Tampon ISEFAC - Web viewEvolution de l’annuaire Active Directory RTF (IFAB) Document...
Transcript of Tampon ISEFAC - Web viewEvolution de l’annuaire Active Directory RTF (IFAB) Document...
BTS SIOServices Informatiques aux OrganisationsOption SISR
Session 2016
IDJER Vincent Activité professionnelle N° 5
NATURE DE L'ACTIVITE Remise à niveau de l’Active DirectoryContexte L’Active Directory permet de centraliser l’identification et l’authentification sur le
réseau néanmoins le réseau étant arrivé à expiration au niveau des protocoles de sécurité et de biens d’autres outils il faut donc faire une mise à niveau vers un système plus performant.
Objectifs Migrer l’AD actuel vers un système plus récent avec de meilleures stratégies
de sécurité.
Lieu de réalisation
Entreprise d’accueil
SOLUTIONS ENVISAGEABLES
DESCRIPTION DE LA SOLUTION RETENUEConditions initiales
Ø
Conditions finales Réussite de la migration sans incidents pour les utilisateursOutils utilisés Assistant Windows, administration de la machine AD.
CONDITIONS DE REALISATIONMatériels Ordinateurs, réseau, plan & schéma de l’ADLogiciels Windows 8, Windows 7, Windows XP, Windows server 2012.Durée Au-delà de 7 jours
Contraintes Modifications à apporter le week-end.
COMPETENCES MISES EN OEUVRE POUR CETTE ACTIVITE PROFESSIONNELLE
A 1.2.5A 1.3.1A 1.3.4A 1.4.1A 1.4.3A 2.2.1A 2.3.1A 3.1.3A 3.2.1
Participation à un projet d’évolution d’un SI (solution applicative et d’infrastructure portant prioritairement sur le domaine de spécialité du candidat).Définition des niveaux d'habilitation associés à un service.Test d'intégration et d'acceptation d'un service.Déploiement d'un service.Participation à un projet.Gestion des ressources.Suivi et résolution d'incidents.Identification, qualification et évaluation d'un problème.Prise en compte du niveau de sécurité nécessaire à une infrastructure.Installation et configuration d'éléments d'infrastructure.
A 3.3.1A 3.3.4A 5.1.2A 5.1.3A 5.2.1A 5.2.4
Administration sur site ou à distance des éléments d'un réseau, de serveurs, …Automatisation des tâches d'administration.Recueil d'informations sur une configuration et ses éléments.Suivi d'une configuration et de ses éléments.Exploitation des référentiels, normes et standards adoptés par le prestataire.Étude d’une technologie, d'un composant, d'un outil ou d'une méthode.
DEROULEMENT DE L'ACTIVITE
Evolution de l’annuaire Active Directory RTF (IFAB)
Document d’installation
Annuaire RTF
Version 1.0
Responsabilité Rédaction ValidationNom Cyril AZOULAY (PIServices) Olivier MARTIN
Fonction Consultant ARSDate
Version Objectif / Modification Auteur Date
0.1 Première version du document Cyril AZOULAY (PIServices) 20/02/2015
1.0Validation JF. Guyot 16/03/2015
Objet du document
Ce document présente le processus d’installation des nouveaux contrôleurs de domaine de l’environnement IFAB, détaillé pas à pas.
Rédaction du document
SOMMAIRE
1. CONTEXTE...........................................................................................................4
2. MISE À JOUR ET MISE EN CONFORMITÉ AVEC LES BONNES PRATIQUES MICROSOFT...............................................................................................................4
2.1. MISE À JOUR OS DES CONTRÔLEURS DE DOMAINE................................................42.2. MISE À NIVEAU DU SCHÉMA ACTIVE DIRECTORY....................................................42.3. AUGMENTATION DU NIVEAU FONCTIONNEL DE L’AD...............................................42.4. SOURCE DE TEMPS...............................................................................................52.5. MISE EN PLACE DE GPO......................................................................................5
2.5.1. STRATÉGIE DE MOTS DE PASSE..........................................................................52.5.2. ADMINISTRATEURS LOCAUX...............................................................................62.5.3. DÉSACTIVATION DE LA CORBEILLE.....................................................................6
2.6. RÉPARTIR LES RÔLES FSMO................................................................................62.7. DÉFINIR LES SITES LOGIQUES ET GÉOGRAPHIQUES................................................72.8. NETTOYER LES OU..............................................................................................72.9. AFFINER LA NOMENCLATURE................................................................................72.10. SAUVEGARDE.....................................................................................................72.11. ADRESSAGE IP DES NOUVEAUX DC....................................................................8
3. AUTRES BESOINS EXPRIMÉS...........................................................................8
3.1. RENOMMER LE DOMAINE.......................................................................................83.2. MISE EN PLACE D’UN DHCP.................................................................................83.3. MEILLEURE IMPLÉMENTATION DE L’ANTIVIRUS SYMANTEC......................................93.4. MÉCANISME DE MISE À JOUR AUTOMATIQUE..........................................................93.5. MÉCANISME DE GESTION DES LICENCES................................................................93.6. SUPERVISION.....................................................................................................10
1. Contexte
L’infrastructure informatique dédiée à la production des journaux télévisés repose sur un annuaire Active Directory indépendant et isolé.Cet annuaire est vieillissant, son support par Microsoft n’est plus assuré (fin du support étendu de Windows 2003 le 14 juillet 2015), peu documenté et sa maitrise par les équipes est incomplète.Il a donc été décidé de procéder à sa reprise et à son évolution vers des serveurs Windows 2008 R2.
Cette reprise permettra de :Mettre l’annuaire en conformité avec les bonnes pratiques MicrosoftEtendre la validité du supportProfiter des nouvelles fonctionnalités apportées par Windows 2008 R2Transférer les compétences requises à son suivi aux équipesApporter une documentation complète
2. Rappels sur l’architecture
2.1.Architecture logique
2.2.Configuration matérielleLa forêt ADRTF est constituée de deux serveurs physiques hébergeant le rôle contrôleur de domaine et fonctionnant sous Windows 2008 R2.
Nom OS Rôle Caractéristiques VM Volumes
SPPWIFABAD01 Windows 2008 R2
Contrôleur de domaine
Serveur DNS
1x Xeon E5-2650 (8 coeurs)
16 Go RAM (4x4 Go)
NON C:\ (OS)
D:\ (Data)
SPPWIFABAD02 Windows 2008 R2
Contrôleur de domaine
Serveur DNS
1x Xeon E5-2650 (8 coeurs)
16 Go RAM (4x4 Go)
NON C:\ (OS)
D:\ (Data)
2.3.Configuration et partitionnement des volumes physiques
La présence de 2 disques physique d’une volumétrie de 146 Go chacun permet la mise en place d’un RAID 1 avec le partitionnement suivant:
Nom Lettre Volumétrie
SYSTEM C : 70 Go
DATA D : 70 Go
TOTAL 140Go
2.4.Configuration réseauEn raison de la configuration réseau « en dur » de tous les postes de l’environnement IFAB, il a été décidé de réutiliser les adresses IP des anciens contrôleurs de domaine sur les nouveaux (cf. Documents d’analyse de l’existant et du besoin) afin de limiter au maximum l’impact en termes d’accès au DNS en particulier.
De nouvelles adresses seront donc attribuées aux anciens contrôleurs de domaine.
Si des serveurs de l’environnement IFAB accèdent à des services tiers installés sur les anciens DC à l’aide de leur adresse IP, ces services ne fonctionneront plus.
Des adresses IP de transition seront également utilisées lors de la phase d’installation mais seront libérées une fois cette installation terminée.
Enfin, le NIC Teaming ne sera pas utilisé et toutes les cartes réseau supplémentaires (non utilisées) devront être désactivées.
Serveur IP Mask Gateway DNS primaire DNS Secondaire
F2P2-admin1
10.192.10.12 255.255.240.0 10.192.15.1 10.192.10.1 10.192.10.2
F2P2-admin2
10.192.10.13 255.255.240.0 10.192.15.1 10.192.10.1 10.192.10.2
SPPWIFABAD01
10.192.10.1 (IP temporaire : 10.192.10.14)
255.255.240.0 10.192.15.1 10.192.10.1 10.192.10.2
SPPWIFABAD02
10.192.10.2 (IP temporaire : 10.192.10.15)
255.255.240.0 10.192.15.1 10.192.10.2 10.192.10.1
3. Prérequis généraux
3.1.Prérequis ressourcesAvant de débuter l’installation, assurez-vous de disposer des ressources suivantes :
o Média d’installation de Windows 2012 R2 (pour adprep) :Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English.iso
o Fichier set_ntp.reg (inclus dans le DAT et le document d’analyse du besoin)
3.2.Prérequis comptes et groupesAfin de pouvoir réaliser les opérations de déploiement du rôle Active Directory et les processus de migration des anciens contrôleurs de domaine vers les nouveaux, assurez-vous de disposer d’un compte du domaine membre des groupes suivants :
- Administrateur du Domaine- Administrateur du Schéma- Administrateur de l’Enterprise
Assurez-vous également de disposer du mot de passe du compte Administrateur local utilisé dans l’environnement IFAB.
Par ailleurs, la mise en place des sauvegardes nécessite de disposer des credential du compte du NAS QNAP suivant :
P2-SSAP2\svc_backup
4. Procédures préalables
4.1.Augmentation du niveau fonctionnel vers Windows 2003L’architecture cible prévoit de passer le schéma Active Directory vers la version 2012 R2 (cf. Document d’Architecture).
Cette modification nécessite de disposer d’une forêt AD dont le niveau fonctionnel est au minimum Windows 2003 ; or elle est actuellement au niveau Windows 2000.
Se connecter au serveur F2P2-ADMIN1 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise puis :
Ouvrir la console Active Directory Domains and Trusts.
Faire un clic droit sur rtf.france2.fr
Sélectionner Raise Domain Functionnel Level.
Dans le menu déroulant « Select an available domain functional level », sélectionner Windows Server 2003.
Cliquer sur Raise puis sur OK.
Faire un clic-droit sur Active Directory Domains and Trusts
Cliquer sur Raise Forest Functional Level
Dans le menu déroulant « Select an available forest functional level », sélectionner Windows Server 2003.
Cliquer sur Raise puis sur OK.
4.2.Vérification de la réplicationAvant de continuer, vérifier que la réplication fonctionne bien.
Se connecter au serveur SPPWIFABAD01 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise.
Lancer une ligne de commande et exécuter la commande suivante :
repadmin /replsum /bysrc /bydest /sort:delta
La colonne fails doit indiquer 0 et il ne doit rien y avoir dans la colonne error.
4.3.Mise à jour du schémaL’opération de mise à jour du schéma est nécessaire afin de pouvoir promouvoir les contrôleurs de domaine en Windows 2008 R2.
Cette mise à jour sera réalisée directement vers la version Windows 2012 R2 afin d’anticiper l’arrivée de futurs contrôleurs de domaine sous Windows 2012 R2.
4.3.1. Schéma de la forêt
Se connecter au serveur SPPWIFABAD01 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise puis y extraire le média d’installation de Windows 2012 R2 dans D:\temp.
Ouvrir une ligne de commande avec les privilèges Administrator et se placer dans le dossier contenant l’outil adprep (par défaut D:\temp\supporttools\adprep)
Exécuter le processus de préparation de la forêt à l’aide de la commande adprep /forestprep
Confirmer en tapant C puis en pressant la touche Entree
Après quelques minutes, la mise à jour s’achève.
Une fois la mise à jour du schéma de la forêt achevée, il est nécessaire de vérifier sa bonne réplication sur tous les contrôleurs de domaine existants.
Cette vérification devra donc être effectuée successivement sur les serveurs F2P2-ADMIN1 et F2P2-ADMIN2.
Se connecter à un controleur de domaine (F2P2-ADMIN1 ou F2P2-ADMIN2)
Ouvrir la console ADSI Edit.
Dans le menu Action, cliquer sur Connect to.
Dans le champ Select a well known Naming Context, sélectionner Configuration.
Dans Select or type a domain or server, indiquer le controleur de domaine auquel vous êtes connecté (F2P2-ADMIN1 ou 2)
Cliquer sur OK.
Déployer l’arborescence Configuration > CN = Configuration >CN = ForestUpdates
Faire un clic-droit sur CN=ActiveDirectoryUpdate et cliquer sur Properties.
Vérifier que le champ revision indique bien la valeur 15.
Revenir à l’écran principal de la console ADSI Edit
Dans le menu Action, cliquer sur Connect to.
Dans le champ Select a well known Naming Context, sélectionner Schema.
Dans Select or type a domain or server, indiquer le controleur de domaine auquel vous êtes connecté (F2P2-ADMIN1 ou 2)
Cliquer sur OK
Faire un clic-droit sur CN=Schema,CN=Configuration,DC=rtf… et sélectionner Properties
S’assurer que le champ objectVersion est à la valeur 69
4.3.2. Schéma du domaineSe connecter au serveur SPPWIFABAD01 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise
Ouvrir une ligne de commande avec les privilèges Administrator et se placer dans le dossier contenant l’outil adprep (par défaut D:\temp\supporttools\adprep)
Exécuter le processus de préparation du domaine à l’aide de la commande adprep /domainprep
La commande s’achève très vite et indique qu’une étape supplémentaire est nécessaire.
Une fois la mise à jour du schéma du domaine achevée, il est nécessaire de vérifier sa bonne réplication sur tous les contrôleurs de domaine existants.
Cette vérification devra donc être effectuée successivement sur les serveurs F2P2-ADMIN1 et F2P2-ADMIN2.
Se connecter à un controleur de domaine (F2P2-ADMIN1 ou F2P2-ADMIN2)
Ouvrir la console ADSI Edit.
Dans le menu Action, cliquer sur Connect to.
Dans le champ Select a well known Naming Context, sélectionner Domain.
Dans Select or type a domain or server, indiquer le controleur de domaine auquel vous êtes connecté (F2P2-ADMIN1 ou 2)
Cliquer sur OK.
Déployer l’arborescence Domain > System >DomainUpdates
Faire un clic-droit sur ActiveDirectoryUpdate et sélectioner Properties.
Le champ revision doit être à la valeur 10.
4.3.3. Schéma pour les GPO
Cette mise à jour n’est normalement à réaliser qu’une fois, les futures mises à jour du schéma ne devraient pas nécessiter cette étape.
Préalablement à la mise à jour, vérifier que l’environnement est bien conforme :
Se connecter au serveur F2P2-ADMIN1 et vérifier que le dossier %windir%\SYSVOL\sysvol\rtf.France2.fr\Policies contient bien au moins les sous-dossiers suivant :
{31B2F340-016D-11D2-945F-00C04FB984F9}
{6AC1786C-016F-11D2-945F-00C04fB984F9}
Il est ensuite possible de procéder à la mise à jour :
Se connecter au serveur SPPWIFABAD01 avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Enterprise
Ouvrir une ligne de commande avec les privilèges Administrator et se placer dans le dossier contenant l’outil adprep (par défaut D:\temp\supporttools\adprep)
Exécuter le processus de préparation des GPO à l’aide de la commande adprep /domainprep /gpprep
La commande s’achève assez rapidement et indique que l’étape /domainprep était déjà effectuée puis que la mise à jour pour les GPO a été réalisée avec succès.
Reste enfin à vérifier que la mise à jour s’est bien passée :
Se connecter au serveur F2P2-ADMIN1
Ouvrir la console Active Directory Users and Computers
Faire un clic-droit sur rtf.france2.fr et cliquer sur Properties
Ouvrir l’onglet Group Policy
Sélectionner Default Domain Policy et cliquer sur Properties
Cliquer sur l’onglet Security
S’assurer que l’utilisateur ENTERPRISE DOMAIN CONTROLLERS est présent et dispose des droits en lecture (Read)
5. Promotion des nouveaux contrôleurs de domaineCette procédure est quasi-identique pour tous les nouveaux contrôleurs de domaine et devra être réalisée successivement sur chacun d’entre eux (SPPWIFABAD01 et SPPWIFABAD02)
Se connecter à un futur contrôleur de domaine (SPPWIFABAD01 ou SPPWIFABAD02) avec un compte du domaine disposant des permissions Administrateur du Domaine, Schéma, Entreprise.
Cliquer sur le menu démarrer puis lancer la commande dcpromo
Cocher la case Use advanced mode installation
Cliquer sur Next
Cliquer sur Next
Cocher Existing forest puis Add a domain controller to an existing domain.
Cliquer sur Next.
Indiquer le domaine rtf.france2.fr
Cliquer sur Next
Cliquer sur rtf.france2.fr
Cliquer sur Next
Cliquer sur Yes
Cliquer sur Default-First-Site-Name
Cliquer sur Next
Cocher DNS server et Global Catalog
Cliquer sur Next
Cliquer sur Yes
Cocher Replicate data over the network
Cliquer sur Next
Cliquer sur Use this specific domain controller et sélectionner un contrôleur de domaine existant dans le même site géographique que celui en cours de promotion.
Cliquer sur Next
Laisser les chemins par défaut et cliquer sur Next
Indiquer le mot de passe du compte Administrateur local du serveur
Cliquer sur Next
Cliquer sur Next
L’installation se déroule
Cliquer sur Finish
Cliquer sur Restart Now
6. Configuration post-promotion des nouveaux DC
6.1.Rôles FSMO « de domaine »Se connecter au serveur SPPWIFABAD01
Ouvrir la console Active Directory Users and Computers
Faire un clic-droit sur Active Directory Users and Computers et cliquer sur All tasks > Operations Masters
Dans l’onglet RID, cliquer sur Change
Dans l’onglet PDC, cliquer sur Change
Dans l’onglet Infrastructure¸cliquer sur Change
6.2.Rôles FSMO « de forêt »Se connecter au serveur SPPWIFABAD02
Ouvrir la console Active Direcotry Domains and Trusts
Faire un clic-droit sur Active Directory Domains and Trusts et sélectionner Change Active Directory Server. Sélectionner le serveur SPPWIFABAD02.
Cliquer sur OK
Faire un clic-droit sur Active Directory Domains and Trusts et sélectionner Change Operations Master.
Cliquer sur Change
Ouvrir une ligne de commande en mode administrateur et taper la commande suivante :
regsvr32 schmmgmt.dll
Cliquer sur OK
Lancer la console mmc
Cliquer sur File > Add/Remove Snap-in
Sélectionner Active Directory Schema et cliquer sur ADd
Cliquer sur OK.
Faire un clic-droit sur Active Directory Schema et sélectionner Change Active Directory Server. Sélectionner le serveur SPPWIFABAD02.
Cliquer sur OK
Faire un clic-droit sur Active Directory Schema et sélectionner Change Operations Master.
Cliquer sur Change
6.3.Adresses IPCette procédure est à effectuer successivement sur les 4 contrôleurs de domaines (2 anciens et 2 nouveaux), dans cet ordre et avec les adresses IP définitives suivantes :
1. F2P2-ADMIN1 : 10.192.10.122. SPPWIFABAD01 : 10.192.10.13. F2P2-ADMIN2 : 10.192.10.134. SPPWIFABAD02 : 10.192.10.2
Se connecter sur le serveur sur lequel l’IP doit être changée
Ouvrir les propriétés de la carte réseau
Sélectionner Internet Protocol (TCP/IP)
Cliquer sur Properties
Modifier le champ IP address avec l’adresse adéquate pour le serveur.
Cliquer sur OK.
Redémarrer le serveur et attendre qu’il soit à nouveau accessible avant de procéder au serveur suivant dans la liste.
6.4.Configuration NTPCette procédure n’est à effectuer que sur SPPWIFABAD01
Copier le fichier set_ntp.reg dans le dossier D:\temp du serveur SPPWIFABAD01
Faire un clic-droit dessus et sélectionner Merge
Valider les modifications.
Ouvrir une ligne de commande en mode Administrateur et taper la commande suivante :
Net stop w32time && net start w32time
7. Suppression des anciens DC
7.1.DépromotionCette procédure doit être réalisée successivement sur F2P2-ADMIN1 et F2P2-ADMIN2.
Se connecter sur le serveur à dépromouvoir.
Via le menu démarrer>executer, lancer la commande dcpromo
Cliquer sur Next
Cliquer sur OK
Cliquer sur Next
Taper le mot de passe du compte Administrateur local du serveur
Cliquer sur Next
Cliquer sur Finish
7.2.NettoyageSe connecter au serveur SPPWIFABAD01
Ouvrir la console Active Directory Sites and Services
Déployer l’arborescence Sites > Default-First-Site-Name>Servers
Faire un clic-droit sur F2P2-ADMIN1 et sélectionner Delete. Confirmer la suppression.
Faire un clic-droit sur F2P2-ADMIN2 et cliquer sur Delete. Confirmer la suppression.
CONCLUSIONL’AD a été modifié et améliorer pour des questions de sécurité afin de faciliter la protection, la gestion, et faire un réarrangement des clients présent et plus présents.
EVOLUTION POSSIBLE