alphorm.com formation configuration des services avancés de windows server 2012 (70-412)

Prsentation de la formation

Configuration avance des services de Windows Server 2012R2 (70-412) alphorm.com

de la formation

Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum

Fabrice ChrzanowskiFormateur et Consultant indpendant En Virtualisation

Certifications : MCT, MCITP, CCEE, VCP

Prsentation du formateur

Fabrice Chrzanowski Sforza

[email protected]

Consultant Trainer en Virtualisation

Mission darchitecture, de migration et de formation


Microsoft MCT, MCITP, MCSE

Citrix CCEE

vMware VCP 4.0

Mes formations sur alphorm


Quest ce que Windows 2012 R2? Windows 2012 R 2 est le dernier OS Microsoft de la famille Serveur

Une plateforme de virtualisation complte

Disponibilit continue et simplification dadministration

Plateforme Web et Cloud

Solution VDI et BYOD


Solution VDI et BYOD

Scurit des donnes

Le plan de formation

Module 1 : Services rseaux

Module 2 : Le DAC (Dynamic Access Control)

Module 3 : Les services de fichiers

Module 4 : Les domaines et foret

Module 7 : Le service RMS

Module 8 : Le service AD FS

Module 9 : La gestion de charge avec NLB

Module 10 : Le service de Cluster Microsoft


Module 5 : La rplication

Module 6 : Les certificats

Microsoft

Module 11 : Le cluster Hyper-V

Module 12 : La sauvegarde

Certification Examen 70-412

https://www.microsoft.com/learning/en-us/exam-70-412.aspx


Prrequis


Obligatoires Optionnelles

Prsentation de la formation La formation reposera sur la mise en ouvre dun lab

Il vous faudra une machine performante

Utiliser soit VMware Wks 10 ou vsphere 5.5

Possibilit dinstaller HV4 dans une VM VMware


Prsentation de la formation - suite Le lab de la formation

Domaine Alphorm.lab (192.168.1.0/24) et Software.lab (10.11.0.0/16)

VMs :


Liens utiles Liste des liens que je vous conseille :

http://technet.microsoft.com/fr-fr/windowsserver/hh534429.aspx

http://www.computerworld.com/slideshow/detail/110976/10-excellent-new-features-in-Windows-Server-2012-R2

Livres :


GO !


GO !

Services rseaux avancs

Les fonctionnalits





Les fonctionnalits DHCP avances

Plan

Les composants DHCP

La protection des enregistrements DHCP

Mise en place du service HA de DHCP (nouveau !)


Les composants DHCP

Les composants sont :

Ltendue

Les options

La console

La base de donne


La base de donne


Eviter quune personne non autorise se prsente comme si ctait votre ordinateur

Utiliser par des postes non Windows


Mise en place du service HA de DHCP

Enfin une solution de Haute Disponibilit

Permet de configurer 2 serveurs DHCP comme un seul

Il y a 2 modes :

Actif/Passif


Actif/Passif

Partage de charges

Un seul site avec un seul sous-rseau

Un seul site avec un plusieurs sous-rseau

Mise en place du service HA de DHCP (suite)

Mode actif/passif



Partage de charges : Un seul site avec un seul sous-rseau



Partage de charges : Un seul site avec un plusieurs sous-rseau


Ce quon a couvert

Les composants DHCP


Mise en place du service HA de DHCP (nouveau !)



Les paramtres DNS





Les paramtres DNS avancs

Plan

Grer les services DNS

Les zones GlobalNames (remplace le service WINS !!)

Scuriser le service DNS



Surveiller rgulirement

Active le mode DEBUG

Activer la suppression denregistrements obsoltes


Les zones GlobalNames

Permet de crer une zone dans DNS pour faire comme le service WINS

Comment crer cette zone


Scuriser le service DNS

Permet de crypter le contenu de la zone DNS

Utile pour viter que quelquun SNIFFE votre rseau

Mise en place de DNSSEC


Ce quon a couvert


Les zones GlobalNames (remplace le service WINS !!)

Scuriss le service DNS



Mettre en uvre IPAM





Mettre en uvre IPAM

Plan

A quoi sert IPAM

Les composants

Mise en place de IPAM


A quoi sert IPAM

Permet de remplacer le fichier Excel pour grer vos IP !

Permet de grer toutes vos adresses IP partir dune seule console

Rcupre vos IP partir de :

DHCP


DNS

NPS

Les composants

Serveur IPAM

Base de donne IPAM

GPO IPAM

Groupes de securites IPAM



Installation du composant IPAM

Suivre les 6 tapes

Comment utiliser IPAM

Recherche dIP, gestion du DHCP et du service DNS


Ce quon a couvert

A quoi sert IPAM

Les composants



DAC

A quoi sert le DAC?





A quoi sert le DAC?

Plan

Pourquoi implmenter DAC (Dynamic Access Control)?

Cest quoi un CLAIM?

Les proprits des ressources


Pourquoi implmenter DAC?

Depuis toujours, lutilisation des SIDS pour accder aux ressources

Quelques scenarios impossible sans le DAC

1. Empcher des utilisateurs davoir accs a des documents confidentielles

2. Empcher les managers daccder leurs documentsdepuis leur maison


depuis leur maison

3. Etc..

Autres exemples : http://technet.microsoft.com/fr-fr/library/hh831717.aspx#France (Franais)

Cest quoi un CLAIM?

Un claim est un attribut de lAD qui sera insr dans le TOKEN Kerberos

Cest quoi un Token (non rien avoir avec le seigneur des a)

Token comprend par dfaut le SID de lutilisateur et le SID de tous lesgroupes auxquelles il appartient



Une ressource = 1 share

Il faut installer FSRM sur le serveur de fichiers

Permet de classifier un rpertoire ou des fichiers

On peut en crer de nouveaux


Ce quon a couvert

Pourquoi implmenter DAC (Dynamic Access Control)?

Cest quoi un CLAIM?



DAC

Gestion de l'accs





Gestion de l'accs refus un partage

Plan

Cest quoi lassistant de gestion de l'accs refus un partage

Comment le configurer



Utile quand un utilisateur na pas accs un partage

Permet a lutilisateur de demander laccs au partage



Crer une stratgie (GPO) et activer lassistance de refus de partage

Configurer le message que lutilisateur va voir


Ce quon a couvert




DAC

Les dossiers de travail





Les dossiers de travail

Plan

A quoi sert les dossiers de travail?

Configurer les dossiers de travail



Permet laccs aux partages partir de Windows 8 et iOS

Comme le cloud One Drive mais prive (fog)



Installer le composant dossiers de travail

Activer le sync partage

Donner laccs aux utilisateurs (permissions)

Crer une stratgie et saisir lURL


Ce quon a couvert




Les services de fichiers avancs

Configurer le stockage





Configurer le stockage iSCSI

Plan

Quest ce que cest iSCSI?

La Cible et les Initiateurs iSCSI

Mise en place du module Target iSCSI



A quoi sert iSCSI (SAN)?

Permet de transformer un serveur en Virtuel SAN

Moindre cot

Autre solution : OpenFiler


Ce quon a couvert



Mise en place du module Target iSCSI



Configurer





Configurer le BranchCache

Plan

Quest ce que cest BranchCache?

Comment configurer BranchCache?



Mode distribu



Mode serveur BC



Choisir BranchCache pour les partages ou pour IIS

Installer le composant BranchCache selon le scnario:

Sur serveur de fichiers

Sur serveur IIS

Sur le serveur BranchCache sur le rseau distant


Sur le serveur BranchCache sur le rseau distant

Configurer une stratgie de groupe

Activer BranchCache (par GPO ou SCP)

Vrifier et surveiller

Ce quon a couvert





Le service FSRM





Le service FSRM

Plan

Quest ce que cest FSRM?

La classification automatique de fichiers

Optimiser le stockage



File System Ressource Manager

Permet de grer :

Quotas

Fichiers interdits

Rapport


Rapport

Classification (utilise par le DAC)


Permet de scanner le contenu des fichiers

Permet de rechercher :

Un texte

Une rptition de textes et/ou chiffres (patterns ex carte VISA ##.##..)

Scanne par dfaut que les fichiers textes


Scanne par dfaut que les fichiers textes

On peut ajouter les documents office


NFS

Permet de crer un serveur NFS (ex VM de Vsphere )

Dduplication

Utilise moins de place en liminant les blocks similaires


Ce quon a couvert





Les dploiements

Le dploiements distribus dAD DS





Les dploiements distribus de dAD DS

Plan

Rappel sur les domaines et forts

Windows Azure

Comment configurer DNS dans un environnement complexe

Les niveaux fonctionnels du domaine


Les niveaux fonctionnels de la fort

Upgrade vers 2012 R2

Migrer vers 2012 R2


Cest quoi un domaine

Cest quoi un arbre

Cest quoi une fort

Cest quoi une relation dapprobation


Cest quoi une relation dapprobation

Cest quoi un catalogue global

Windows Azure

Cest quoi Azure ?

2 solutions :

Utiliser Windows Azure AD

Installer un DC sur une machine virtuelle


Windows Azure

Comment installer Windows Azure AD



Vrifier que vos clients soit bien configurs

Surveiller le DNS

Utiliser des zones intgrs

Dfinir des globalNames zones


Et pour Azure ?


A chaque mise jour de la version des serveurs, il est recommand de mettre jour le niveau fonctionnel

Niveaux fonctionnels du domaine :

2003

2008


2008 R2

2012

2012 R2

A chaque niveau correspond des nouvelles fonctionnalits ou amliorations


A chaque mise a jour de la version des serveurs, il est recommande de mettre a jour le niveau fonctionnel

Niveaux fonctionnels de la fort :

2003

2008


2008 R2

2012

2012 R2

A chaque niveau correspond des nouvelles fonctionnalits ou amliorations


Plusieurs approches (approche non recommande : upgrade !)

Approche 1 :

Installer un serveur 2012 R2

Modifier le schma

Promouvoir le serveur en tant que CD


Promouvoir le serveur en tant que CD

Dplacer les rles FSMO

Approche 2 :

Restructurer la fort dans une nouvelles fort

Dplacer les comptes avec ADMT

Migrer vers 2012 r2

On parle de restructuration

On garde le domaine existant et on va crer un nouveau domaine

On va donc utiliser ADMT pour dplacer les objets entre les 2 domaines

Avant de lancer la migration, on doit vrifier les 2 domaines

SID-History cest quoi ?


SID-History cest quoi ?

Ce quon a couvert


Windows Azure






Migrer vers 2012 r2

Le dploiements distribus dAD DS

Les relations dapprobations





Les relations dapprobations AD DS

Plan

Les diffrentes types dapprobation (TRUST)

Comment fonctionne un TRUST

A quoi sert une approbation?

Mise en place dune approbation



Parents/enfants

Root

Externe

Shortcut (Raccouci)

Foret


Foret


Comment un client va se connecter aux ressourcesDun autre domaine ?



Une approbation est utilise dans le cas de :

Restructuration

Acquisition de socits

Fusion

Permet de crer une fort unique


Permet de crer une fort unique

Permet de donner des permissions aux utilisateurs dune autre fort

On peut tout partager ou slectionner les ressources


Crer une zone stub dans chaque fort

Aller dans domaines et approbations

Crer le sens de lapprobation

Accorder des ressources


Ce quon a couvert






La rplication

Comment fonctionne





Comment fonctionne la rplication

Plan

Principe de la rplication

Comment fonctionne la rplication au sein dun site

Comment RODC gre la rplication

Comment est rpliqu SYSVOL



Rplication multi-maitres

Rplication de type PULL

Topologie automatique

Rplication au niveau de lattribut


Dtection des collisions

La rplication au sein dun site

KCC soccupe de la rplication

Le CD va mettre dans une fille les modifications

Il informe ses partenaires dune modif aprs 15s

Le partenaire demande la modif et tire (pull) la modif. Puis a nouveau met cette modif dans une fille et informe son partenaire


fille et informe son partenaire


Rplication dans un seul sens. KCC dtecte que cest un RODC et va crer une rplication dans un seul sens

Le RODC est en lecture seule !

Quand un utilisateur veut crire une info dans lAD, la requte est envoye vers un DC en read-write. Ensuite le DC rplique linfo au RODC



Sysvol contient les scripts et GPO

La techno utilis pour la rplication est DFS-R mais avant ctait le FRS (avant 2012)

Pour migrer de FRS vers DFS-R, on utilise dfsrmig.exe

Avantage de DFS-R :


Avantage de DFS-R :

Rplication planifi

RFC (remote Differential Compression) : ne rplique que les modifs entre 2 DC

Ce quon a couvert


Comment fonctionne la rplication au sein dun site




La rplication

La gestion des sites





La gestion des sites

Plan

Cest quoi un site?

Comment ajouter des sites

Comment fonctionne la rplication entre les sites

Cest quoi ISTG?


Cest quoi un site?

Les sites sont relis avec un rseau rapide

On associe les sites avec un Subnet

Rplication des DC dans le site

Permet de localiser les DC

On peut appliquer une GPO


On peut appliquer une GPO


Les sites sont relis avec une connexion lente

Permet une connexion plus rapide

Permet de contrler la rplication

On va dabord crer les subnet puis les associer aux sites. Puis on dplace les DC


Comment fonctionne la rplication des sites

Dans un site, la rplication est rapide. Pas de compression (toutes les 5 mn)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ParametersReplicator notify pause after modify (secs)

Entre 2 sites, la bande passante est limite. On utilise la compression (180mn)

Entre site, la rplication se fait selon un calendrier saufpour des rplications urgentes (password ou compte dsactiv)


Cest quoi ISTG

Dans chaque site, ISTG va dfinir un DC comme tte de pont

Il faut crer des liens de site

La rplication se fait par default toutes les 180 mn

Vous pouvez slectionner des DC privilgisDans ce cas en slectionner au moins 2sinon ISTG ne fonctionne plus !


sinon ISTG ne fonctionne plus !

Ce quon a couvert

Cest quoi un site?


Comment fonctionne la rplication entre les sites

Cest quoi ISTG


La rplication

Les liens entre sites





Les liens entre sites et les ttes de ponts

Plan

Cest quoi un lien de site (site link)


Cest quoi un lien de site



Le sites sont spares par des connexions peu fiables et faibles dbit

ll faudra associer chaque entit un site, et crer des liens de sites qui sont en fait des circuits virtuels reliant les sitesRplication des DC dans le site

La rplication entre sites utilisent soit RPC ou SMTP

Pour permettre la rplication entre ces deux sites, il faut crer un lien de site


Pour permettre la rplication entre ces deux sites, il faut crer un lien de site

Cest quoi un lien de site (suite)

Le sites sont spares par des connexions peu fiables et faibles dbit

On va dans Sites et Services

Ensuite on configure la planification


Ce quon a couvert



La rplication

Les outils pour





Les outils pour surveiller la rplication

Plan

Outils pour dpanner


Outils pour dpanner

Repadmin

Dcdiag

Active Directory Replication Status Tool


Ce quon a couvert

Outils pour dpanner


Le service de certificats AD CS

Comment fonctionne





Comment fonctionne le service de certificat

Plan

A quoi sert les certificats?

Les diffrents types de certificats

Les composants

Les CA


Les nouveauts de 2012 R2

Formation complte sur alphorm

Titre : Implmenter une PKI avec ADCS 2012 R2

Par : Patrick IZZO


A quoi sert les certificats?

Authentifier

Cryptage

Utiliser par toutes les solutions Microsoft



SSL :

Protge les donnes pendant la communication

Certificat est installer sur le serveur

Sur le poste installer le certificat Root

Contenus :


Contenus :

Email, document office. Etre sur que le document na t altr

Encryptions

EFS. Seul la personne qui a le certificat peut crypter

Authentification

VPN EAP NAP .

Les composants

CA

Certificats

Modles

CRL


Applications

AIA CDP

Les CA

Le CA va fournir aux utilisateurs et ordinateurs des certificats

On peut avoir plusieurs CA mais un seul est le ROOT

Les services du CA :

CA Web


Online Responder

NDES

CES

CEP


Configuration par Powershell v4

Nouveau modle v4

Automatique renouvellement pour les ordinateurs en Groupe de travail

Support des Smart Carte virtuel


Ce quon a couvert

A quoi sert les certificats


Les composants

Les CA




Mise en place





Mise en place du service certificat

Plan

Installation du CA

Configuration


Installation du CA

Ajouter le rle

Ou par Powershell : Install-WindowsFeature


Configuration

Faire le choix entre un CA Entreprise ou autonome

CA Entreprise :

AD ncessaire

Utilisation des GPO

CRL dans AD

Gestion des modles


Gestion des modles

Le certificat est prt tout de suite

CA autonome

Peut tre installe a part

Pas de modles

Ladministrateur doit approuver les demandes

Ce quon a couvert

Installation du CA

Configuration



Les modles





Les modles

Plan

Cest quoi un modle de CA

Les versions des modles

Les permissions des modles

Comment mettre jour les modles de CA



Ensemble de certificats qui sont disponibles pour vos techniciens

Permet de spcifier un ensemblede paramtres

Permet de spcifier qui est autoris les installer


les installer


Version 1 : Windows 2000

Version 2: 2003

Version 3 . 2008 et 2008 R2

Version 4 : 2012



Permet de slectionner les permissions sur les certificats

Accs complet

Lecture

Lire


Ecrire

Enroll

Autoenroll

Comment mettre a jour les modles de CA

Avant de modifier un certificat, il est recommande de le dupliquer

Vous pouvez aussi slectionner plusieurs modles et les fusionner en un seul (superseeding)


Ce quon a couvert




Comment mettre a jour les modles de CA



La distribution et la rvocation des certificats





La distribution et la rvocation des certificats

Plan

Comment distribuer un certificat

Distribuer un certificat automatiquement

NDES

Rvocation de certificats


Online Responder


Plusieurs solutions pour distribuer des certificats :

Automatique

Manuel

Par le CA WEB

Pour le titre de quelquun (on behalf)


Pour le titre de quelquun (on behalf)


Le plus simple

Le CA doit tre de type Entreprise

On utilise des modles et des GPO

On doit dupliquer le modle et puis configurer les permissions


configurer les permissions

Autre manire de faire : mode agentPermet de demander un certificat a laplace de quelquun dautre (on behalf)

NDES

NDES = Network Device Enrollment Service

Correpondant SCEP (Simple Certificate EnrollmentProtocol) : permet de donner un certificat a un routeurswitch etc.



Permet de rvoquer un certificat

Cela va dsactiver la validit dun certificat

On utilise une CRL (certificat revocation list)

Important il faut configurer AIA et CDP. A chaque fois que votre application ou vos serveurs/poste de travail/NDES vont utiliser les


application ou vos serveurs/poste de travail/NDES vont utiliser les certificats, ils doivent checker ces paramtres. Sinon le certificat va apparaitre comme non valide

AIA : permet de vrifier la validit du certificatCDP : permet de vrifier la CRL

Online Responder

On utilise OCSP (Online Certificate Satus Protocol)

Permet aux clients a travers HTTP de dterminer si un certificat est rvoqu

On installe le Online Responder sur un autre serveur que le CA. On peut mme utiliser nlb pour avoir plusieurs serveurs Online responder


Il faut configurer le CA pour inclure lURL du online Responder.

IIS est installe sur le serveur Online Responder

Ce quon a couvert



NDES



Online Responder


Grer la restauration





Grer la restauration des certificats

Plan

Archivage de la clef et restauration



Exemple : si vous encryptez des emails, et vous perdez la clef public et la clef prive, vous ne pouvez plus consulter les emails

Pour archiver, il suffit dexporter un certificat avec la clef prive

Il faut aussi crer des KRA (Key Archival and Recovery Agent). Permet de dcrypter les clef prives de nimporte quel utilisateur


Comment configurer un KRA

Ce quon a couvert



Le service RMS

A quoi sert le RMS?





A quoi sert le RMS?

Plan

Cest quoi RMS?

Les composants RMS

Les certificats

Comment fonctionne le RMS


Cest quoi RMS

Solution pour viter la fuite de donnes

On va crypter les documents et donner des droits :

Imprimer, Copier-Coller, transmettre, sauvegarder..

Si vous perdez une clef USB ou un portable, personne ne pourra accder au document


RMS utilise une clef symtrique pour encrypter

Les composants RMS

Un serveur RMS membre du domaine. Permet de publier SCP

Un client RMS ! Vista, Windows 7 et 8

Des applications RMS (office, sharepoint, exchangeRMS SDK !)


Les certificats

SLC (critique) . Valable 250 ans.

AD RMS certificat machine. (identifie le PC)

RAC (Rights Account Certificate) (identifie lutilisateur)

Client Licensor Certificate (si le PC nest pas dans le mme LAN)


PL (Publishing Licence) (dtermine les droits sur un document)

Licence utilisateur : il faut installer des licences RMS (environ 37 )

Comment fonctionne RMS


Ce quon a couvert

Cest quoi RMS?

Les composants RMS

Les certificats

Comment fonctionne RMS


Le service RMS

Dploiement





Dploiement d'une solution RMS

Plan

Configuration

Sauvegarde RMS


Configuration

Lors de linstallation, on doit configurer :

Cluster RMSBase de donneCompte de serviceCryptographieCluster key storageMot de passe Cluster key password


Mot de passe Cluster key passwordSite webSSL ou pasSLCSCP

Sauvegarde RMS

Si plus de serveur RMS, plus aucuns accs aux fichiers protgs !!

Le mieux RMS dans une VM .

Il faut sauvegarder la clef prive, les certificats, la base de donnes et les modles

Si vous rinstallez RMS, pensez supprimer le SCP


Si vous rinstallez RMS, pensez supprimer le SCP

Ce quon a couvert

Configuration

Sauvegarde RMS


Le service RMS

Protger un contenu





Protger un contenu

Plan

Les modles

Les modles en mode dconnect

Les super utilisateurs

Et le DAC dans tout ca ?


Les modles

On va crer des modles pour faciliter lutilisation de RMS

Les modles sont des fichiers XML

Liste de droits :

Il vous permet de grer des droits dutilisation lmentaires tels que les droits de lecture, copie, impression, sauvegarde ou ddition.


Il est aussi possible de grer des droits plus spcifiques, tels que par exemple, le droit de transmettre un message lectronique ou de fixer une date dexpiration, rendant le document inexploitable

Il faut ensuite les exporter dans un partage


Si je suis pas connect au rseau, jai besoin de ces modles localement

Il faut activer dans le planificateur de tches, la tche AD RMS

Ensuite modifier lendroit sur le disque dans :

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM


Et ajouter : %LocalAppData%\Microsoft\DRM\Templates


Important : ils ont un accs total aux fichiers RMS

Permet de rcuprer un fichier qui a expir, ou un modle qui a t supprim!! Ou quand vous avez plus laccs


Et le DAC

On peut avec le DAC automatiquement appliquer un modle !

On va protger des documents sensibles


Ce quon a couvert

Les modles



Et le DAC dans tout ca ?


Le service RMS

L'accs externe AD RMS





L'accs externe AD RMS

Plan

Autoriser dautres utilisateurs

Windows Azure RMS



Les Trust stratgie autorisent des utilisateurs qui ne sont pas dans votre socit de se connecter RMS

Les TUD (Trusted User Domains) : permet deux forts de se partager RMS sans approbation de fort!

Les TPD (Trust publishing Domains) : permet un RMS de distribuer des licences un autre RMS


licences un autre RMS

Windows Live

MS Federation Gateway

Windows Azure RMS

IRM Protection

Avec Office365

Que pour E3 et ProPLus


Ce quon a couvert


Windows Azure RMS


Le service AD FS

A quoi sert le





A quoi sert le Federation Service?

Plan

Cest quoi une identit Federation?

Cest quoi les Claims ?

Les services WEB

Cest quoi AD FS


Le composants

Les certificats

Cest quoi une identit Federation?

On utilise AD FS si on peut pas ou on ne veut pas utiliser AD pour sauthentifier

Exemple : 2 socits qui veulent partager des applications

Cest pas des TRUSTS AD car entre 2 partenaires, les AD FS nont pas besoin de communiquer ensemble. On utilise https

Mme pour une seule organisation. Elle dcide de mettre en place des sites IIS.Donc en utilisant AD FS; on utilise un seul moyen dauthentification pour toutes


Donc en utilisant AD FS; on utilise un seul moyen dauthentification pour toutes les sites IIS et pour tous les partenaires !!

Cest quoi les claims?

On utilise normalement un DC pour sauthentifier. Si le mot de passe est bon, le dc nous donne un jeton (token). Ensuite on peut accder toute les ressources car le dc est dans le mme LAN

Plus compliqu pour ex Azure ou Office365

On spare lauthentification et lautorisation

Un utilisateur est authentifi par son AD dans son organisation et on lui donne


Un utilisateur est authentifi par son AD dans son organisation et on lui donne un CLAIM. On peut ensuite prsenter ce claim une autre organisation.

Dans un claim on peut avoir une adresse email, UPN, groupes

Ensuite lapplication peut utiliser lemail pour vrifier que cest la bonne personne

Cest quoi les claims?


Les services WEB

Chaque organisation doivt se mettre daccord sur le format du claim.

On a donc invent un standard : les web services :

XML, SOAP, WSDL,HTTP,HTTPS, WS*

Exemple avec XML on utilise un langage par TAG clair et utilisable par tout le monde


utilisable par tout le monde

SAML : standard pour changer des claims entre une identit et une application

Cest quoi AD FS

AD FS est la solution de lidentit fdration de MS

Plusieurs exemples dutilisation de AD FS

AD FS au sein de votre organisation

AD FS entre 2 organisations

AD FS avec Microsoft Online Services


AD FS avec Microsoft Online Services

Cest quoi AD FS


Les composants

Federation server : Gre, dlivre, et valide les requtes de Claims

Federation server Proxy : dans la DMZ

Claim : comme un passeport qui rcupre des attributs de lAD

Les rgles CLAIM : permet de choisir dans le claim le(s) attributs utiliss pour valider que cest la bonne personne


pour valider que cest la bonne personne

Le magasin : en gnral lAD ou sont rcuprs les attributs

Claim Provider : cest le serveur qui dlivre les claims

La partie Relying : o se trouve lapplication protger.

Les certificats

Obligatoire SSL

Si les utilisateurs sont en interne = CA MS, sinon CA publique

Certificat token : SIGNE TOUS LES TOKENS. Important car il va indiquer quel AD FS a dlivr le certificat

Certificat Token encryptions : va crypter le certificat avant de l'envoyer


Certificat Token encryptions : va crypter le certificat avant de l'envoyer lautre partie

Ce quon a couvert

Cest quoi une identit Fdration

Cest quoi les Claims ?

Les services WEB

Cest quoi AD FS


Le composants

Les certificats

Le service AD FS

Les rgles avec





Les rgles avec les Claims

Plan

Cest quoi un claim?

Les rgles Claim

Les claims provider trust

Les stratgies dauthentification


Cest quoi un claim?

Cest le lien entre le provider du claim (celui qui va crer le claim) et celui qui va la consommer (relying party)

Dans un claim on va mettre les infos de lutilisateur (comme un passeport) ex son nom, son adresse email. Ces infos sont appels des URI (uniformRessource Identtifier)

Donc lapplication va utiliser ces valeurs pour donner laccs


Donc lapplication va utiliser ces valeurs pour donner laccs

Ces valeurs sont en gnral rcupres des attributs LDAP. Mais je peux aussi utiliser une base SQL, ou mme les saisir manuellement !

On peut aussi mapper ces attributs dans des attributs spcifiques lapplication. Exp: numro de tel LDAP = numro de scu de lapp.

Les rgles claims

Les rgles vont dfinir comment les claims vont tre envoys et consomms par les AD FS.

Permet de manipuler les CLAIMS avant de les envoyer

Exp: on peut dire quun utilisateur na pas le droit dutiliser AD FS

Exp : si un utilisateur fait partie dun groupe, on donne laccs


Exp : si un utilisateur fait partie dun groupe, on donne laccs


Cest configur sur la partie relying (celui qui consomme le claim)

On va dfinir comment consommer ce claim qui est cr par le provider.

On va taper lURL du provider et ca va tlcharger les metadatas et les certificats du partenaire

Ou le provider vous donne un fichier avec la config et certificats


Ou manuellement !!


Windows : les mots de passe sont passs par votre WKS : solution Intranet

Forms : une page web o lutilisateur va saisir son login et passwordsolution intranet et Internet

Certificat : on utilise un certificat la place dun login/password. solution intranet et Internet


solution intranet et Internet

Ce quon a couvert

Cest quoi un claim

Les rgles Claim




Le service AD FS

Dployer les





Dployer les WorkPlace Join

Plan

Cest quoi un WorkPlace Join?

Comment ca marche



Nouveau dans Windows 2012 R2

Permet de contrler et donner laccs aux apps ADFS des PC en WG et des mobiles IOS. Android bientt !!!

Pour ajouter distance, il faut utiliser Web Application Proxy

On utilise FS et les claims pour dire que cest un mobile


On utilise un service : Device registration

Pour activer :

Enable-AdfsDeviceRegistration PrepareActiveDirectory

Enable-AdfsDeviceRegistration

Comment ca marche


Comment ca marche

1. On lance les 2 cmd powershell

2. On active dans ADFS lauthentification par Device

3. Aller dans le client pour configurer WorkPlace Joint

4. Entrer lemail UPN ou mot de passe / login


5. Voila !!

Ce quon a couvert


Comment ca marche


Le NLB (Network Load Balancing)

A quoi sert le NLB?





A quoi sert le NLB?

Plan

Cest quoi un NLB?

Comment grer un serveur NLB HS

Nouveauts NLB


Cest quoi un NLB


Nouveauts NLB

35 nouvelles commandes Powershell

get-command module NetworkLoadBalancingClusters


Ce quon a couvert

Cest quoi un NLB


Nouveauts NLB


Le NLB (Network Load Balancing)

Dployer une solution





Dployer une solution de cluster NLB

Plan

Prrequis

La configuration du NLB

La configuration du rseau

Les meilleures pratiques


Prrequis

Les hosts doivent avoir la mme config

Les hosts doivent avoir accs aux mmes donnes



Il faut configurer le cluster pour dire comment NLB doit rpondre aux clients

Rgles des ports :

On peut envoyer des demandes 80 sur tous les hosts ou le port 21 sur un seul

Il faut crer des filtres (Multiple hosts selon le poids | 1 Un seul host )

Affinit :


Affinit :

Comment le cluster va distribuer les requtes dun client spcifique

Paramtre du host


Ne pas utiliser NLB pour SQL : utiliser le cluster Microsoft

Si vous utiliser NLB pour IIS, utiliser loption de partage de config pour que tous les hosts soient identique

NLB supporte 32 Hosts

Les NLB doivent tre sur le mme subnet


Lors de la migration NLB de 2008 R2 vers 2012, ajouter les hosts 2012 au fur et mesure puis retirer les hosts 2008R2

Ce quon a couvert

Prrequis





Le Cluster de basculement

La haute





La haute disponibilit (HA)

Plan

Cest quoi le HA?

Les nouveauts du 2012 R2

Les composants


Cest quoi le HA?



Quroum dynamique

La mise jour des serveurs automatiquement

Dtection Etat de sant

Plus besoin de lAD


Les composants


Ce quon a couvert

Cest quoi le HA?


Les composants



CSV





CSV

Plan

Cest quoi le CSV?



Cest quoi le CSV?



Stratgie de placement CSV

CSV continuit

CSV cache allocation

CSV diagnostics


Ce quon a couvert

Cest quoi le CSV?




Le quorum





Le quorum

Plan

Cest quoi un Quorum?

Les modes


Cest quoi un Quorum? Le quorum est utilis en cas de problme rseau

Il faut un certain nombre de Hosts en vie pour que le cluster continue tourner (plus de 50%)

Ex 5 Hosts. Si vous arrtez 3 hosts pour une maintenance, cela enlve 3 votes. Donc les 2 restants sont pas >50 % des votes

Avec le dynamique Quorum, les votes des 3 hosts sont enlevs. Donc il reste 2 votes donc plus de 50% !!


Les modes

Majorit de hosts

Majorit de hosts et disque

Majorit de hosts et partage

Disque partag


Ce quon a couvert

Cest quoi un Quorum?

Les modes



Dployer une solution





Dployer une solution de cluster Microsoft

Plan

Prrequis

Migration de cluster

Identification des ressources et services

Gestion des Hosts du cluster


Prrequis

Mme matriel Intel ou AMD

Mme type de cartes rseaux

Accs au DNS

Mme Domaine


Mme Edition 2012 OS

Mme service pack. Mme niveau de patch


Permet de migrer un cluster 2008R2 vers 2012 R2Il suffit de crer un nouveau cluster 2012 R2 et migrer le cluster existant

On va utiliser lassistant migration de cluster



Exemple pour SQL : on va installer SQL sur 2 Hosts

Un serveur va tre actif : cest lui qui dtient les services

Si le premier serveur tombe, le second devient actif. Donc les services SQL vont dmarrer. Cest lui qui dtient maintenant les services

On doit donc dfinir les ressources et services surveiller


On doit donc dfinir les ressources et services surveiller


Ajouter des nouveaux Hosts

Mettre en pause un host (maintenance)

Ejecter un Host (evict) si le Host a un soucis technique


Ce quon a couvert

Prrequis






Surveiller et sauvegarder





Surveiller et sauvegarder le cluster

Plan

Comment surveiller un cluster

Sauvegarder la config du cluster

Comment automatiser linstallation des patchs



Journal dvnements

Utiliser loutil Tracerpt.exe

On peut aussi valider le cluster



Installer le composant Backup ou utiliser votre solution de backup

Pensez aussi sauvegarder lapplication installe sur le cluster (ex oracle ou SQL)

Comment restaurer :

Sauvegarde non-authoritative : si un Host a un problme et les autres fonctionnent normalement. Quand vous aurez rpar le Host, il va recevoir la config du cluster


normalement. Quand vous aurez rpar le Host, il va recevoir la config du cluster existant

Sauvegarde authoritative : si vous voulez restaurer la config du cluster une date antrieure. Il faut arrter le service cluster sur tous les hosts


On utilise un outil qui va installer les updates un par un sur les hosts du cluster

Il faut installer loutil sur un serveur part

Il va lancer Windows Update. Tlcharger les updates puis les installer sur les hosts

Avant de redmarrer le serveur, il va dplacer lesressources !


ressources !

Ce quon a couvert






Cluster Microsoft





Cluster Microsoft multi-site

Plan

Le cluster multi-sites

Les prrequis

Et le Quorum !


Le cluster multi-sites


Prrequis

Mme OS et niveau de SP

Latence du rseau basse car si un Host manque 5 hearbeats, le failover de met en place !!

Vous devez avoir un systme de rplication du SAN

La rplication peut tre synchrone ou asynchrone :


Synchrone : rplication sur les 2 san en mme temps

Asynchrone : la rplication se fait dautres moments

Et le Quorum !

Le mieux est davoir 3 locations :

1 host dans un site avec lapplication

1 host dans un autre site en attente

1 host dans un autre site avec le share witness


Exemple un site avec 5 hosts et un autre site avec 5 hostsDonc pour que le cluster fonctionne il faut 6 hosts (>50%)Sil y a un problme WAN, alors seul un site aura accs au 3eme site o vous avez place le share witness

Ce quon a couvert

Comment monitorer un cluster


Comment automatiser linstall des patchs


Le Hyper-V en Cluster

Le HA de serveurs





Le HA de serveurs Hyper-V et des VMs

Plan

Comment a marche?



Comment ca marche



1. On peut mettre 64 serveurs et 8000 VM

2. Lancer des live migration (migration dynamique) multiples

3. Stocker les VMs sur un partage SMB v3 !

4. On peut suveriller des services dans les VMs

5. CSV : Bitlocker et ne montrer le CSV que certains subnets


5. CSV : Bitlocker et ne montrer le CSV que certains subnets

6. Disque partag VHDX : plus besoin de SAN

7. Migration des VMs si le Host est arrt

8. Etat de sant du rseau dune VM. Migration automatique

Ce quon a couvert

Comment a marche?




Utiliser SMB 3 pour





Utiliser SMB 3 pour stocker les VMs

Plan

Les disques VHDX partags

Utiliser des partages SMB pour hberger vos VMS



On peut partager un VDHX entre plusieurs VMs comme un stockage partag !

On va ajouter ces VHDX comme des disques SCSI dans les paramtres de la VM. Que sur 2012 R2 (Hyper-v4). Il faut ensuite cliquer sur loption partager

Il faut mettre ce VHDX sur :

Un CSV


Sur un partage SMB v3

Utiliser des partages SMB pour vos VMs

Depuis 2012, on peut stocker les VMS sur un partage SMB v3

Il faut crer un partage en mode Scale-OUT

Cela permet de faire du Actif/Actif

On utilise du CACHE CSV. On va utiliser la RAM !


On peut clustriser le partage SMB

Ce quon a couvert


Utiliser des partages SMB pour hberger vos VMS



La migration des VMs





La migration des VMsentre Hyper-V

Plan

Comme fonctionne la migration chaud des VMs

Cest quoi ODX?


Comme fonctionne la migration chaud des VMs?

Live Migration- La VM- Le stockage de la VM


Cest quoi ODX?

Permet dutiliser un systme intelligent pour copier des VMs (stockage) entre 2 systme de stockage. Le transfert est trs rapide !!

Il faut utiliser des systmes qui intgre cette techno (ex DELL, EMC)


Ce quon a couvert

Comme fonctionne la migration chaud des VMs

Cest quoi ODX?



Le service Replica





Le service Replica

Plan

Comme fonctionne le rplica?

Les composants


Comme fonctionne le rplica

Permet de choisir une VM dans un site et de crer la mme VM dan un autre site (clone)

Ces copies sont synchronises un intervalle prcis (nouveau dans 2012 R2)

Si le site primaire est HS, il faut manuellement faireun Fail-Over


un Fail-Over

Nouveau sur 2012 R2

Intervalle de rplication

Copier la VM qui est rpliquesur un 3me Host HV !!

Les composants

Le moteur de rplica : soccupe de la rplication

Le tracking : regarde les changements sur la VM source

Module rseau : transfert la VM avec compression

Le rle Replica Brocker sur un cluster


Ce quon a couvert

Comme fonctionne le rplica?

Les composants


Le service de Sauvegarde

Les stratgies





Les stratgies de sauvegarde

Plan

Windows Backup


Windows Backup

Quoi sauvegarder :

Tous les volumes

Des fichiers prcis

Les types de sauvegarde :

Complte


Complte

Incrmentielle

Les techniques :

VSS

Hyper-V replica

Ce quon a couvert

Windows Backup



Le service Azure





Le service Azure de sauvegarde

Plan

Et Azure backup ?


Et Azure backup ?

On prend un abonnement avec Azure Backup

Vous sauvegardez vos fichiers sur le cloud

Il faut installer lagent Azure sur le serveur

Block Level !

Compression


Compression

Intgrit des donnes

Ce quon a couvert

Et azure backup ?



Rcuprer un serveur





Rcuprer un serveur complet

Plan

Windows RE

Windows Azure


Windows RE

A partir du DVD ou ISO !

Par F8

Si plusieurs erreurs rptitives !


Windows Azure

Vive le cloud

On utilise lagent Azure


Ce quon a couvert

Windows RE

Windows Azure


Conclusion





Merci

Merci encore vous davoir suivi ma formation

Jespre que vous allez maintenant passer la certif MCSA 2012

Jai eu beaucoup de plaisir faire cette formation


Voici le plan

Module 1 : Services rseaux

Module 2 : Le DAC (Dynamic Access Control)

Module 3 : Les services de fichiers

Module 4 : Les domaines et foret

Module 7 : Le service RMS

Module 8 : Le service AD FS

Module 9 : La gestion de charge avec NLB

Module 10 : Le service de Cluster Microsoft


Module 5 : La rplication

Module 6 : Les certificats

Microsoft

Module 11 : Le cluster Hyper-V

Module 12 : La sauvegarde

Ne pas oublier ces formations


Obligatoires Optionnelles

Merci!


Merci!

alphorm.com formation configuration des services avancés de windows server 2012 (70-412)

Technology