migration vers active directory 2012 et 2012 r2 : les meilleures pratiques
DESCRIPTION
Les dernières versions d’Active Directory permettent de mieux tirer parti de la virtualisation, de cloner des contrôleurs de domaines, (etc.) mais également de fournir de nouvelles fonctionnalités à vos utilisateurs comme Dynamic Access Control et un support avancé du Bring Your Own Device. Cette session basée sur nos retours d’expérience Global Business Support inclut nos conseils et méthodes pour que votre migration depuis Windows Server 2003, 2008 ou 2008 R2 soit une traversée sans vague ! Bref, de quoi faire des utilisateurs satisfaits, un DSI heureux, et tout cela avec les meilleures pratiques et avec style. Speakers : Chafia Aouissi (Microsoft France), Nadim Bioud (Microsoft France)TRANSCRIPT
Infrastructure, communication & collaboration
Migration vers Active Directory 2012 et 2012
R2Les meilleures
pratiquesChafia AOUISSI et Nadim BIOUDIngénieurs Conseil Grands
ComptesMicrosoft
#mstechdays Infrastructure, communication & collaboration
Au programme
- Avantage de Migrer- Préparation de la Migration
1. Evaluer votre environnement2. Planifier votre projet3. Tester en pré-production4. Démo (Mise à jour du Schéma)5. Déployer
- Conclusion
Infrastructure, communication & collaboration
#mstechdays
AVANTAGE DE MIGRER VERS ACTIVE DIRECTORY 2012 / R2
#mstechdays Infrastructure, communication & collaboration
• Supportabilité – Fin de supportabilité de Windows Server 2003– Fin de supportabilité du matériel (Hardware)
• Consolidation et mutualisation– Virtualisation– Réduction du nombre de contrôleurs de domaine
• Nouvelles fonctionnalités– Windows Server 2012– Windows Server 2012R2
Pourquoi?
#mstechdays Infrastructure, communication & collaboration
Nouvelles fonctionnalitésFonctionnalité Schém
a 2012Schéma 2012 R2
DC 2012
PDC 2012
DFL 2012
Cloning/Safe restore* x x x
Dynamic Access Control ** x x x
Kerberos (compression de SID, blindage,etc)
x x
Group managed services x x
Work folders x
Workplace join x• ** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine.• * Nécessite le support du VM-GenerationID par l’hyperviseur utilisé.
Infrastructure, communication & collaboration
#mstechdays
PRÉPARER LA MIGRATION
Minimiser les risques
#mstechdays Infrastructure, communication & collaboration
Processus de migration
Evaluer Planifier Tester Déployer
Infrastructure, communication & collaboration
#mstechdays
EVALUER AVANT DE MIGRER
Etat de santé de l’AD et les bloqueurs potentiels
#mstechdays Infrastructure, communication & collaboration
Bloqueurs potentielsFonctionnalité/configuration par
défautWindows Server
2003Windows Server
2008Windows Server
2008 R2Windows Server
2012 /R2Store LMHash X
NT 4.0 Cryptography X
DES Encryption for Kerberos X X
SMB Signing X X X X
Computer Browser Service enabled X
LMCompatibilityLevel 2 3 3 3
DFS Site-Costed Referrals X X X
LDAPS / PKI
Strict enforcement of RFC 2696 Section 3 (LDAP)
X X
SID/PAC Compression X
Dynamic RPC Ports 1025-5000 49152-65535 49152-65535 49152-65535
#mstechdays Infrastructure, communication & collaboration
• DES et 3DES sont désactivés par défaut: http://aka.ms/R2fwl8
• Identification des utilisateurs DES/3DES
Get-aduser –filter * -Properties UserAccountControl|where{($_.useraccountcontrol -band 2097152) -ne 0}dsquery * -filter “(UserAccountControl:1.2.840.113556.1.4.804:=2097152)”
• Pour réactiver le DES- Windows Settings -> Security Settings -> Local Policies -> Security Options->Network Security: Configure encryption types allowed for Kerberos
Bloqueur potentiel: Algorithme d’encryption
#mstechdays Infrastructure, communication & collaboration
Bloqueur potentiel: Compression des SIDs
NAS
Compression de SIDs Activé par défaut
TGS: PAC compresséTGS: PAC compressé
DC 2012/R2
Client Compression de SIDs non prise en compte
\\servername\sharename\subfolder
Access Denied
• Solutions– Désactiver la compression de SIDs sur le compte
de la resource uniquement – Désactiver la compression des SID sur tous les
KDCs Windows Server 2012/R2• REG_DWORD:
DisableResourceGroupsFields=1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters
• Nécessite le redémarrage du DC
#mstechdays Infrastructure, communication & collaboration
Que faut-il évaluer?• Compatibilité des applications• Inventaire des outils/services installés
sur les DCs• L’analyse de l’état de santé de votre
AD ainsi que la remédiation des points critiques et importants ( exemple: AD RaaS – Bilan de santé et analyse de risque)
#mstechdays Infrastructure, communication & collaboration
Statut et état de santé Outils / ligne de commandeRéplication AD Repadmin /replsum pour la forêt
Repadmin /showrepl au niveau du DCRepadmin /removelingeringobjects /advisoryOutil Adreplstatus: http://aka.ms/adreplstatus
Réplication du SYSVOL (FRS ou DFSR)
SONAR – Ultrasound – DfsrMon- DfsrMgmt
Résolution de Nom (DNS) Dnslint /ad « IP du DC » /s « IP du DNS »Dcdiag /test:DNS « nom du DC »
Base NTDS.dit /Performance/Services
Journaux d’événements (EventComb)Best practices analyzer depuis Windows 2008 R2
Sauvegarde de l’état du Système Repadmin /Showbackups
Diagnostic général / Rôles FSMO /Synchronisation de temps
Dcdiag /q /eNetdom query fsmo
Liste de vérification de l’état de santé
Infrastructure, communication & collaboration
#mstechdays
PLANIFIER LA MIGRATION
Maîtriser son projet
#mstechdays Infrastructure, communication & collaboration
• Hardware recommandé– 80 Go de disque système – 8 Go de RAM / X64
• Windows Edition– Standard ou datacenter– Core/Intermediate/full
• Hyperviseur (Cloning DC/safe resotre)– Hyperviseur qui supporte VM-generationID
• Prérequis promotion DC– Mode fonctionnel de la forêt Windows 2003
Prérequis d’installation de Windows Server 2012
#mstechdays Infrastructure, communication & collaboration
Architecture et Préparation
• Gestion de capacité: DCs/RODCs/Virtualisation
• Créer le plan de migration
• Identifier les applications à tester
Contoso.com
Contoso.com
NewContoso.com
Mise à jour
ADMT
#mstechdays Infrastructure, communication & collaboration
• Sauvegarde de l’AD– System state + Système (Windows Server
2003/Windows Server 2008)– Bare Metal Recovery (Windows Server 2008 R2)
• Forest Recovery– Plan détaillé de la reprise d’activité
(Restauration totale de la forêt)– Plus d’info: http://aka.ms/W9714e
Retour arrière
Infrastructure, communication & collaboration
#mstechdays
TESTER LA MIGRATION
Assurer ses arrières
#mstechdays Infrastructure, communication & collaboration
Cet environnement doit être complètement isolé de la production et doit être supprimé à la fin des tests
Construction d’un environnement de test
Méthode Avantages/InconvénientRestaurer la sauvegarde d’un DC Physique/virtuel de chaque domaine vers une machine Physique/virtuelle de l’environnement de test
- Avantage: Tester la validité de la sauvegarde AD de la production
- Inconvénient: Nécessite un matériel identique dans le lab (DC physique)/Nécessite l’existence d’un DC virtuel dans l’environnement (DC virtuel)
Ajout d’un DC Virtuel dans chaque domaine de la forêt de production et le déplacer vers l’environnement de test
- Avantage: ne nécessite pas du matériel additionnel.
- Inconvénient: Pas de test de la sauvegarde. Il faut nettoyer le domaine de production (metadatacleanup: http://aka.ms/Lictx9 )
démo
Design/UX/UI#mstechdays Infrastructure, communication &
collaboration
MISE A JOUR DU SCHEMA
Meilleures pratiques
Infrastructure, communication & collaboration
#mstechdays
DÉPLOYER
Mise en production
#mstechdays Infrastructure, communication & collaboration
1. Préparer/appliquer la GPO de compatibilité selon les résultats de vos tests
2. Ajout du rôles ADDS et promotion3. Vérification de l’état de santé (voir slide 16)4. Valider le bon fonctionnement des
applications et de l’authentification5. Effectuer des sauvegardes et des tests de
restauration
Déploiement du premier du DC 2012/R2
#mstechdays Infrastructure, communication & collaboration
1. Rétrograder les anciens DCs2. Vérifier le bon fonctionnement des
applications3. Rétrograder le dernier DC4. Augmenter le niveau fonctionnel du
domaine et de la forêt5. Activer les nouvelles fonctionnalités (Migrer
la réplication du SYSVOL: http://aka.ms/Bd8ds5 )
6. Mettre à jour les procédures opérationnelles et le plan de reprise d’activité
Finaliser le déploiement des DCs
#mstechdays Infrastructure, communication & collaboration
• La Migration de l’Active Directory est un projet et non pas une simple tâche d’administration
• Connaître son environnement pour mieux gérer les problèmes connus
• Faire des tests pour éviter les mauvaises surprises
Conclusion
#mstechdays Infrastructure, communication & collaboration
Migrating Active Directory to Windows Server 2012 R2 (TechNet Virtual Labs) http://go.microsoft.com/?linkid=9842894 Mettre à niveau des contrôleurs de domaine vers Windows Server 2012http://technet.microsoft.com/fr-fr/library/hh994618.aspx Microsoft Virtual Academy – Windows Server 2012http://www.microsoftvirtualacademy.com/colleges/WindowsServer2012#?fbid=2Ye31lk87rC Configuration requise et informations d’installation pour Windows Server 2012 R2http://technet.microsoft.com/fr-fr/library/dn303418.aspx Windows Server 2012 : modifications apportées par Adprep.exehttp://technet.microsoft.com/fr-fr/library/hh994609 Installer et déployer Windows Server 2012http://technet.microsoft.com/fr-fr/library/hh831620 Présentation des niveaux fonctionnels des services de domaine Active Directoryhttp://technet.microsoft.com/fr-fr/library/understanding-active-directory-functional-levels(v=WS.10).aspx
Ressources
#mstechdays Infrastructure, communication & collaboration
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…Réagissez sur #mstechdays
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business
Pour aller plus loin…
ApprofondissezAgenda des séminaires techniques pour les IT Pros : http://aka.ms/itcamps-france
Agenda des séminaires fonctionnels pour les décideurs : http://aka.ms/TDI
Formez-vousFormations en ligne :http://aka.ms/MVA
Formation et certification gratuite:
Offre spéciale TechDays limitée aux 200 premières demandes, 1 pack par individu
Un pack digital offert intitulé “ Server Virtualization with Windows Server Hyper-V and System Center” comprenant le support de cours officiel Microsoft (MOC) au format digital (20409) et le coupon de certification (74-409).
A retirer exclusivement sur le stand de nos sponsors Learning Partner: Edugroupe (stand 30), Global Knowledge (stand 14), Ib (stand 74), SQLI (stand 97).
Évaluez des versions d'essai
#mstechdays Infrastructure, communication & collaboration
Microsoft System Center 2012
http://aka.ms/jeveuxmoncloudprive
http://aka.ms/free/trial
http://aka.ms/jeveuxwindows2012