Microsoft Technet France, profile picture
Téléchargé parMicrosoft Technet France
PPTX, PDF15,714 vues

Active Directory : nouveautés Windows Server 2012

Le document présente les nouveautés de l'Active Directory dans Windows Server 2012, mettant l'accent sur le déploiement simplifié, la compatibilité avec la virtualisation et une gestion améliorée de l'infrastructure. Des fonctionnalités telles que le clonage des contrôleurs de domaine et des configurations de sécurité renforcées sont également mises en avant, permettant une administration plus efficace des comptes et des politiques. En résumé, Windows Server 2012 offre une expérience plus rapide et uniforme pour le déploiement et la gestion d'Active Directory.

Intégrer la présentation

Téléchargé 833 fois
Active Directory : nouveautés de Windows Server 2012 Arnaud Lheureux, Christophe Dubos Architectes Infrastructure Microsoft France Entreprise / IT / Serveurs / Réseaux / Sécurité @ArnaudLheureux http://aka.ms/arnaud
Au programme Déploiement et virtualisation Administration plus efficace Sécurité de l’infrastructure
Evolutions principales de l’Active Directory Compatible avec la virtualisation •Toute les fonctions de l’AD sont désormais compatibles avec la virtualisation Déploiement simplifié •Un seul outillage pour préparer et déployer AD •Déploiement massif simplifié avec le clonage •Déploiement centralisé •Environnement Powershell complet Gestion simplifiée •Interface graphique complète pour les objets supprimés et les stratégies de mot de passe •Powershell pour gérer la réplication, la topologie et vue de l’historique des commandes •Meilleure gestion des comptes de services de groupes
• Avec les précédentes versions de Windows Server – Le déploiement des nouveaux DC pour ajout ou montée de version était une opération consommatrice en temps et source d’erreurs… • Séquence d’opérations type – Obtention ADPREP et niveau de privilèges requis – Connexion interactive à différents DCs (différents domaines) – Préparation et exécution dans une séquence précise – Attente de la convergence de la réplication à chaque étape Déploiement simplifié
• Etapes de préparation maintenant intégrées dans le processus de promotion – Validation globale des prérequis en amont du déploiement – Installation du rôle et promotion dans la même interface – Intégration avec Server Manager et exécution à distance • Prérequis – Niveau fonctionnel de foret Windows Server 2003 – Enterprise Admin et Schema Admins Déploiement simplifié : Intégration des processus
Déploiement simplifié : Vérification des prérequis
• Logique de reprise après erreurs lors du DC promo initiale – La coupure réseau n’est plus un échec pour la promotion! – Boucle infinie jusqu’au succès… ou interruption de l’administrateur Déploiement plus robuste
DÉPLOIEMENT D’ACTIVE DIRECTORYAVEC WINDOWS SERVER 2012
• Objectif de l’Install From Media (IFM) – Accélérer le temps de déploiement des DC…. Sauf que la défragmentation offline prend parfois plus de temps que prévu! • Avec Windows Server 2012 le mécanisme de préparation de la base (NTDUTIL IFMprep) permet de passer outre cette étape – Le comportement par défaut reste le même (défragmentation) – Gains potentiels importants sur le temps de préparation des bases au détriment de la taille de la base Déploiement - Mode IFM optimisé
• Avec les précédentes versions de Windows Server – Le déploiement d’un DC virtuel représentait une charge de travail équivalente à celle d’un DC physique • La virtualisation apporte beaucoup de facilités – Les DCs constituent finalement des instances identiques d’un point de vue AD • Excepté le nom, l’@IP, … – Déployer des DC implique des étapes redondantes: • Préparation et déploiement d’image serveur sysprep • Promotion manuelle via synchronisation réseau ou copie IFM • Vérifications et configurations post-déploiement nécessaires Déploiement accéléré via clonage
• Avec Windows Server 2012 il est possible de créer une réplique d’un DC virtualisé par clonage – Copie de VHD via les mécanismes d’export et d’import – Interactions entre les administrateurs Hyper-V et AD simplifiées • L’autorisation des opérations de clonage reste sous le contrôle des administrateurs de domaine / Entreprise • Les administrateurs Hyper-V peuvent déployer les DC préparés au clonage en les copiant – Nouvelle possibilité pour le “disaster-recovery” • Un DC Windows Sevrer 2012 virtualisé par domaine suffit pour reconstruire une forêt complète • Les DC sont déployés beaucoup plus rapidement – Provision à la demande (ex. déploiement de cloud, etc.) Déploiement accéléré via clonage
Démarrage NTDS Récupération VM-GenID courant Si différent valeur dans le DIT Réinitialisation InvocationID, suppression RID pool DCCloneConfig.xml disponible ? Dcpromo /fixclone Lecture DCCloneConfig.xml Configuration paramètres réseau Localisation PDC Appel _IDL_DRSAddCloneDC(name, site) Vérification autorisation Création nouvel objet DC via duplication objets DC source (NTDSDSA, Server, Computer instances) Génération nouveau compte machine et mot de passe pour DC Sauvegarde état clone (nouveau nom, mot de passe, site) Promotion nouveau DC (IFM) Exécution providers SYSPREP spécifiques Redémarrage VM clone PDC Windows Server 2012 IDL_DRSAddCloneDC CN=Configuration |--CN=Sites |---CN=<site name> |---CN=Servers |---CN=<DC Name> |---CN=NTDS Settings Déploiement accéléré - Processus de clonage
• Prérequis – DC virtuel Windows Server 2012 hébergé sur un hyperviseur supportant VM-Generation ID – PDC Windows Server 2012 pour autoriser le clonage – DC source autorisé pour le clonage • Niveau domaine: « Allow DC to create a clone of itself » • Niveau compte: membre groupe « Clonable Domain Controllers » – DCCloneConfig.XML présent sur le DC cloné • Répertoire NTDS (ou hébergeant NTDS.DIT) ou USB – Services installés sur le DC cloné doivent supporter l’opération • Ex: DNS, FRS, DFSR • « AllowList » (Get-ADDCCloningExcludedApplicationList) • Si composant pas dans AllowList, échec clonage et DC cloné démarrera en DSRM Déploiement accéléré via clonage
DÉPLOIEMENT PAR CLONAGE
• Historiquement, la virtualisation permet un datacenter plus dynamique… sauf pour l’AD… • Les contrôleurs de domaines répliquent les différences entre eux – Retour arrière impossible – Re-instanciation de base en cas des restauration • Les snapshots introduisent donc le problème d’USN rollbacks: – lingering objects – Mot de passes inconsistants – Attributs inconsistants – Inconsistances sur le schéma • Existe également un risque de création de compte avec SID dupliqués… AD Virtualization-Safe
Problème des USN Rollbacks… USN rollback PAS détecté: réplication uniquement des 50 utilisateurs entre les 2 DC Les autres sont quelque part sur un DC  100 comptes utilisateurs avec un RIDs 500-599 en conflit!
• Les contrôleurs de domaines virtuels Windows Server 2012 détectent quand: – un snapshot est appliqué – une VM est copiée • Utilisation de l’attribut (VM-generation ID) variant lorsqu’un snapshot est créé • Les DC virtuels Windows Server 2012 vérifient en permanence leur VM-generation ID pour protéger l’intégrité de l’Active Directory. • En cas de changement détecté : – Utilisation d’une nouvelle plage RID – Nouvel invocationID – Re-vérification des rôles FSMOs Virtualization-Safe
AD DANS WINDOWS SERVER 2012 ET LA VIRTUALISATION
• Fonctionnalité introduite dans WS2008R2 permettant a une machine de joindre le domaine sans connectivité… maintenant étendue pour inclure: – Les certificats – Les stratégies de groupe • En résumé… – Dans un environnement DirectAccess, la machine peut désormais joindre le domaine et s’y connecter directement…. – Le transport sécurisé du blob de jonction reste à votre charge  Jonction au domaine hors-ligne
• Les plages RID sont distribuées aux DC et permettent la création des SID • Pas de modifications majeure depuis Windows 2000 mais… – Création d’un compte qui échoue consomme un SID – Bug due à l’absence de certains attributs peut créer une consommation massive de l’espace (rIDSetReferences) • Améliorations de Windows Server 2012 – Alertes périodiques sur la consommation et l’invalidation des portions de l’espace – Possibilité d’étendre l’espace d’adressage (déblocage du 31ème bit) – Blocage artificiel à 90% de l’espace consommé Améliorations sur la gestion des étendues RID
• Permet d’activer la fonctionnalité corbeille par l’interface si le DFL/FFL le permet • Simplifie la récupération d’objets – Plus besoin du contexte Powershell – Affiche directement les objets récupérables Interface pour la corbeille
• Permet aux administrateurs de voir l’équivalent Powershell des actions dans l’Administrative Center – Toute action dans l’interface graphique est transcrite dans l’historique – L’administrateur peut copier/copier et s’inspirer de la syntaxe pour ses futurs scripts! • Apprentissage plus rapide • Accoutumance douce à Powershell  HistoriqueActive Directory Windows PowerShell
• Création, édition et attribution des stratégies de mots de passes directement depuis l’Active Directory Administrative Center • Légèrement plus intuitif que ADSIEDIT Stratégies de mots de passes multiples
AD ADMINISTRATIVE CENTER
• Visualisation et reporting du status de réplication des stratégies de groupe – Remplaçant de GPOTool.exe et des outils basiques de monitoring – Sélectionne un DC comme référence et compare l’état des partenaires de réplication Rapports d’états pour les GPO
• GPMC permet de déclencher un rafraichissement à distance – Création d’une tâche planifiée exécutée dans les +/- 10 minutes • Nécessite flux et droits sur machines distantes – Disponible dans GPMC et Powershell – Nécessite Vista+ et WS2008+ Rafraichissement distant des GPO
• Gestion de la topologie AD avant – repadmin – ntdsutil – Active Directory Sites and Services – etc. • Automatiser les tâches consommatrices de temps – Création/gestion des sites, liens de sites, sous-réseaux et objets de connexion – Forcer la réplication d’objets entre DC – Voir les échecs de réplications – Voir les métadonnées des objets – Etc. Gestion de la topologie AD Avec Powershell
• Gestion de l’activation en entreprise pour Windows/Office requiert un serveur KMS… • Surplus administratif – Permet de gérer ~90% des cas de déploiement d’entreprise – Pas de console d’administration centralisée par défaut • Trafic RPC doit être activé vers le serveurs • Pas d’authentification • Impossible de connecter ce serveur a des réseaux externes Activation machine Basée sur Active Directory
• Utilisation des contrôleurs de domaine pour activer les clients – Pas de serveur additionnel nécessaire – Basé sur appels LDAP, pas de RPC – RODC supporté • Pas d’écriture d’objets dans l’AD après le déploiement – Activation initiale de la CSVLK (customer-specific volume license key) : • Spécification de la clé dans l’assistant volume activation ou en ligne de commande • Activation initiale sur internet/téléphone (comme pour clés retail) – Stockage dans la partition de configuration – Les machines clientes peuvent être membres de n’importe quel domaine de la foret Activation machine Basée sur Active Directory
Activation machine Basée sur Active Directory
• Prérequis – Machines Windows 8 uniquement – Extension de schéma Windows Server 2012 • Ne nécessite pas de contrôleur de domaine 2012 • Serveur de licence nécessite Windows Server 2012 – Peut coexister avec KMS • Nécessaire pour l’activation des versions précédentes de Windows Activation machine Basée sur Active Directory
Dynamic Access Control en une Slide ! Classification des données Expressions de contrôle d’accès flexibles, basées sur les critères - utilisateur (groupes et claims) - périphérique - classification des documents Contrôle d’accès centralisé via les CentralAccess Policies (CAP). Audit ciblé des accès basé sur les classifications des documents et l’identité des utilisateurs. Déploiement centralisé des politiques d’audit via les GlobalAudit Policies (GAP). Chiffrement RMS automatique en fonction des classifications des documents. Politique d’audit via des expressions Conditions d’accès basées sur les Claims Chiffrement Utilisation des propriétés stockées dans Active Directory pour la classification des documents. Classification automatique des documents en fonction de leur contenu.
Dynamic Access Control Revendications Utilisateur Département=Finance Habilitation=Haute Revendications Machine Département=Finance Administré=Vrai Propriétés Ressource Département =Finance Sensibilité=Haute Stratégie d’accès centralisée S’applique à @Fichier .Sensibilité=Haute Autoriser Lecture, Ecriture | si (@utilisateur.Département==@Fichier.Département) et (@Machine.Administré==Vrai)
Ajout progressif des fonctionnalités Infrastructure courante Serveur de fichiers Windows Server 2012 • Politiques d’accès et d’audit basées sur les groupes et classification des fichiers Contrôleur Windows Server 2012 • Politiques d’accès et d’audit centralisées • Revendications utilisateur utilisables dans ces politiques Client Windows 8 • Ajouter revendications machines aux politiques d’accès et d’audit • Meilleure expérience sur accès refusés
• Délégation contrainte plus simple – Front/Back end plus forcément dans les même domaines – Gestion des SPN allégés, Contexte de configuration en Powershell – Droits domain admins plus nécessaires pour la configuration • Support de FAST (Flexible Authentication Secure Tunneling) – Renforcement de la sécurité de Kerberos, décrit dans RFC 6113 – Etablissement d’un canal protégé pour les échanges Kerberos • Support de ADFS v2.1 – Inclus les claims dans les tickets Kerberos (pour scénarios DAC) Nouveautés de Kerberos
• Extension aux comptes de services Windows Server 2008 R2 – Peut maintenant être distribué sur plusieurs serveurs – Nouveau type de security principal – Changements de mots de passe gérés par le GKDS (nécessite WS2012) – Gestion en PowerShell New-ADServiceAccount – Support par le Service Control Manager, IIS, et applications • Pas de Task Scheduler • Nécessite – Extension de Schéma 2012, 1 DC 2012 – Windows Server 2012 ou Windows 8 sur les machines hébergeant le gMSA Group Managed Service Accounts (gMSA)
Tirer partie de Windows Server 2012 dès aujourd’huiEn déployant… Je gagne Le premier Serveur Membre Windows Server 2012 (ou machine d’administration et RSAT) • Active Directory Administrative Center • Windows PowerShell History Viewer • Interface Graphique Corbeille et stratégies de mot de passe multiple • Utilisation de DAC & FCI • Active Directory-based Activation • Besoin de l’extension de Schéma 2012 • Commandes Powershell pour la réplication et la topologie • AD FS (v2.1) Le premier contrôleur de domaine Windows Server 2012 • Préparation et déploiement simplifié à distance • Dynamic Access Control policies and claims • Kerberos Claims in AD FS (v2.1) • Cross-domain Kerberos Constrained Delegation • Group Managed Service Accounts • Virtualization-Safe for the Windows Server 2012 DC • Demande un Hyperviseur qui supporte VM-Gen-ID Bascule Windows Server 2012 DFL/FFL et PDCE • Déploiement rapide des DC avec clonage • Demande un hyperviseur qui supporte le VM-Gen-ID
Avant… • Comptes de service valide sur une machine uniquement • Délégation contrainte Kerberos avec serveurs dans le même domaine • Pas de protection des messages d’erreur Kerberos • FGPP dans ADSIEdit.msc et Restauration d’objets avec Powershell • Pas d’aide au PowerShell • Pléthore d’outils pour la gestion de la topologie Windows Server 2012 • Gestion des comptes de services pour les fermes de serveurs (gMSA) • Gestion de la délégation contrainte Kerberos multi domaines • Protection des échanges Kerberos • Interface Utilisateur Active Directory – Active Directory Administrative Center pour FGPP et restauration d’objets – Historique/équivalent des commandes d’administration affichées en Powershell • Gestion de la topologie de réplication facilitée avec PowerShell En résumé… Plus simple à gérer!
Avant… • Utilisation de snapshots pouvant donner lieu à des corruptions d’AD • Préparation d’une upgrade Active Directory demande beaucoup d’outils et de manipulations • Promotion d’un DC peut échouer à cause d’une coupure réseau • Déploiement de DC en logon interactif • Difficile d’écrire les scripts d’automatisation Windows Server 2012 • Virtualisation sans risques • Déploiement simplifié – Installation de bout en bout et expérience uniforme – Opérations jouables à distance, ciblage automatique des rôles FSMO nécessaire pour les opérations – Validation de tous les prérequis avant les opérations – Déploiement disponible en PowerShell • Clonage des DC • Intégration AD FS En résumé… Plus simple à déployer!
Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr
Formez-vous en ligne Retrouvez nos évènements Faites-vous accompagner gratuitement Essayer gratuitement nos solutions IT Retrouver nos experts Microsoft Pros de l’ITDéveloppeurs www.microsoftvirtualacademy.comhttp://aka.ms/generation-app http://aka.ms/evenements- developpeurs http://aka.ms/itcamps-france Les accélérateurs Windows Azure, Windows Phone, Windows 8 http://aka.ms/telechargements La Dev’Team sur MSDN http://aka.ms/devteam L’IT Team sur TechNet http://aka.ms/itteam

Contenu connexe

PDF
En route vers Active Directory 2012 R2 et au-delà
parMicrosoft Décideurs IT
 
PPTX
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
parMicrosoft Technet France
 
PPT
Les 11 bonnes raisons de migrer vers Windows Server 2008
parfabricemeillon
 
PPTX
Les nouveautés stockage dans Windows Server 2012 R2
parGeorgeot Cédric
 
PPTX
Migration des PME vers Windows 2012 R2 Essentials et Office 365
parMicrosoft Technet France
 
PPTX
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
parMicrosoft Technet France
 
PPTX
Windows Server 2012, quelles évolutions pour les services de stockage et de c...
parMicrosoft Décideurs IT
 
PDF
Les avantages du Cloud avec Windows Server 2012
parNRC
 
En route vers Active Directory 2012 R2 et au-delà
parMicrosoft Décideurs IT
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
parMicrosoft Technet France
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
parfabricemeillon
 
Les nouveautés stockage dans Windows Server 2012 R2
parGeorgeot Cédric
 
Migration des PME vers Windows 2012 R2 Essentials et Office 365
parMicrosoft Technet France
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
parMicrosoft Technet France
 
Windows Server 2012, quelles évolutions pour les services de stockage et de c...
parMicrosoft Décideurs IT
 
Les avantages du Cloud avec Windows Server 2012
parNRC
 

Tendances

PPTX
Cours 70 410-1
parMohamed Diallo
 
PPT
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
parfabricemeillon
 
PPTX
Cours 70 410 - J2
parMohamed Diallo
 
PPT
Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...
parfabricemeillon
 
PPT
Telecharger Cours Systèmes d’exploitation windows: Administration Windows
parwebreaker
 
PPT
installation et configuration du DNS sous Windows serveur 2003
parSouhaib El
 
PDF
Active Directory Sur Windows 2008 R2
parSIMOES AUGUSTO
 
PDF
5 bonnes raisons de migrer vers Windows Server 2012
parNRC
 
PDF
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...
parChristophe Lauer
 
PDF
Windows server 2012 r2
parOusmane BADJI
 
PPTX
Cours 70 410 - J5
parMohamed Diallo
 
PDF
Serveur Intranet sous Windows Server 2008
parAicha OUALLA
 
PPTX
Windows server 2012
parNdim43
 
PDF
Approbation de Domaine D'active Directory AD sur 2008 serveurr
parmedfaye
 
PPTX
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
parKyos
 
PDF
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
parMicrosoft Décideurs IT
 
PDF
Sécurité Active Directory: Etablir un référentiel
parMicrosoft Décideurs IT
 
PPTX
Vue d'ensemble des nouveautés de System Center 2012 R2
parMicrosoft Technet France
 
PPTX
Windows server-2008-r2-lessentiel HISOFT
pargroupe_hisoft
 
PPTX
AD Audit Plus
parPGSoftware
 
Cours 70 410-1
parMohamed Diallo
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
parfabricemeillon
 
Cours 70 410 - J2
parMohamed Diallo
 
Techdays 2009 - Hyper-V en profondeur, bonnes pratiques et quoi de neuf avec ...
parfabricemeillon
 
Telecharger Cours Systèmes d’exploitation windows: Administration Windows
parwebreaker
 
installation et configuration du DNS sous Windows serveur 2003
parSouhaib El
 
Active Directory Sur Windows 2008 R2
parSIMOES AUGUSTO
 
5 bonnes raisons de migrer vers Windows Server 2012
parNRC
 
Tutoriel : Apprendre à configurer et gérer un serveur Web sous Windows Server...
parChristophe Lauer
 
Windows server 2012 r2
parOusmane BADJI
 
Cours 70 410 - J5
parMohamed Diallo
 
Serveur Intranet sous Windows Server 2008
parAicha OUALLA
 
Windows server 2012
parNdim43
 
Approbation de Domaine D'active Directory AD sur 2008 serveurr
parmedfaye
 
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
parKyos
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
parMicrosoft Décideurs IT
 
Sécurité Active Directory: Etablir un référentiel
parMicrosoft Décideurs IT
 
Vue d'ensemble des nouveautés de System Center 2012 R2
parMicrosoft Technet France
 
Windows server-2008-r2-lessentiel HISOFT
pargroupe_hisoft
 
AD Audit Plus
parPGSoftware
 

En vedette

PDF
VMworld 2014: Virtualize Active Directory, the Right Way!
parVMworld
 
PDF
Alphorm.com-Formation Windows Server 2012 R2 (70-411)
parAlphorm
 
PDF
Alphorm.com-Formation windows 2012 (70-410)
parAlphorm
 
PPTX
JavaScript aussi sur le serveur et jusque dans le cloud?
parbenjguin
 
PDF
Alphorm.com : Formation Active directory 2008 R2 (70-640)
parAlphorm
 
PPTX
Microsoft - Solution Virtualisation Windows Server 08
paractualblog
 
PPTX
On a volé les clefs de mon SI !
parMicrosoft Technet France
 
PDF
Sécurité Active Directory : détecter l’indétectable !
parMicrosoft Décideurs IT
 
PPTX
Active Directory et la Sécurité
parMicrosoft
 
PDF
Zabbix
parkamiloo2009
 
PDF
Cours windows-2003-server
parmbarek_slide
 
PDF
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)
parMicrosoft Technet France
 
PPTX
Windows Server 2012 Essentials, une nouvelle offre pour les TPE
parMicrosoft Technet France
 
PPTX
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
parMicrosoft Technet France
 
PDF
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
parMicrosoft Décideurs IT
 
PPTX
Atelier 2
parMohamed Amine TALHAOUI
 
VMworld 2014: Virtualize Active Directory, the Right Way!
parVMworld
 
Alphorm.com-Formation Windows Server 2012 R2 (70-411)
parAlphorm
 
Alphorm.com-Formation windows 2012 (70-410)
parAlphorm
 
JavaScript aussi sur le serveur et jusque dans le cloud?
parbenjguin
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
parAlphorm
 
Microsoft - Solution Virtualisation Windows Server 08
paractualblog
 
On a volé les clefs de mon SI !
parMicrosoft Technet France
 
Sécurité Active Directory : détecter l’indétectable !
parMicrosoft Décideurs IT
 
Active Directory et la Sécurité
parMicrosoft
 
Zabbix
parkamiloo2009
 
Cours windows-2003-server
parmbarek_slide
 
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)
parMicrosoft Technet France
 
Windows Server 2012 Essentials, une nouvelle offre pour les TPE
parMicrosoft Technet France
 
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
parMicrosoft Technet France
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
parMicrosoft Décideurs IT
 
Atelier 2
parMohamed Amine TALHAOUI
 

Similaire à Active Directory : nouveautés Windows Server 2012

PPTX
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
parMickaelLOPES91
 
PPTX
certification MCSA: Windows Server 2012 22410B_02.pptx
parshayn3
 
PPTX
Déploiement et destion de windows server.pptx
parSamuelAbangwaBryan
 
PPTX
Déploiement et destion de windows server
parSamuelAbangwaBryan
 
PDF
Alphorm.com Formation Nouveautés Windows Server 2016
parAlphorm
 
PDF
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
parAlphorm
 
PPTX
01- DC.pptx
parPierre Mario
 
PPT
Techdays 2009 - La virtualisation de machines avec Hyper-V
parfabricemeillon
 
PPTX
chap1-windows server.pptxhhhgggjjjhhdddddh
parHamza546870
 
PPTX
Cours 70 410 - J4
parMohamed Diallo
 
PDF
Mise en place d'active directory sous windows serveur 22
parImnaTech
 
PPTX
Active directory Intégration machine
parYaya N'Tyeni Sanogo
 
DOCX
WINDOWS SERVEUR ET ADDS
parBelgeKilem
 
PDF
En route vers Active Directory 2012 R2 et au-delà
parMicrosoft Technet France
 
PDF
M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...
parCERTyou Formation
 
PPT
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
parfabricemeillon
 
PPT
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
parfabricemeillon
 
PPTX
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
parMicrosoft Technet France
 
PDF
windows-serv111111111111111111111111111111111
parchirouxchira
 
PPT
tn005.ppt
parmustaphaamlik1
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
parMickaelLOPES91
 
certification MCSA: Windows Server 2012 22410B_02.pptx
parshayn3
 
Déploiement et destion de windows server.pptx
parSamuelAbangwaBryan
 
Déploiement et destion de windows server
parSamuelAbangwaBryan
 
Alphorm.com Formation Nouveautés Windows Server 2016
parAlphorm
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
parAlphorm
 
01- DC.pptx
parPierre Mario
 
Techdays 2009 - La virtualisation de machines avec Hyper-V
parfabricemeillon
 
chap1-windows server.pptxhhhgggjjjhhdddddh
parHamza546870
 
Cours 70 410 - J4
parMohamed Diallo
 
Mise en place d'active directory sous windows serveur 22
parImnaTech
 
Active directory Intégration machine
parYaya N'Tyeni Sanogo
 
WINDOWS SERVEUR ET ADDS
parBelgeKilem
 
En route vers Active Directory 2012 R2 et au-delà
parMicrosoft Technet France
 
M20412 formation-configuration-avancee-des-services-microsoft-windows-server-...
parCERTyou Formation
 
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
parfabricemeillon
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
parfabricemeillon
 
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
parMicrosoft Technet France
 
windows-serv111111111111111111111111111111111
parchirouxchira
 
tn005.ppt
parmustaphaamlik1
 

Plus de Microsoft Technet France

PPTX
Comment réussir votre déploiement de Windows 10
parMicrosoft Technet France
 
PPTX
Stockage Cloud : il y en aura pour tout le monde
parMicrosoft Technet France
 
PPTX
Sécurité des données
parMicrosoft Technet France
 
PPTX
Protéger vos données avec le chiffrement dans Azure et Office 365
parMicrosoft Technet France
 
PPTX
SharePoint Framework : le développement SharePoint nouvelle génération
parMicrosoft Technet France
 
PPTX
SharePoint 2016 : architecture, déploiement et topologies hybrides
parMicrosoft Technet France
 
PPTX
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
parMicrosoft Technet France
 
PPTX
Scénarios de mobilité couverts par Enterprise Mobility + Security
parMicrosoft Technet France
 
PDF
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
parMicrosoft Technet France
 
PPTX
Bien appréhender le concept de Windows As a Service
parMicrosoft Technet France
 
PPTX
Office 365 dans votre Système d'Informations
parMicrosoft Technet France
 
PPTX
Wavestone déploie son portail Powell 365 en 5 semaines
parMicrosoft Technet France
 
PPTX
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
parMicrosoft Technet France
 
PPTX
Gestion de Windows 10 et des applications dans l'entreprise moderne
parMicrosoft Technet France
 
PPTX
OMS log search au quotidien
parMicrosoft Technet France
 
PPTX
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
parMicrosoft Technet France
 
PPTX
Déploiement hybride, la téléphonie dans le cloud
parMicrosoft Technet France
 
PPTX
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
parMicrosoft Technet France
 
PPTX
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
parMicrosoft Technet France
 
PPTX
Comprendre la stratégie identité de Microsoft
parMicrosoft Technet France
 
Comment réussir votre déploiement de Windows 10
parMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
parMicrosoft Technet France
 
Sécurité des données
parMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
parMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
parMicrosoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
parMicrosoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
parMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
parMicrosoft Technet France
 
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
parMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
parMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
parMicrosoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
parMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
parMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
parMicrosoft Technet France
 
OMS log search au quotidien
parMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
parMicrosoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
parMicrosoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
parMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
parMicrosoft Technet France
 
Comprendre la stratégie identité de Microsoft
parMicrosoft Technet France
 

Active Directory : nouveautés Windows Server 2012

  • 1.
    Active Directory :nouveautés de Windows Server 2012 Arnaud Lheureux, Christophe Dubos Architectes Infrastructure Microsoft France Entreprise / IT / Serveurs / Réseaux / Sécurité @ArnaudLheureux http://aka.ms/arnaud
  • 2.
  • 3.
    Evolutions principales del’Active Directory Compatible avec la virtualisation •Toute les fonctions de l’AD sont désormais compatibles avec la virtualisation Déploiement simplifié •Un seul outillage pour préparer et déployer AD •Déploiement massif simplifié avec le clonage •Déploiement centralisé •Environnement Powershell complet Gestion simplifiée •Interface graphique complète pour les objets supprimés et les stratégies de mot de passe •Powershell pour gérer la réplication, la topologie et vue de l’historique des commandes •Meilleure gestion des comptes de services de groupes
  • 4.
    • Avec lesprécédentes versions de Windows Server – Le déploiement des nouveaux DC pour ajout ou montée de version était une opération consommatrice en temps et source d’erreurs… • Séquence d’opérations type – Obtention ADPREP et niveau de privilèges requis – Connexion interactive à différents DCs (différents domaines) – Préparation et exécution dans une séquence précise – Attente de la convergence de la réplication à chaque étape Déploiement simplifié
  • 5.
    • Etapes depréparation maintenant intégrées dans le processus de promotion – Validation globale des prérequis en amont du déploiement – Installation du rôle et promotion dans la même interface – Intégration avec Server Manager et exécution à distance • Prérequis – Niveau fonctionnel de foret Windows Server 2003 – Enterprise Admin et Schema Admins Déploiement simplifié : Intégration des processus
  • 6.
    Déploiement simplifié :Vérification des prérequis
  • 7.
    • Logique dereprise après erreurs lors du DC promo initiale – La coupure réseau n’est plus un échec pour la promotion! – Boucle infinie jusqu’au succès… ou interruption de l’administrateur Déploiement plus robuste
  • 8.
  • 9.
    • Objectif del’Install From Media (IFM) – Accélérer le temps de déploiement des DC…. Sauf que la défragmentation offline prend parfois plus de temps que prévu! • Avec Windows Server 2012 le mécanisme de préparation de la base (NTDUTIL IFMprep) permet de passer outre cette étape – Le comportement par défaut reste le même (défragmentation) – Gains potentiels importants sur le temps de préparation des bases au détriment de la taille de la base Déploiement - Mode IFM optimisé
  • 10.
    • Avec lesprécédentes versions de Windows Server – Le déploiement d’un DC virtuel représentait une charge de travail équivalente à celle d’un DC physique • La virtualisation apporte beaucoup de facilités – Les DCs constituent finalement des instances identiques d’un point de vue AD • Excepté le nom, l’@IP, … – Déployer des DC implique des étapes redondantes: • Préparation et déploiement d’image serveur sysprep • Promotion manuelle via synchronisation réseau ou copie IFM • Vérifications et configurations post-déploiement nécessaires Déploiement accéléré via clonage
  • 11.
    • Avec WindowsServer 2012 il est possible de créer une réplique d’un DC virtualisé par clonage – Copie de VHD via les mécanismes d’export et d’import – Interactions entre les administrateurs Hyper-V et AD simplifiées • L’autorisation des opérations de clonage reste sous le contrôle des administrateurs de domaine / Entreprise • Les administrateurs Hyper-V peuvent déployer les DC préparés au clonage en les copiant – Nouvelle possibilité pour le “disaster-recovery” • Un DC Windows Sevrer 2012 virtualisé par domaine suffit pour reconstruire une forêt complète • Les DC sont déployés beaucoup plus rapidement – Provision à la demande (ex. déploiement de cloud, etc.) Déploiement accéléré via clonage
  • 12.
    Démarrage NTDS Récupération VM-GenIDcourant Si différent valeur dans le DIT Réinitialisation InvocationID, suppression RID pool DCCloneConfig.xml disponible ? Dcpromo /fixclone Lecture DCCloneConfig.xml Configuration paramètres réseau Localisation PDC Appel _IDL_DRSAddCloneDC(name, site) Vérification autorisation Création nouvel objet DC via duplication objets DC source (NTDSDSA, Server, Computer instances) Génération nouveau compte machine et mot de passe pour DC Sauvegarde état clone (nouveau nom, mot de passe, site) Promotion nouveau DC (IFM) Exécution providers SYSPREP spécifiques Redémarrage VM clone PDC Windows Server 2012 IDL_DRSAddCloneDC CN=Configuration |--CN=Sites |---CN=<site name> |---CN=Servers |---CN=<DC Name> |---CN=NTDS Settings Déploiement accéléré - Processus de clonage
  • 13.
    • Prérequis – DCvirtuel Windows Server 2012 hébergé sur un hyperviseur supportant VM-Generation ID – PDC Windows Server 2012 pour autoriser le clonage – DC source autorisé pour le clonage • Niveau domaine: « Allow DC to create a clone of itself » • Niveau compte: membre groupe « Clonable Domain Controllers » – DCCloneConfig.XML présent sur le DC cloné • Répertoire NTDS (ou hébergeant NTDS.DIT) ou USB – Services installés sur le DC cloné doivent supporter l’opération • Ex: DNS, FRS, DFSR • « AllowList » (Get-ADDCCloningExcludedApplicationList) • Si composant pas dans AllowList, échec clonage et DC cloné démarrera en DSRM Déploiement accéléré via clonage
  • 14.
  • 15.
    • Historiquement, lavirtualisation permet un datacenter plus dynamique… sauf pour l’AD… • Les contrôleurs de domaines répliquent les différences entre eux – Retour arrière impossible – Re-instanciation de base en cas des restauration • Les snapshots introduisent donc le problème d’USN rollbacks: – lingering objects – Mot de passes inconsistants – Attributs inconsistants – Inconsistances sur le schéma • Existe également un risque de création de compte avec SID dupliqués… AD Virtualization-Safe
  • 16.
    Problème des USNRollbacks… USN rollback PAS détecté: réplication uniquement des 50 utilisateurs entre les 2 DC Les autres sont quelque part sur un DC  100 comptes utilisateurs avec un RIDs 500-599 en conflit!
  • 17.
    • Les contrôleursde domaines virtuels Windows Server 2012 détectent quand: – un snapshot est appliqué – une VM est copiée • Utilisation de l’attribut (VM-generation ID) variant lorsqu’un snapshot est créé • Les DC virtuels Windows Server 2012 vérifient en permanence leur VM-generation ID pour protéger l’intégrité de l’Active Directory. • En cas de changement détecté : – Utilisation d’une nouvelle plage RID – Nouvel invocationID – Re-vérification des rôles FSMOs Virtualization-Safe
  • 18.
    AD DANS WINDOWSSERVER 2012 ET LA VIRTUALISATION
  • 19.
    • Fonctionnalité introduitedans WS2008R2 permettant a une machine de joindre le domaine sans connectivité… maintenant étendue pour inclure: – Les certificats – Les stratégies de groupe • En résumé… – Dans un environnement DirectAccess, la machine peut désormais joindre le domaine et s’y connecter directement…. – Le transport sécurisé du blob de jonction reste à votre charge  Jonction au domaine hors-ligne
  • 20.
    • Les plagesRID sont distribuées aux DC et permettent la création des SID • Pas de modifications majeure depuis Windows 2000 mais… – Création d’un compte qui échoue consomme un SID – Bug due à l’absence de certains attributs peut créer une consommation massive de l’espace (rIDSetReferences) • Améliorations de Windows Server 2012 – Alertes périodiques sur la consommation et l’invalidation des portions de l’espace – Possibilité d’étendre l’espace d’adressage (déblocage du 31ème bit) – Blocage artificiel à 90% de l’espace consommé Améliorations sur la gestion des étendues RID
  • 21.
    • Permet d’activerla fonctionnalité corbeille par l’interface si le DFL/FFL le permet • Simplifie la récupération d’objets – Plus besoin du contexte Powershell – Affiche directement les objets récupérables Interface pour la corbeille
  • 22.
    • Permet auxadministrateurs de voir l’équivalent Powershell des actions dans l’Administrative Center – Toute action dans l’interface graphique est transcrite dans l’historique – L’administrateur peut copier/copier et s’inspirer de la syntaxe pour ses futurs scripts! • Apprentissage plus rapide • Accoutumance douce à Powershell  HistoriqueActive Directory Windows PowerShell
  • 23.
    • Création, éditionet attribution des stratégies de mots de passes directement depuis l’Active Directory Administrative Center • Légèrement plus intuitif que ADSIEDIT Stratégies de mots de passes multiples
  • 24.
  • 25.
    • Visualisation et reportingdu status de réplication des stratégies de groupe – Remplaçant de GPOTool.exe et des outils basiques de monitoring – Sélectionne un DC comme référence et compare l’état des partenaires de réplication Rapports d’états pour les GPO
  • 26.
    • GPMC permetde déclencher un rafraichissement à distance – Création d’une tâche planifiée exécutée dans les +/- 10 minutes • Nécessite flux et droits sur machines distantes – Disponible dans GPMC et Powershell – Nécessite Vista+ et WS2008+ Rafraichissement distant des GPO
  • 27.
    • Gestion dela topologie AD avant – repadmin – ntdsutil – Active Directory Sites and Services – etc. • Automatiser les tâches consommatrices de temps – Création/gestion des sites, liens de sites, sous-réseaux et objets de connexion – Forcer la réplication d’objets entre DC – Voir les échecs de réplications – Voir les métadonnées des objets – Etc. Gestion de la topologie AD Avec Powershell
  • 28.
    • Gestion del’activation en entreprise pour Windows/Office requiert un serveur KMS… • Surplus administratif – Permet de gérer ~90% des cas de déploiement d’entreprise – Pas de console d’administration centralisée par défaut • Trafic RPC doit être activé vers le serveurs • Pas d’authentification • Impossible de connecter ce serveur a des réseaux externes Activation machine Basée sur Active Directory
  • 29.
    • Utilisation descontrôleurs de domaine pour activer les clients – Pas de serveur additionnel nécessaire – Basé sur appels LDAP, pas de RPC – RODC supporté • Pas d’écriture d’objets dans l’AD après le déploiement – Activation initiale de la CSVLK (customer-specific volume license key) : • Spécification de la clé dans l’assistant volume activation ou en ligne de commande • Activation initiale sur internet/téléphone (comme pour clés retail) – Stockage dans la partition de configuration – Les machines clientes peuvent être membres de n’importe quel domaine de la foret Activation machine Basée sur Active Directory
  • 30.
    Activation machine Baséesur Active Directory
  • 31.
    • Prérequis – MachinesWindows 8 uniquement – Extension de schéma Windows Server 2012 • Ne nécessite pas de contrôleur de domaine 2012 • Serveur de licence nécessite Windows Server 2012 – Peut coexister avec KMS • Nécessaire pour l’activation des versions précédentes de Windows Activation machine Basée sur Active Directory
  • 32.
    Dynamic Access Controlen une Slide ! Classification des données Expressions de contrôle d’accès flexibles, basées sur les critères - utilisateur (groupes et claims) - périphérique - classification des documents Contrôle d’accès centralisé via les CentralAccess Policies (CAP). Audit ciblé des accès basé sur les classifications des documents et l’identité des utilisateurs. Déploiement centralisé des politiques d’audit via les GlobalAudit Policies (GAP). Chiffrement RMS automatique en fonction des classifications des documents. Politique d’audit via des expressions Conditions d’accès basées sur les Claims Chiffrement Utilisation des propriétés stockées dans Active Directory pour la classification des documents. Classification automatique des documents en fonction de leur contenu.
  • 33.
    Dynamic Access Control RevendicationsUtilisateur Département=Finance Habilitation=Haute Revendications Machine Département=Finance Administré=Vrai Propriétés Ressource Département =Finance Sensibilité=Haute Stratégie d’accès centralisée S’applique à @Fichier .Sensibilité=Haute Autoriser Lecture, Ecriture | si (@utilisateur.Département==@Fichier.Département) et (@Machine.Administré==Vrai)
  • 34.
    Ajout progressif desfonctionnalités Infrastructure courante Serveur de fichiers Windows Server 2012 • Politiques d’accès et d’audit basées sur les groupes et classification des fichiers Contrôleur Windows Server 2012 • Politiques d’accès et d’audit centralisées • Revendications utilisateur utilisables dans ces politiques Client Windows 8 • Ajouter revendications machines aux politiques d’accès et d’audit • Meilleure expérience sur accès refusés
  • 35.
    • Délégation contrainteplus simple – Front/Back end plus forcément dans les même domaines – Gestion des SPN allégés, Contexte de configuration en Powershell – Droits domain admins plus nécessaires pour la configuration • Support de FAST (Flexible Authentication Secure Tunneling) – Renforcement de la sécurité de Kerberos, décrit dans RFC 6113 – Etablissement d’un canal protégé pour les échanges Kerberos • Support de ADFS v2.1 – Inclus les claims dans les tickets Kerberos (pour scénarios DAC) Nouveautés de Kerberos
  • 36.
    • Extension auxcomptes de services Windows Server 2008 R2 – Peut maintenant être distribué sur plusieurs serveurs – Nouveau type de security principal – Changements de mots de passe gérés par le GKDS (nécessite WS2012) – Gestion en PowerShell New-ADServiceAccount – Support par le Service Control Manager, IIS, et applications • Pas de Task Scheduler • Nécessite – Extension de Schéma 2012, 1 DC 2012 – Windows Server 2012 ou Windows 8 sur les machines hébergeant le gMSA Group Managed Service Accounts (gMSA)
  • 37.
    Tirer partie deWindows Server 2012 dès aujourd’huiEn déployant… Je gagne Le premier Serveur Membre Windows Server 2012 (ou machine d’administration et RSAT) • Active Directory Administrative Center • Windows PowerShell History Viewer • Interface Graphique Corbeille et stratégies de mot de passe multiple • Utilisation de DAC & FCI • Active Directory-based Activation • Besoin de l’extension de Schéma 2012 • Commandes Powershell pour la réplication et la topologie • AD FS (v2.1) Le premier contrôleur de domaine Windows Server 2012 • Préparation et déploiement simplifié à distance • Dynamic Access Control policies and claims • Kerberos Claims in AD FS (v2.1) • Cross-domain Kerberos Constrained Delegation • Group Managed Service Accounts • Virtualization-Safe for the Windows Server 2012 DC • Demande un Hyperviseur qui supporte VM-Gen-ID Bascule Windows Server 2012 DFL/FFL et PDCE • Déploiement rapide des DC avec clonage • Demande un hyperviseur qui supporte le VM-Gen-ID
  • 38.
    Avant… • Comptes deservice valide sur une machine uniquement • Délégation contrainte Kerberos avec serveurs dans le même domaine • Pas de protection des messages d’erreur Kerberos • FGPP dans ADSIEdit.msc et Restauration d’objets avec Powershell • Pas d’aide au PowerShell • Pléthore d’outils pour la gestion de la topologie Windows Server 2012 • Gestion des comptes de services pour les fermes de serveurs (gMSA) • Gestion de la délégation contrainte Kerberos multi domaines • Protection des échanges Kerberos • Interface Utilisateur Active Directory – Active Directory Administrative Center pour FGPP et restauration d’objets – Historique/équivalent des commandes d’administration affichées en Powershell • Gestion de la topologie de réplication facilitée avec PowerShell En résumé… Plus simple à gérer!
  • 39.
    Avant… • Utilisation desnapshots pouvant donner lieu à des corruptions d’AD • Préparation d’une upgrade Active Directory demande beaucoup d’outils et de manipulations • Promotion d’un DC peut échouer à cause d’une coupure réseau • Déploiement de DC en logon interactif • Difficile d’écrire les scripts d’automatisation Windows Server 2012 • Virtualisation sans risques • Déploiement simplifié – Installation de bout en bout et expérience uniforme – Opérations jouables à distance, ciblage automatique des rôles FSMO nécessaire pour les opérations – Validation de tous les prérequis avant les opérations – Déploiement disponible en PowerShell • Clonage des DC • Intégration AD FS En résumé… Plus simple à déployer!
  • 41.
    Donnez votre avis! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr
  • 42.
    Formez-vous en ligne Retrouveznos évènements Faites-vous accompagner gratuitement Essayer gratuitement nos solutions IT Retrouver nos experts Microsoft Pros de l’ITDéveloppeurs www.microsoftvirtualacademy.comhttp://aka.ms/generation-app http://aka.ms/evenements- developpeurs http://aka.ms/itcamps-france Les accélérateurs Windows Azure, Windows Phone, Windows 8 http://aka.ms/telechargements La Dev’Team sur MSDN http://aka.ms/devteam L’IT Team sur TechNet http://aka.ms/itteam

Notes de l'éditeur