BTS SIOServices Informatiques aux OrganisationsOption SISR

Session 2016

IDJER Vincent Activité professionnelle N° 5

NATURE DE L'ACTIVITE Remise à niveau de l’Active DirectoryContexte L’Active Directory permet de centraliser l’identification et l’authentification sur le

réseau néanmoins le réseau étant arrivé à expiration au niveau des protocoles de sécurité et de biens d’autres outils il faut donc faire une mise à niveau vers un système plus performant.

Objectifs Migrer l’AD actuel vers un système plus récent avec de meilleures stratégies

de sécurité.

Lieu de réalisation

Entreprise d’accueil

SOLUTIONS ENVISAGEABLES

DESCRIPTION DE LA SOLUTION RETENUEConditions initiales

Ø

Conditions finales Réussite de la migration sans incidents pour les utilisateursOutils utilisés Assistant Windows, administration de la machine AD.

CONDITIONS DE REALISATIONMatériels Ordinateurs, réseau, plan & schéma de l’ADLogiciels Windows 8, Windows 7, Windows XP, Windows server 2012.Durée Au-delà de 7 jours

Contraintes Modifications à apporter le week-end.

COMPETENCES MISES EN OEUVRE POUR CETTE ACTIVITE PROFESSIONNELLE

A 1.2.5A 1.3.1A 1.3.4A 1.4.1A 1.4.3A 2.2.1A 2.3.1A 3.1.3A 3.2.1

Participation à un projet d’évolution d’un SI (solution applicative et d’infrastructure portant prioritairement sur le domaine de spécialité du candidat).Définition des niveaux d'habilitation associés à un service.Test d'intégration et d'acceptation d'un service.Déploiement d'un service.Participation à un projet.Gestion des ressources.Suivi et résolution d'incidents.Identification, qualification et évaluation d'un problème.Prise en compte du niveau de sécurité nécessaire à une infrastructure.Installation et configuration d'éléments d'infrastructure.

A 3.3.1A 3.3.4A 5.1.2A 5.1.3A 5.2.1A 5.2.4

Administration sur site ou à distance des éléments d'un réseau, de serveurs, …Automatisation des tâches d'administration.Recueil d'informations sur une configuration et ses éléments.Suivi d'une configuration et de ses éléments.Exploitation des référentiels, normes et standards adoptés par le prestataire.Étude d’une technologie, d'un composant, d'un outil ou d'une méthode.

DEROULEMENT DE L'ACTIVITE

Evolution de l’annuaire Active Directory RTF (IFAB)

Document d’installation

Annuaire RTF

Version 1.0

Responsabilité Rédaction ValidationNom Cyril AZOULAY (PIServices) Olivier MARTIN

Fonction Consultant ARSDate

Version Objectif / Modification Auteur Date

0.1 Première version du document Cyril AZOULAY (PIServices) 20/02/2015

1.0Validation JF. Guyot 16/03/2015

Objet du document

Ce document présente le processus d’installation des nouveaux contrôleurs de domaine de l’environnement IFAB, détaillé pas à pas.

Rédaction du document

SOMMAIRE

1. CONTEXTE...........................................................................................................4

2. MISE À JOUR ET MISE EN CONFORMITÉ AVEC LES BONNES PRATIQUES MICROSOFT...............................................................................................................4

2.1. MISE À JOUR OS DES CONTRÔLEURS DE DOMAINE................................................42.2. MISE À NIVEAU DU SCHÉMA ACTIVE DIRECTORY....................................................42.3. AUGMENTATION DU NIVEAU FONCTIONNEL DE L’AD...............................................42.4. SOURCE DE TEMPS...............................................................................................52.5. MISE EN PLACE DE GPO......................................................................................5

2.5.1. STRATÉGIE DE MOTS DE PASSE..........................................................................52.5.2. ADMINISTRATEURS LOCAUX...............................................................................62.5.3. DÉSACTIVATION DE LA CORBEILLE.....................................................................6

2.6. RÉPARTIR LES RÔLES FSMO................................................................................62.7. DÉFINIR LES SITES LOGIQUES ET GÉOGRAPHIQUES................................................72.8. NETTOYER LES OU..............................................................................................72.9. AFFINER LA NOMENCLATURE................................................................................72.10. SAUVEGARDE.....................................................................................................72.11. ADRESSAGE IP DES NOUVEAUX DC....................................................................8

3. AUTRES BESOINS EXPRIMÉS...........................................................................8

3.1. RENOMMER LE DOMAINE.......................................................................................83.2. MISE EN PLACE D’UN DHCP.................................................................................83.3. MEILLEURE IMPLÉMENTATION DE L’ANTIVIRUS SYMANTEC......................................93.4. MÉCANISME DE MISE À JOUR AUTOMATIQUE..........................................................93.5. MÉCANISME DE GESTION DES LICENCES................................................................93.6. SUPERVISION.....................................................................................................10

1. Contexte

L’infrastructure informatique dédiée à la production des journaux télévisés repose sur un annuaire Active Directory indépendant et isolé.Cet annuaire est vieillissant, son support par Microsoft n’est plus assuré (fin du support étendu de Windows 2003 le 14 juillet 2015), peu documenté et sa maitrise par les équipes est incomplète.Il a donc été décidé de procéder à sa reprise et à son évolution vers des serveurs Windows 2008 R2.

Cette reprise permettra de :Mettre l’annuaire en conformité avec les bonnes pratiques MicrosoftEtendre la validité du supportProfiter des nouvelles fonctionnalités apportées par Windows 2008 R2Transférer les compétences requises à son suivi aux équipesApporter une documentation complète

2. Rappels sur l’architecture

2.1.Architecture logique

2.2.Configuration matérielleLa forêt ADRTF est constituée de deux serveurs physiques hébergeant le rôle contrôleur de domaine et fonctionnant sous Windows 2008 R2.

Nom OS Rôle Caractéristiques VM Volumes

SPPWIFABAD01 Windows 2008 R2

Contrôleur de domaine

Serveur DNS

1x Xeon E5-2650 (8 coeurs)

16 Go RAM (4x4 Go)

NON C:\ (OS)

D:\ (Data)

SPPWIFABAD02 Windows 2008 R2

Contrôleur de domaine

Serveur DNS

1x Xeon E5-2650 (8 coeurs)

16 Go RAM (4x4 Go)

NON C:\ (OS)

D:\ (Data)

2.3.Configuration et partitionnement des volumes physiques

La présence de 2 disques physique d’une volumétrie de 146 Go chacun permet la mise en place d’un RAID 1 avec le partitionnement suivant:

Nom Lettre Volumétrie

SYSTEM C : 70 Go

DATA D : 70 Go

TOTAL 140Go

2.4.Configuration réseauEn raison de la configuration réseau « en dur » de tous les postes de l’environnement IFAB, il a été décidé de réutiliser les adresses IP des anciens contrôleurs de domaine sur les nouveaux (cf. Documents d’analyse de l’existant et du besoin) afin de limiter au maximum l’impact en termes d’accès au DNS en particulier.

De nouvelles adresses seront donc attribuées aux anciens contrôleurs de domaine.

Si des serveurs de l’environnement IFAB accèdent à des services tiers installés sur les anciens DC à l’aide de leur adresse IP, ces services ne fonctionneront plus.

Des adresses IP de transition seront également utilisées lors de la phase d’installation mais seront libérées une fois cette installation terminée.

Enfin, le NIC Teaming ne sera pas utilisé et toutes les cartes réseau supplémentaires (non utilisées) devront être désactivées.

Serveur IP Mask Gateway DNS primaire DNS Secondaire

F2P2-admin1

10.192.10.12 255.255.240.0 10.192.15.1 10.192.10.1 10.192.10.2

F2P2-admin2

10.192.10.13 255.255.240.0 10.192.15.1 10.192.10.1 10.192.10.2

SPPWIFABAD01

10.192.10.1 (IP temporaire : 10.192.10.14)

255.255.240.0 10.192.15.1 10.192.10.1 10.192.10.2

SPPWIFABAD02

10.192.10.2 (IP temporaire : 10.192.10.15)

255.255.240.0 10.192.15.1 10.192.10.2 10.192.10.1

3. Prérequis généraux

3.1.Prérequis ressourcesAvant de débuter l’installation, assurez-vous de disposer des ressources suivantes :

o Média d’installation de Windows 2012 R2 (pour adprep) :Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English.iso

o Fichier set_ntp.reg (inclus dans le DAT et le document d’analyse du besoin)

3.2.Prérequis comptes et groupesAfin de pouvoir réaliser les opérations de déploiement du rôle Active Directory et les processus de migration des anciens contrôleurs de domaine vers les nouveaux, assurez-vous de disposer d’un compte du domaine membre des groupes suivants :

- Administrateur du Domaine- Administrateur du Schéma- Administrateur de l’Enterprise

Assurez-vous également de disposer du mot de passe du compte Administrateur local utilisé dans l’environnement IFAB.

Par ailleurs, la mise en place des sauvegardes nécessite de disposer des credential du compte du NAS QNAP suivant :

P2-SSAP2\svc_backup

4. Procédures préalables

4.1.Augmentation du niveau fonctionnel vers Windows 2003L’architecture cible prévoit de passer le schéma Active Directory vers la version 2012 R2 (cf. Document d’Architecture).

Cette modification nécessite de disposer d’une forêt AD dont le niveau fonctionnel est au minimum Windows 2003 ; or elle est actuellement au niveau Windows 2000.

Se connecter au serveur F2P2-ADMIN1 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise puis :

Ouvrir la console Active Directory Domains and Trusts.

Faire un clic droit sur rtf.france2.fr

Sélectionner Raise Domain Functionnel Level.

Dans le menu déroulant « Select an available domain functional level », sélectionner Windows Server 2003.

Cliquer sur Raise puis sur OK.

Faire un clic-droit sur Active Directory Domains and Trusts

Cliquer sur Raise Forest Functional Level

Dans le menu déroulant « Select an available forest functional level », sélectionner Windows Server 2003.

Cliquer sur Raise puis sur OK.

4.2.Vérification de la réplicationAvant de continuer, vérifier que la réplication fonctionne bien.

Se connecter au serveur SPPWIFABAD01 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise.

Lancer une ligne de commande et exécuter la commande suivante :

repadmin /replsum /bysrc /bydest /sort:delta

La colonne fails doit indiquer 0 et il ne doit rien y avoir dans la colonne error.

4.3.Mise à jour du schémaL’opération de mise à jour du schéma est nécessaire afin de pouvoir promouvoir les contrôleurs de domaine en Windows 2008 R2.

Cette mise à jour sera réalisée directement vers la version Windows 2012 R2 afin d’anticiper l’arrivée de futurs contrôleurs de domaine sous Windows 2012 R2.

4.3.1. Schéma de la forêt

Se connecter au serveur SPPWIFABAD01 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise puis y extraire le média d’installation de Windows 2012 R2 dans D:\temp.

Ouvrir une ligne de commande avec les privilèges Administrator et se placer dans le dossier contenant l’outil adprep (par défaut D:\temp\supporttools\adprep)

Exécuter le processus de préparation de la forêt à l’aide de la commande adprep /forestprep

Confirmer en tapant C puis en pressant la touche Entree

Après quelques minutes, la mise à jour s’achève.

Une fois la mise à jour du schéma de la forêt achevée, il est nécessaire de vérifier sa bonne réplication sur tous les contrôleurs de domaine existants.

Cette vérification devra donc être effectuée successivement sur les serveurs F2P2-ADMIN1 et F2P2-ADMIN2.

Se connecter à un controleur de domaine (F2P2-ADMIN1 ou F2P2-ADMIN2)

Ouvrir la console ADSI Edit.

Dans le menu Action, cliquer sur Connect to.

Dans le champ Select a well known Naming Context, sélectionner Configuration.

Dans Select or type a domain or server, indiquer le controleur de domaine auquel vous êtes connecté (F2P2-ADMIN1 ou 2)

Cliquer sur OK.

Déployer l’arborescence Configuration > CN = Configuration >CN = ForestUpdates

Faire un clic-droit sur CN=ActiveDirectoryUpdate et cliquer sur Properties.

Vérifier que le champ revision indique bien la valeur 15.

Revenir à l’écran principal de la console ADSI Edit

Dans le menu Action, cliquer sur Connect to.

Dans le champ Select a well known Naming Context, sélectionner Schema.

Dans Select or type a domain or server, indiquer le controleur de domaine auquel vous êtes connecté (F2P2-ADMIN1 ou 2)

Cliquer sur OK

Faire un clic-droit sur CN=Schema,CN=Configuration,DC=rtf… et sélectionner Properties

S’assurer que le champ objectVersion est à la valeur 69

4.3.2. Schéma du domaineSe connecter au serveur SPPWIFABAD01 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise

Ouvrir une ligne de commande avec les privilèges Administrator et se placer dans le dossier contenant l’outil adprep (par défaut D:\temp\supporttools\adprep)

Exécuter le processus de préparation du domaine à l’aide de la commande adprep /domainprep

La commande s’achève très vite et indique qu’une étape supplémentaire est nécessaire.

Une fois la mise à jour du schéma du domaine achevée, il est nécessaire de vérifier sa bonne réplication sur tous les contrôleurs de domaine existants.

Cette vérification devra donc être effectuée successivement sur les serveurs F2P2-ADMIN1 et F2P2-ADMIN2.

Se connecter à un controleur de domaine (F2P2-ADMIN1 ou F2P2-ADMIN2)

Ouvrir la console ADSI Edit.

Dans le menu Action, cliquer sur Connect to.

Dans le champ Select a well known Naming Context, sélectionner Domain.

Dans Select or type a domain or server, indiquer le controleur de domaine auquel vous êtes connecté (F2P2-ADMIN1 ou 2)

Cliquer sur OK.

Déployer l’arborescence Domain > System >DomainUpdates

Faire un clic-droit sur ActiveDirectoryUpdate et sélectioner Properties.

Le champ revision doit être à la valeur 10.

4.3.3. Schéma pour les GPO

Cette mise à jour n’est normalement à réaliser qu’une fois, les futures mises à jour du schéma ne devraient pas nécessiter cette étape.

Préalablement à la mise à jour, vérifier que l’environnement est bien conforme :

Se connecter au serveur F2P2-ADMIN1 et vérifier que le dossier %windir%\SYSVOL\sysvol\rtf.France2.fr\Policies contient bien au moins les sous-dossiers suivant :

{31B2F340-016D-11D2-945F-00C04FB984F9}

{6AC1786C-016F-11D2-945F-00C04fB984F9}

Il est ensuite possible de procéder à la mise à jour :

Se connecter au serveur SPPWIFABAD01 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise

Ouvrir une ligne de commande avec les privilèges Administrator et se placer dans le dossier contenant l’outil adprep (par défaut D:\temp\supporttools\adprep)

Exécuter le processus de préparation des GPO à l’aide de la commande adprep /domainprep /gpprep

La commande s’achève assez rapidement et indique que l’étape /domainprep était déjà effectuée puis que la mise à jour pour les GPO a été réalisée avec succès.

Reste enfin à vérifier que la mise à jour s’est bien passée :

Se connecter au serveur F2P2-ADMIN1

Ouvrir la console Active Directory Users and Computers

Faire un clic-droit sur rtf.france2.fr et cliquer sur Properties

Ouvrir l’onglet Group Policy

Sélectionner Default Domain Policy et cliquer sur Properties

Cliquer sur l’onglet Security

S’assurer que l’utilisateur ENTERPRISE DOMAIN CONTROLLERS est présent et dispose des droits en lecture (Read)

5. Promotion des nouveaux contrôleurs de domaineCette procédure est quasi-identique pour tous les nouveaux contrôleurs de domaine et devra être réalisée successivement sur chacun d’entre eux (SPPWIFABAD01 et SPPWIFABAD02)

Se connecter à un futur contrôleur de domaine (SPPWIFABAD01 ou SPPWIFABAD02) avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Entreprise.

Cliquer sur le menu démarrer puis lancer la commande dcpromo

Cocher la case Use advanced mode installation

Cliquer sur Next

Cliquer sur Next

Cocher Existing forest puis Add a domain controller to an existing domain.

Cliquer sur Next.

Indiquer le domaine rtf.france2.fr

Cliquer sur Next

Cliquer sur rtf.france2.fr

Cliquer sur Next

Cliquer sur Yes

Cliquer sur Default-First-Site-Name

Cliquer sur Next

Cocher DNS server et Global Catalog

Cliquer sur Next

Cliquer sur Yes

Cocher Replicate data over the network

Cliquer sur Next

Cliquer sur Use this specific domain controller et sélectionner un contrôleur de domaine existant dans le même site géographique que celui en cours de promotion.

Cliquer sur Next

Laisser les chemins par défaut et cliquer sur Next

Indiquer le mot de passe du compte Administrateur local du serveur

Cliquer sur Next

Cliquer sur Next

L’installation se déroule

Cliquer sur Finish

Cliquer sur Restart Now

6. Configuration post-promotion des nouveaux DC

6.1.Rôles FSMO « de domaine »Se connecter au serveur SPPWIFABAD01

Ouvrir la console Active Directory Users and Computers

Faire un clic-droit sur Active Directory Users and Computers et cliquer sur All tasks > Operations Masters

Dans l’onglet RID, cliquer sur Change

Dans l’onglet PDC, cliquer sur Change

Dans l’onglet Infrastructure¸cliquer sur Change

6.2.Rôles FSMO « de forêt »Se connecter au serveur SPPWIFABAD02

Ouvrir la console Active Direcotry Domains and Trusts

Faire un clic-droit sur Active Directory Domains and Trusts et sélectionner Change Active Directory Server. Sélectionner le serveur SPPWIFABAD02.

Cliquer sur OK

Faire un clic-droit sur Active Directory Domains and Trusts et sélectionner Change Operations Master.

Cliquer sur Change

Ouvrir une ligne de commande en mode administrateur et taper la commande suivante :

regsvr32 schmmgmt.dll

Cliquer sur OK

Lancer la console mmc

Cliquer sur File > Add/Remove Snap-in

Sélectionner Active Directory Schema et cliquer sur ADd

Cliquer sur OK.

Faire un clic-droit sur Active Directory Schema et sélectionner Change Active Directory Server. Sélectionner le serveur SPPWIFABAD02.

Cliquer sur OK

Faire un clic-droit sur Active Directory Schema et sélectionner Change Operations Master.

Cliquer sur Change

6.3.Adresses IPCette procédure est à effectuer successivement sur les 4 contrôleurs de domaines (2 anciens et 2 nouveaux), dans cet ordre et avec les adresses IP définitives suivantes :

1. F2P2-ADMIN1 : 10.192.10.122. SPPWIFABAD01 : 10.192.10.13. F2P2-ADMIN2 : 10.192.10.134. SPPWIFABAD02 : 10.192.10.2

Se connecter sur le serveur sur lequel l’IP doit être changée

Ouvrir les propriétés de la carte réseau

Sélectionner Internet Protocol (TCP/IP)

Cliquer sur Properties

Modifier le champ IP address avec l’adresse adéquate pour le serveur.

Cliquer sur OK.

Redémarrer le serveur et attendre qu’il soit à nouveau accessible avant de procéder au serveur suivant dans la liste.

6.4.Configuration NTPCette procédure n’est à effectuer que sur SPPWIFABAD01

Copier le fichier set_ntp.reg dans le dossier D:\temp du serveur SPPWIFABAD01

Faire un clic-droit dessus et sélectionner Merge

Valider les modifications.

Ouvrir une ligne de commande en mode Administrateur et taper la commande suivante :

Net stop w32time && net start w32time

7. Suppression des anciens DC

7.1.DépromotionCette procédure doit être réalisée successivement sur F2P2-ADMIN1 et F2P2-ADMIN2.

Se connecter sur le serveur à dépromouvoir.

Via le menu démarrer>executer, lancer la commande dcpromo

Cliquer sur Next

Cliquer sur OK

Cliquer sur Next

Taper le mot de passe du compte Administrateur local du serveur

Cliquer sur Next

Cliquer sur Finish

7.2.NettoyageSe connecter au serveur SPPWIFABAD01

Ouvrir la console Active Directory Sites and Services

Déployer l’arborescence Sites > Default-First-Site-Name>Servers

Faire un clic-droit sur F2P2-ADMIN1 et sélectionner Delete. Confirmer la suppression.

Faire un clic-droit sur F2P2-ADMIN2 et cliquer sur Delete. Confirmer la suppression.

CONCLUSIONL’AD a été modifié et améliorer pour des questions de sécurité afin de faciliter la protection, la gestion, et faire un réarrangement des clients présent et plus présents.

EVOLUTION POSSIBLE