech.days 2015#mstechdays

11. tech.days 2015#mstechdays
Classification des
données
Expressions de contrôle
d’accès flexibles, basées sur
les critères
- utilisateur (groupes et
claims)
- périphérique
- classification des
documents
Contrôle d’accès centralisé
via les Central Access Policies
(CAP).
Audit ciblé des accès basé
sur les classifications des
documents et l’identité des
utilisateurs.
Déploiement centralisé des
politiques d’audit via les
Global Audit Policies (GAP).
Chiffrement RMS
automatique en fonction des
classifications des
documents.
Politique d’audit via
des expressions
Conditions d’accès
basées sur les Claims
Chiffrement
Utilisation des propriétés
stockées dans Active
Directory pour la
classification des documents.
Classification automatique
des documents en fonction
de leur contenu.

12. tech.days 2015#mstechdays
Central Access Policy
User claims
User.Department = Finance
User.Clearance = High
Central Access Rule
Applies to: Resource.Impact = High
Allow | Read,Write | if (User.Department = Resource.Department) AND (Device.Managed = True)
Device claims
Device.Department =
Finance
Device.Managed = True
Resource properties
Resource.Department =
Finance
Resource.Impact = High
File Server

13. tech.days 2015#mstechdays
Pourquoi
passer à
Windows
Server 2012
R2 ?
Retours
d’expérience
Q & A

14. tech.days 2015#mstechdays
• Compatibilité des applications
• Inventaire des outils/services installés sur les
DCs (Anti-virus, agent de supervision, outil de sauvegarde…)
• L’analyse de l’état de santé de votre AD ainsi
que la remédiation des points critiques et
importants

15. tech.days 2015#mstechdays
Avant

16. tech.days 2015#mstechdays
Après

17. tech.days 2015#mstechdays
• Gestion de capacité:
DCs/RODCs/Virtualisation
• Plan de migration
Contoso.com
Contoso.com
NewContoso.com
Mise à jour

18. tech.days 2015#mstechdays
1. Préparer/appliquer la GPO de compatibilité selon
les résultats de vos tests
2. Ajout du rôles ADDS et lancer la promotion
3. Vérification de l’état de santé de la foret
4. Valider le bon fonctionnement des applications et
de l’authentification
5. Effectuer des sauvegardes et des tests de
restauration

19. tech.days 2015#mstechdays
1. Rétrograder les anciens DCs
2. Vérifier le bon fonctionnement des applications
3. Rétrograder le dernier DC
4. Augmenter le niveau fonctionnel du domaine et de la
forêt
5. Activer les nouvelles fonctionnalités (Migrer le moteur
de réplication du SYSVOL: http://aka.ms/Bd8ds5 )
6. Mettre à jour les procédures opérationnelles et le plan
de reprise d’activité

20. tech.days 2015#mstechdays
 Pas besoin de passer par Windows Server 2008 R2
 DFL et FFL (Tout produit hors support n’est pas
testé) Pour les applications Microsoft supportés,
existence de correctifs ou de meilleures pratiques,
voici quelques exemples et points d’attention:
- Active Directory Replication (il est recommandé de redémarrer le service KDC)
- OCS 2007 R2 (préparer à nouveau la forêt pour ce produit)
- Applications utilisant le .NET Framework 3.5 SP1 ou une version antérieure
(existence d’un fix http://support.microsoft.com/kb/2260240)

21. tech.days 2015#mstechdays
 AD V.Next n’est pas Azure AD
 AD V.Next ne sera pas disponible en 2015
 Azure AD intégrera prochainement un service
d’annuaire d’infrastructure Azure AD Domaine
Services actuellement preview

22. tech.days 2015#mstechdays
 Azure Active Directory c’est

23. tech.days 2015#mstechdays
 Active Directory dans Azure c’est

24. tech.days 2015#mstechdays
Pourquoi
passer à
Windows
Server 2012
R2 ?
Retours
d’expérience
Q & A

25. tech.days 2015#mstechdays

26. © 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr