Infrastructure, communication & collaboration

Migration vers Active Directory 2012 et 2012

R2Les meilleures

pratiquesChafia AOUISSI et Nadim BIOUDIngénieurs Conseil Grands

ComptesMicrosoft

#mstechdays Infrastructure, communication & collaboration

Au programme

- Avantage de Migrer- Préparation de la Migration

1. Evaluer votre environnement2. Planifier votre projet3. Tester en pré-production4. Démo (Mise à jour du Schéma)5. Déployer

- Conclusion

Infrastructure, communication & collaboration

#mstechdays

AVANTAGE DE MIGRER VERS ACTIVE DIRECTORY 2012 / R2

#mstechdays Infrastructure, communication & collaboration

• Supportabilité – Fin de supportabilité de Windows Server 2003– Fin de supportabilité du matériel (Hardware)

• Consolidation et mutualisation– Virtualisation– Réduction du nombre de contrôleurs de domaine

• Nouvelles fonctionnalités– Windows Server 2012– Windows Server 2012R2

Pourquoi?

#mstechdays Infrastructure, communication & collaboration

Nouvelles fonctionnalitésFonctionnalité Schém

a 2012Schéma 2012 R2

DC 2012

PDC 2012

DFL 2012

Cloning/Safe restore* x x x

Dynamic Access Control ** x x x

Kerberos (compression de SID, blindage,etc)

x x

Group managed services x x

Work folders x

Workplace join x• ** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine.• * Nécessite le support du VM-GenerationID par l’hyperviseur utilisé.

Infrastructure, communication & collaboration

#mstechdays

PRÉPARER LA MIGRATION

Minimiser les risques

#mstechdays Infrastructure, communication & collaboration

Processus de migration

Evaluer Planifier Tester Déployer

Infrastructure, communication & collaboration

#mstechdays

EVALUER AVANT DE MIGRER

Etat de santé de l’AD et les bloqueurs potentiels

#mstechdays Infrastructure, communication & collaboration

Bloqueurs potentielsFonctionnalité/configuration par

défautWindows Server

2003Windows Server

2008Windows Server

2008 R2Windows Server

2012 /R2Store LMHash X

NT 4.0 Cryptography X

DES Encryption for Kerberos X X

SMB Signing X X X X

Computer Browser Service enabled X

LMCompatibilityLevel 2 3 3 3

DFS Site-Costed Referrals X X X

LDAPS / PKI

Strict enforcement of RFC 2696 Section 3 (LDAP)

X X

SID/PAC Compression X

Dynamic RPC Ports 1025-5000 49152-65535 49152-65535 49152-65535

#mstechdays Infrastructure, communication & collaboration

• DES et 3DES sont désactivés par défaut: http://aka.ms/R2fwl8

• Identification des utilisateurs DES/3DES

Get-aduser –filter * -Properties UserAccountControl|where{($_.useraccountcontrol -band 2097152) -ne 0}dsquery * -filter “(UserAccountControl:1.2.840.113556.1.4.804:=2097152)”

• Pour réactiver le DES- Windows Settings -> Security Settings -> Local Policies -> Security Options->Network Security: Configure encryption types allowed for Kerberos

Bloqueur potentiel: Algorithme d’encryption

#mstechdays Infrastructure, communication & collaboration

Bloqueur potentiel: Compression des SIDs

NAS

Compression de SIDs Activé par défaut

TGS: PAC compresséTGS: PAC compressé

DC 2012/R2

Client Compression de SIDs non prise en compte

\\servername\sharename\subfolder

Access Denied

• Solutions– Désactiver la compression de SIDs sur le compte

de la resource uniquement – Désactiver la compression des SID sur tous les

KDCs Windows Server 2012/R2• REG_DWORD:

DisableResourceGroupsFields=1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters

• Nécessite le redémarrage du DC

#mstechdays Infrastructure, communication & collaboration

Que faut-il évaluer?• Compatibilité des applications• Inventaire des outils/services installés

sur les DCs• L’analyse de l’état de santé de votre

AD ainsi que la remédiation des points critiques et importants ( exemple: AD RaaS – Bilan de santé et analyse de risque)

#mstechdays Infrastructure, communication & collaboration

Statut et état de santé Outils / ligne de commandeRéplication AD Repadmin /replsum pour la forêt

Repadmin /showrepl au niveau du DCRepadmin /removelingeringobjects /advisoryOutil Adreplstatus: http://aka.ms/adreplstatus

Réplication du SYSVOL (FRS ou DFSR)

SONAR – Ultrasound – DfsrMon- DfsrMgmt

Résolution de Nom (DNS) Dnslint /ad « IP du DC » /s « IP du DNS »Dcdiag /test:DNS « nom du DC »

Base NTDS.dit /Performance/Services

Journaux d’événements (EventComb)Best practices analyzer depuis Windows 2008 R2

Sauvegarde de l’état du Système Repadmin /Showbackups

Diagnostic général / Rôles FSMO /Synchronisation de temps

Dcdiag /q /eNetdom query fsmo

Liste de vérification de l’état de santé

Infrastructure, communication & collaboration

#mstechdays

PLANIFIER LA MIGRATION

Maîtriser son projet

#mstechdays Infrastructure, communication & collaboration

• Hardware recommandé– 80 Go de disque système – 8 Go de RAM / X64

• Windows Edition– Standard ou datacenter– Core/Intermediate/full

• Hyperviseur (Cloning DC/safe resotre)– Hyperviseur qui supporte VM-generationID

• Prérequis promotion DC– Mode fonctionnel de la forêt Windows 2003

Prérequis d’installation de Windows Server 2012

#mstechdays Infrastructure, communication & collaboration

Architecture et Préparation

• Gestion de capacité: DCs/RODCs/Virtualisation

• Créer le plan de migration

• Identifier les applications à tester

Contoso.com

Contoso.com

NewContoso.com

Mise à jour

ADMT

#mstechdays Infrastructure, communication & collaboration

• Sauvegarde de l’AD– System state + Système (Windows Server

2003/Windows Server 2008)– Bare Metal Recovery (Windows Server 2008 R2)

• Forest Recovery– Plan détaillé de la reprise d’activité

(Restauration totale de la forêt)– Plus d’info: http://aka.ms/W9714e

Retour arrière

Infrastructure, communication & collaboration

#mstechdays

TESTER LA MIGRATION

Assurer ses arrières

#mstechdays Infrastructure, communication & collaboration

Cet environnement doit être complètement isolé de la production et doit être supprimé à la fin des tests

Construction d’un environnement de test

Méthode Avantages/InconvénientRestaurer la sauvegarde d’un DC Physique/virtuel de chaque domaine vers une machine Physique/virtuelle de l’environnement de test

- Avantage: Tester la validité de la sauvegarde AD de la production

- Inconvénient: Nécessite un matériel identique dans le lab (DC physique)/Nécessite l’existence d’un DC virtuel dans l’environnement (DC virtuel)

Ajout d’un DC Virtuel dans chaque domaine de la forêt de production et le déplacer vers l’environnement de test

- Avantage: ne nécessite pas du matériel additionnel.

- Inconvénient: Pas de test de la sauvegarde. Il faut nettoyer le domaine de production (metadatacleanup: http://aka.ms/Lictx9 )

démo

Design/UX/UI#mstechdays Infrastructure, communication &

collaboration

MISE A JOUR DU SCHEMA

Meilleures pratiques

Infrastructure, communication & collaboration

#mstechdays

DÉPLOYER

Mise en production

#mstechdays Infrastructure, communication & collaboration

1. Préparer/appliquer la GPO de compatibilité selon les résultats de vos tests

2. Ajout du rôles ADDS et promotion3. Vérification de l’état de santé (voir slide 16)4. Valider le bon fonctionnement des

applications et de l’authentification5. Effectuer des sauvegardes et des tests de

restauration

Déploiement du premier du DC 2012/R2

#mstechdays Infrastructure, communication & collaboration

1. Rétrograder les anciens DCs2. Vérifier le bon fonctionnement des

applications3. Rétrograder le dernier DC4. Augmenter le niveau fonctionnel du

domaine et de la forêt5. Activer les nouvelles fonctionnalités (Migrer

la réplication du SYSVOL: http://aka.ms/Bd8ds5 )

6. Mettre à jour les procédures opérationnelles et le plan de reprise d’activité

Finaliser le déploiement des DCs

#mstechdays Infrastructure, communication & collaboration

• La Migration de l’Active Directory est un projet et non pas une simple tâche d’administration

• Connaître son environnement pour mieux gérer les problèmes connus

• Faire des tests pour éviter les mauvaises surprises

Conclusion

#mstechdays Infrastructure, communication & collaboration

Migrating Active Directory to Windows Server 2012 R2 (TechNet Virtual Labs) http://go.microsoft.com/?linkid=9842894 Mettre à niveau des contrôleurs de domaine vers Windows Server 2012http://technet.microsoft.com/fr-fr/library/hh994618.aspx Microsoft Virtual Academy – Windows Server 2012http://www.microsoftvirtualacademy.com/colleges/WindowsServer2012#?fbid=2Ye31lk87rC Configuration requise et informations d’installation pour Windows Server 2012 R2http://technet.microsoft.com/fr-fr/library/dn303418.aspx Windows Server 2012 : modifications apportées par Adprep.exehttp://technet.microsoft.com/fr-fr/library/hh994609 Installer et déployer Windows Server 2012http://technet.microsoft.com/fr-fr/library/hh831620 Présentation des niveaux fonctionnels des services de domaine Active Directoryhttp://technet.microsoft.com/fr-fr/library/understanding-active-directory-functional-levels(v=WS.10).aspx

Ressources

#mstechdays Infrastructure, communication & collaboration

Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…Réagissez sur #mstechdays

Merci de nous aider à améliorer les Techdays !

Donnez votre avis !

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business

Pour aller plus loin…

ApprofondissezAgenda des séminaires techniques pour les IT Pros : http://aka.ms/itcamps-france

Agenda des séminaires fonctionnels pour les décideurs : http://aka.ms/TDI

Formez-vousFormations en ligne :http://aka.ms/MVA

Formation et certification gratuite:

Offre spéciale TechDays limitée aux 200 premières demandes, 1 pack par individu

Un pack digital offert intitulé “ Server Virtualization with Windows Server Hyper-V and System Center” comprenant le support de cours officiel Microsoft (MOC) au format digital (20409) et le coupon de certification (74-409).

A retirer exclusivement sur le stand de nos sponsors Learning Partner: Edugroupe (stand 30), Global Knowledge (stand 14), Ib (stand 74), SQLI (stand 97).

Évaluez des versions d'essai

#mstechdays Infrastructure, communication & collaboration

Microsoft System Center 2012

http://aka.ms/jeveuxmoncloudprive

http://aka.ms/free/trial

http://aka.ms/jeveuxwindows2012