Upload
microsoft-technet-france
View
113
Download
0
Embed Size (px)
Citation preview
tech.days 2015#mstechdays
Support de la virtualisation
• Toute les fonctionnalités d’Active Directory sont désormais compatibles avec la virtualisation
Déploiement simplifié
• Intégration des outils de préparation et de déploiement d’Active Directory
• Déploiement massif simplifié avec le clonage
• Environnement Powershell complet
Gestion simplifiée
• Interface graphique complète pour les objets supprimés et les stratégies de mot de passe
• Powershell pour gérer la réplication, la topologie et vue de l’historique des commandes
• Meilleure gestion des comptes de services de groupes
tech.days 2015#mstechdays
Fonctionnalité Schéma
2012
Schéma
2012 R2
DC
2012
PDC
2012
DFL
2012
Cloning/Safe restore* x x x
Dynamic Access Control ** x x x
Kerberos (compression de SID,
blindage,etc)
x x
Group Managed Services Accounts x x
Work folders x
Workplace join x
• ** Domain Functional level 2012 est requis pour l’utilisation du blindage de Kerberos dans tout le domaine.
• * Nécessite le support du VM-GenerationID par l’hyperviseur utilisé.
tech.days 2015#mstechdays
En déployant… Je gagne…
Le premier Serveur Membre Windows
Server 2012 R2
(ou machine d’administration plus
outils d’administration à distance RSAT)
• Active Directory Administrative Center
• Windows PowerShell History Viewer
• Interface Graphique Corbeille et stratégies de mot de passe
multiple
• Active Directory-based Activation
• Besoin de l’extension de Schéma 2012 R2
• Commandes Powershell pour la réplication et la topologie
• AD FS (v3.0)
Le premier contrôleur de domaine
Windows Server 2012 R2
• Préparation et déploiement simplifié à distance
• Dynamic Access Control policies and claims
• Kerberos Claims in AD FS (v3.0)
• Cross-domain Kerberos Constrained Delegation
• Group Managed Service Accounts
• Virtualization-Safe for the Windows Server 2012 R2 DC
• Demande un Hyperviseur qui supporte VM-Gen-ID
Bascule Windows Server 2012 DFL/FFL
et PDCE
• Déploiement rapide des DC avec clonage
• Demande un hyperviseur qui supporte le VM-Gen-ID
tech.days 2015#mstechdays
Historiquement, la virtualisation permet un datacenter plus dynamique… sauf pour l’AD…
Les contrôleurs de domaines répliquent les différences entre eux
Les snapshots introduisent donc le problème d’USN rollbacks:
Existe également un risque de création de compte avec SID dupliqués…
tech.days 2015#mstechdays
USN rollback PAS détecté: réplication uniquement des 50 utilisateurs entre les 2 DC
Les autres sont quelque part sur un DC
100 comptes utilisateurs avec un RIDs 500-599 en conflit!
tech.days 2015#mstechdays
Les contrôleurs de domaines virtuels Windows Server 2012 R2 détectent quand:
Utilisation de l’attribut (VM-generation ID) variant lorsqu’un snapshot est créé
Les DC virtuels Windows Server 2012 R2 vérifient en permanence leur VM-generation ID pour protéger l’intégrité de l’Active Directory.
En cas de changement détecté :
tech.days 2015#mstechdays
Classification des
données
Expressions de contrôle
d’accès flexibles, basées sur
les critères
- utilisateur (groupes et
claims)
- périphérique
- classification des
documents
Contrôle d’accès centralisé
via les Central Access Policies
(CAP).
Audit ciblé des accès basé
sur les classifications des
documents et l’identité des
utilisateurs.
Déploiement centralisé des
politiques d’audit via les
Global Audit Policies (GAP).
Chiffrement RMS
automatique en fonction des
classifications des
documents.
Politique d’audit via
des expressions
Conditions d’accès
basées sur les Claims
Chiffrement
Utilisation des propriétés
stockées dans Active
Directory pour la
classification des documents.
Classification automatique
des documents en fonction
de leur contenu.
tech.days 2015#mstechdays
Central Access Policy
User claimsUser.Department = Finance
User.Clearance = High
Central Access RuleApplies to: Resource.Impact = High
Allow | Read,Write | if (User.Department = Resource.Department) AND (Device.Managed = True)
Device claimsDevice.Department =
FinanceDevice.Managed = True
Resource propertiesResource.Department =
FinanceResource.Impact = High
File Server
tech.days 2015#mstechdays
• Compatibilité des applications
• Inventaire des outils/services installés sur les
DCs (Anti-virus, agent de supervision, outil de sauvegarde…)
• L’analyse de l’état de santé de votre AD ainsi
que la remédiation des points critiques et
importants
tech.days 2015#mstechdays
• Gestion de capacité: DCs/RODCs/Virtualisation
• Plan de migration Contoso.com
Contoso.com
NewContoso.com
Mise à jour
tech.days 2015#mstechdays
1. Préparer/appliquer la GPO de compatibilité selon les résultats de vos tests
2. Ajout du rôles ADDS et lancer la promotion
3. Vérification de l’état de santé de la foret
4. Valider le bon fonctionnement des applications et de l’authentification
5. Effectuer des sauvegardes et des tests de restauration
tech.days 2015#mstechdays
1. Rétrograder les anciens DCs
2. Vérifier le bon fonctionnement des applications
3. Rétrograder le dernier DC
4. Augmenter le niveau fonctionnel du domaine et de la forêt
5. Activer les nouvelles fonctionnalités (Migrer le moteur de réplication du SYSVOL: http://aka.ms/Bd8ds5 )
6. Mettre à jour les procédures opérationnelles et le plan de reprise d’activité
tech.days 2015#mstechdays
Pas besoin de passer par Windows Server 2008 R2
DFL et FFL (Tout produit hors support n’est pas testé) Pour les applications Microsoft supportés, existence de correctifs ou de meilleures pratiques, voici quelques exemples et points d’attention:
- Active Directory Replication (il est recommandé de redémarrer le service KDC)
- OCS 2007 R2 (préparer à nouveau la forêt pour ce produit)
- Applications utilisant le .NET Framework 3.5 SP1 ou une version antérieure (existence d’un fix http://support.microsoft.com/kb/2260240)
tech.days 2015#mstechdays
AD V.Next n’est pas Azure AD
AD V.Next ne sera pas disponible en 2015
Azure AD intégrera prochainement un service d’annuaire d’infrastructure Azure AD Domaine Services actuellement preview