Active Directory : nouveautés de Windows Server 2012

Arnaud Lheureux, Christophe DubosArchitectes Infrastructure

Microsoft France

Entreprise / IT / Serveurs / Réseaux / Sécurité

@ArnaudLheureuxhttp://aka.ms/arnaud

Au programme

Déploiement et

virtualisation

Administration plus efficace

Sécurité de l’infrastructu

re

Evolutions principales de l’Active Directory

Compatible avec la virtualisation•Toute les fonctions de l’AD sont désormais compatibles avec la virtualisation

Déploiement simplifié•Un seul outillage pour préparer et déployer AD•Déploiement massif simplifié avec le clonage•Déploiement centralisé•Environnement Powershell complet

Gestion simplifiée• Interface graphique complète pour les objets supprimés et les stratégies de mot de passe

•Powershell pour gérer la réplication, la topologie et vue de l’historique des commandes

•Meilleure gestion des comptes de services de groupes

• Avec les précédentes versions de Windows Server– Le déploiement des nouveaux DC pour ajout ou montée de

version était une opération consommatrice en temps et source d’erreurs…

• Séquence d’opérations type– Obtention ADPREP et niveau de privilèges requis– Connexion interactive à différents DCs (différents domaines)– Préparation et exécution dans une séquence précise– Attente de la convergence de la réplication à chaque étape

Déploiement simplifié

• Etapes de préparation maintenant intégrées dans le processus de promotion– Validation globale des prérequis en amont du

déploiement– Installation du rôle et promotion dans la même interface– Intégration avec Server Manager et exécution à distance

• Prérequis– Niveau fonctionnel de foret Windows Server 2003– Enterprise Admin et Schema Admins

Déploiement simplifié : Intégration des processus

Déploiement simplifié : Vérification des prérequis

• Logique de reprise après erreurs lors du DC promo initiale– La coupure réseau n’est plus un échec pour la promotion!– Boucle infinie jusqu’au succès… ou interruption de

l’administrateur

Déploiement plus robuste

demoDÉPLOIEMENT D’ACTIVE DIRECTORY AVEC WINDOWS SERVER 2012

• Objectif de l’Install From Media (IFM)– Accélérer le temps de déploiement des DC…. Sauf que la

défragmentation offline prend parfois plus de temps que prévu!

• Avec Windows Server 2012 le mécanisme de préparation de la base (NTDUTIL IFMprep) permet de passer outre cette étape– Le comportement par défaut reste le même

(défragmentation)– Gains potentiels importants sur le temps de préparation

des bases au détriment de la taille de la base

Déploiement - Mode IFM optimisé

• Avec les précédentes versions de Windows Server– Le déploiement d’un DC virtuel représentait une charge de

travail équivalente à celle d’un DC physique

• La virtualisation apporte beaucoup de facilités– Les DCs constituent finalement des instances identiques d’un

point de vue AD• Excepté le nom, l’@IP, …

– Déployer des DC implique des étapes redondantes:• Préparation et déploiement d’image serveur sysprep• Promotion manuelle via synchronisation réseau ou copie IFM• Vérifications et configurations post-déploiement nécessaires

Déploiement accéléré via clonage

• Avec Windows Server 2012 il est possible de créer une réplique d’un DC virtualisé par clonage– Copie de VHD via les mécanismes d’export et d’import– Interactions entre les administrateurs Hyper-V et AD simplifiées

• L’autorisation des opérations de clonage reste sous le contrôle des administrateurs de domaine / Entreprise

• Les administrateurs Hyper-V peuvent déployer les DC préparés au clonage en les copiant

– Nouvelle possibilité pour le “disaster-recovery”• Un DC Windows Sevrer 2012 virtualisé par domaine suffit pour

reconstruire une forêt complète• Les DC sont déployés beaucoup plus rapidement

– Provision à la demande (ex. déploiement de cloud, etc.)

Déploiement accéléré via clonage

Démarrage NTDS

Récupération VM-GenID courant

Si différent valeur dans le DIT

Réinitialisation InvocationID, suppression RID pool

DCCloneConfig.xml disponible ?

Dcpromo /fixclone

Lecture DCCloneConfig.xml

Configuration paramètres réseau

Localisation PDC

Appel _IDL_DRSAddCloneDC(name, site)

Vérification autorisation

Création nouvel objet DC via duplication objets DC source(NTDSDSA, Server, Computer instances)

Génération nouveau compte machine et mot de passe pour DC

Sauvegarde état clone (nouveau nom, mot de passe, site)

Promotion nouveau DC (IFM)

Exécution providers SYSPREP spécifiques

Redémarrage

VM clone PDC Windows Server 2012

IDL_DRSAddCloneDC

CN=Configuration|--CN=Sites

|---CN=<site name>|---CN=Servers

|---CN=<DC Name> |---CN=NTDS Settings

Déploiement accéléré - Processus de clonage

• Prérequis– DC virtuel Windows Server 2012 hébergé sur un hyperviseur supportant VM-

Generation ID– PDC Windows Server 2012 pour autoriser le clonage– DC source autorisé pour le clonage

• Niveau domaine: « Allow DC to create a clone of itself »• Niveau compte: membre groupe « Clonable Domain Controllers »

– DCCloneConfig.XML présent sur le DC cloné• Répertoire \NTDS (ou hébergeant NTDS.DIT) ou USB

– Services installés sur le DC cloné doivent supporter l’opération• Ex: DNS, FRS, DFSR• « AllowList » (Get-ADDCCloningExcludedApplicationList) • Si composant pas dans AllowList, échec clonage et DC cloné démarrera en

DSRM

Déploiement accéléré via clonage

demoDÉPLOIEMENT PAR CLONAGE

• Historiquement, la virtualisation permet un datacenter plus dynamique… sauf pour l’AD…

• Les contrôleurs de domaines répliquent les différences entre eux – Retour arrière impossible– Re-instanciation de base en cas des restauration

• Les snapshots introduisent donc le problème d’USN rollbacks:– lingering objects– Mot de passes inconsistants – Attributs inconsistants – Inconsistances sur le schéma

• Existe également un risque de création de compte avec SID dupliqués…

AD Virtualization-Safe

Problème des USN Rollbacks… Ti

melin

e o

f even

ts

TIME: T2

TIME: T3

TIME: T4

CreateSnapshot

T1 SnapshotApplied!

USN: 100 ID: A

RID Pool: 500 - 1000

USN: 100 ID: A

RID Pool: 500 - 1000

USN: 250ID: A

RID Pool: 650 - 1000

+150 more users created

DC1(A)@USN = 200

DC2 receives updates: USNs >200

DC1(A)@USN = 250

USN: 200ID: A

RID Pool: 600- 1000

+100 users added

DC2 receives updates: USNs >100

DC

1

DC

2

TIME: T1

USN rollback PAS détecté: réplication uniquement des 50 utilisateurs entre les 2 DCLes autres sont quelque part sur un DC 100 comptes utilisateurs avec un RIDs 500-599 en conflit!

• Les contrôleurs de domaines virtuels Windows Server 2012 détectent quand:– un snapshot est appliqué– une VM est copiée

• Utilisation de l’attribut (VM-generation ID) variant lorsqu’un snapshot est créé

• Les DC virtuels Windows Server 2012 vérifient en permanence leur VM-generation ID pour protéger l’intégrité de l’Active Directory.

• En cas de changement détecté :– Utilisation d’une nouvelle plage RID– Nouvel invocationID– Re-vérification des rôles FSMOs

Virtualization-Safe

demoAD DANS WINDOWS SERVER 2012 ET LA VIRTUALISATION

• Fonctionnalité introduite dans WS2008R2 permettant a une machine de joindre le domaine sans connectivité… maintenant étendue pour inclure: – Les certificats– Les stratégies de groupe

• En résumé…– Dans un environnement DirectAccess, la machine peut

désormais joindre le domaine et s’y connecter directement…. – Le transport sécurisé du blob de jonction reste à votre charge

Jonction au domaine hors-ligne

• Les plages RID sont distribuées aux DC et permettent la création des SID

• Pas de modifications majeure depuis Windows 2000 mais…– Création d’un compte qui échoue consomme un SID– Bug due à l’absence de certains attributs peut créer une

consommation massive de l’espace (rIDSetReferences)

• Améliorations de Windows Server 2012– Alertes périodiques sur la consommation et l’invalidation des

portions de l’espace– Possibilité d’étendre l’espace d’adressage (déblocage du 31ème bit)– Blocage artificiel à 90% de l’espace consommé

Améliorations sur la gestion des étendues RID

• Permet d’activer la fonctionnalité corbeille par l’interface si le DFL/FFL le permet

• Simplifie la récupération d’objets– Plus besoin du

contexte Powershell– Affiche directement

les objets récupérables

Interface pour la corbeille

• Permet aux administrateurs de voir l’équivalent Powershell des actions dans l’Administrative Center– Toute action dans l’interface

graphique est transcrite dans l’historique

– L’administrateur peut copier/copier et s’inspirer de la syntaxe pour ses futurs scripts!

• Apprentissage plus rapide• Accoutumance douce à Powershell

Historique Active Directory Windows PowerShell

• Création, édition et attribution des stratégies de mots de passes directement depuis l’Active Directory Administrative Center

• Légèrement plus intuitif que ADSIEDIT

Stratégies de mots de passes multiples

demoAD ADMINISTRATIVE CENTER

• Visualisation et reporting du status de réplication des stratégies de groupe– Remplaçant de

GPOTool.exe et des outils basiques de monitoring

– Sélectionne un DC comme référence et compare l’état des partenaires de réplication

Rapports d’états pour les GPO

• GPMC permet de déclencher un rafraichissement à distance– Création d’une tâche planifiée

exécutée dans les +/- 10 minutes• Nécessite flux et droits sur

machines distantes– Disponible dans GPMC et

Powershell– Nécessite Vista+ et WS2008+

Rafraichissement distant des GPO

• Gestion de la topologie AD avant– repadmin– ntdsutil– Active Directory Sites and Services– etc.

• Automatiser les tâches consommatrices de temps– Création/gestion des sites, liens de sites, sous-réseaux et objets de

connexion– Forcer la réplication d’objets entre DC– Voir les échecs de réplications– Voir les métadonnées des objets– Etc.

Gestion de la topologie AD Avec Powershell

• Gestion de l’activation en entreprise pour Windows/Office requiert un serveur KMS…

• Surplus administratif– Permet de gérer ~90% des cas de déploiement d’entreprise– Pas de console d’administration centralisée par défaut

• Trafic RPC doit être activé vers le serveurs• Pas d’authentification• Impossible de connecter ce serveur a des réseaux

externes

Activation machine Basée sur Active Directory

• Utilisation des contrôleurs de domaine pour activer les clients– Pas de serveur additionnel nécessaire– Basé sur appels LDAP, pas de RPC – RODC supporté

• Pas d’écriture d’objets dans l’AD après le déploiement– Activation initiale de la CSVLK (customer-specific volume license key) :

• Spécification de la clé dans l’assistant volume activation ou en ligne de commande

• Activation initiale sur internet/téléphone (comme pour clés retail)– Stockage dans la partition de configuration– Les machines clientes peuvent être membres de n’importe quel domaine de

la foret

Activation machine Basée sur Active Directory

Activation machine Basée sur Active Directory

• Prérequis– Machines Windows 8 uniquement– Extension de schéma Windows Server 2012• Ne nécessite pas de contrôleur de domaine

2012• Serveur de licence nécessite Windows Server

2012– Peut coexister avec KMS• Nécessaire pour l’activation des versions

précédentes de Windows

Activation machine Basée sur Active Directory

Dynamic Access Control en une Slide !

Classification des données

Expressions de contrôle d’accès flexibles, basées sur les critères- utilisateur (groupes et claims)- périphérique- classification des documents

Contrôle d’accès centralisé via les Central Access Policies (CAP).

Audit ciblé des accès basé sur les classifications des documents et l’identité des utilisateurs.

Déploiement centralisé des politiques d’audit via les Global Audit Policies (GAP).

Chiffrement RMS automatique en fonction des classifications des documents.

Politique d’audit via des expressions

Conditions d’accès basées sur les Claims

Chiffrement

Utilisation des propriétés stockées dans Active Directory pour la classification des documents.

Classification automatique des documents en fonction de leur contenu.

Dynamic Access Control

Revendications UtilisateurDépartement = Finance

Habilitation = Haute

Revendications MachineDépartement = Finance

Administré = Vrai

Propriétés RessourceDépartement = Finance

Sensibilité = Haute

Stratégie d’accès centraliséeS’applique à@Fichier.Sensibilité = Haute

Autoriser Lecture, Ecriture | si (@utilisateur.Département == @Fichier.Département) et (@Machine.Administré == Vrai)

Ajout progressif des fonctionnalités

Infrastructure courante

Serveur de fichiers Windows Server 2012• Politiques

d’accès et d’audit basées sur les groupes et classification des fichiers

Contrôleur Windows Server 2012• Politiques

d’accès et d’audit centralisées

• Revendications utilisateur utilisables dans ces politiques

Client Windows 8• Ajouter

revendications machines aux politiques d’accès et d’audit

• Meilleure expérience sur accès refusés

• Délégation contrainte plus simple– Front/Back end plus forcément dans les même domaines– Gestion des SPN allégés, Contexte de configuration en

Powershell– Droits domain admins plus nécessaires pour la configuration

• Support de FAST (Flexible Authentication Secure Tunneling)– Renforcement de la sécurité de Kerberos, décrit dans RFC 6113– Etablissement d’un canal protégé pour les échanges Kerberos

• Support de ADFS v2.1– Inclus les claims dans les tickets Kerberos (pour scénarios DAC)

Nouveautés de Kerberos

• Extension aux comptes de services Windows Server 2008 R2– Peut maintenant être distribué sur plusieurs serveurs– Nouveau type de security principal– Changements de mots de passe gérés par le GKDS (nécessite WS2012)– Gestion en PowerShell New-ADServiceAccount – Support par le Service Control Manager, IIS, et applications

• Pas de Task Scheduler

• Nécessite– Extension de Schéma 2012, 1 DC 2012 – Windows Server 2012 ou Windows 8 sur les machines hébergeant le

gMSA

Group Managed Service Accounts (gMSA)

Tirer partie de Windows Server 2012 dès aujourd’huiEn déployant… Je gagne

Le premier Serveur Membre Windows Server 2012 (ou machine d’administration et RSAT)

• Active Directory Administrative Center• Windows PowerShell History Viewer• Interface Graphique Corbeille et stratégies de mot

de passe multiple• Utilisation de DAC & FCI• Active Directory-based Activation

• Besoin de l’extension de Schéma 2012• Commandes Powershell pour la réplication et la

topologie • AD FS (v2.1)

Le premier contrôleur de domaine Windows Server 2012

• Préparation et déploiement simplifié à distance• Dynamic Access Control policies and claims

• Kerberos Claims in AD FS (v2.1)• Cross-domain Kerberos Constrained Delegation• Group Managed Service Accounts• Virtualization-Safe for the Windows Server 2012 DC

• Demande un Hyperviseur qui supporte VM-Gen-ID

Bascule Windows Server 2012 DFL/FFL et PDCE

• Déploiement rapide des DC avec clonage• Demande un hyperviseur qui supporte le VM-Gen-

ID

Avant…• Comptes de service valide sur une

machine uniquement• Délégation contrainte Kerberos avec

serveurs dans le même domaine• Pas de protection des messages

d’erreur Kerberos• FGPP dans ADSIEdit.msc et

Restauration d’objets avec Powershell• Pas d’aide au PowerShell• Pléthore d’outils pour la gestion de la

topologie

Windows Server 2012• Gestion des comptes de services pour

les fermes de serveurs (gMSA)• Gestion de la délégation contrainte

Kerberos multi domaines• Protection des échanges Kerberos• Interface Utilisateur Active Directory

– Active Directory Administrative Center pour FGPP et restauration d’objets

– Historique/équivalent des commandes d’administration affichées en Powershell

• Gestion de la topologie de réplication facilitée avec PowerShell

En résumé…Plus simple à gérer!

Avant…• Utilisation de snapshots pouvant

donner lieu à des corruptions d’AD• Préparation d’une upgrade Active

Directory demande beaucoup d’outils et de manipulations

• Promotion d’un DC peut échouer à cause d’une coupure réseau

• Déploiement de DC en logon interactif• Difficile d’écrire les scripts

d’automatisation

Windows Server 2012• Virtualisation sans risques• Déploiement simplifié

– Installation de bout en bout et expérience uniforme

– Opérations jouables à distance, ciblage automatique des rôles FSMO nécessaire pour les opérations

– Validation de tous les prérequis avant les opérations

– Déploiement disponible en PowerShell

• Clonage des DC• Intégration AD FS

En résumé…Plus simple à déployer!

Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

Formez-vous en ligne

Retrouvez nos évènements

Faites-vous accompagner gratuitement

Essayer gratuitement nos solutions IT

Retrouver nos experts Microsoft

Pros de l’ITDéveloppeurs

www.microsoftvirtualacademy.com

http://aka.ms/generation-app

http://aka.ms/evenements-developpeurs

http://aka.ms/itcamps-france

Les accélérateursWindows Azure, Windows Phone,

Windows 8

http://aka.ms/telechargements

La Dev’Team sur MSDNhttp://aka.ms/devteam

L’IT Team sur TechNethttp://aka.ms/itteam