Bienvenue

About This Presentation

Title:

Bienvenue

Description:

Comment planifier, d ployer , administrer une infrastructure serveurs ... Pour une bonne compr hension de cette session, il est pr f rable que vous ayez une exp rience dans les ... – PowerPoint PPT presentation

Number of Views:157

Avg rating:3.0/5.0

Slides: 85

Provided by: tech73

Category:

more less

Transcript and Presenter's Notes

Title: Bienvenue

1
Bienvenue
2
Migration vers Windows 2000 et gestion d'un
annuaire d'entreprise

Comment planifier, déployer , administrer une
infrastructure serveurs Microsoft Windows 2000

3
Logistique
Vos questions sont les bienvenues. Nhésitez pas
!
Pause en milieu de session
Feuille dévaluation à remettre remplie en fin de
session
Mallette
Merci déteindre vos téléphones
Commodités
4
Prérequis

Pour une bonne compréhension de cette session, il
est préférable que vous ayez une expérience dans
les domaines suivants
Microsoft Windows NT 4.0
Active Directory (notions de base)
Ce séminaire est dun niveau
Confirmé

5
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

6
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

7
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

8
Définition de l'espace de noms Active Directory

Ne pas hésiter à viser les topologies idéales
Doit déboucher sur des livrables
Espace de noms des domaines AD et DNS
Topologie d'OU
Topologie de sites

9
Quelques rappels...Qu'est-ce qu'Active Directory
?

AD de MS Windows 2000
La même chose, plus
Contacts
Groupes de distribution
Groupes Universels
Groupes Locaux de domaine
OU
Dossiers publiés
Imprimantes publiées
GPO
Eléments de configuration de services (DNS, RPC,
DFS)
Accès par des protocoles standard (LDAP, DNS)
Peut contenir des millions d'objets

SAM de MS Windows NT
Contient
Comptes utilisateurs
Groupes Globaux
Groupes Locaux
Comptes spéciaux
Stratégies de comptes
Stratégies d'audit
Stratégies des droits utilisateur
40Mo maxi recommandés

10
Quelques rappels...Rôle des serveurs

Un serveur Windows NT peut être
Contrôleur Principal de Domaine (PDC)
Contrôleur Secondaire de Dmaine (BDC)
Serveur Membre
Un Serveur Windows 2000 peut être
Contrôleur de Domaine (DC)
Serveur Membre

11
Quelques rappels...Topologie dune forêt
Forêt

Domaine

Arbre
Arbre
12
Quelques rappels...Topologie dune forêt
Forêt

Domaine

Arbre
Arbre
de.tic.com
13
Quelques rappels...Relations dapprobation

3 types de relations d'approbation

Externes (inter-forêt)
Unidirectionnelles
Non Transitives

Implicites
Bidirectionnelles
Transitives

Explicites (raccourcis)
Unidirectionnelles
Transitives

14
Quelques rappels...Caractéristiques dune forêt

Dans une forêt, les domaines partagent
Un même Schéma
Une même Partition de Configuration
Un même Catalogue Global
Dans un arbre, les domaines
Sont liés entre eux par des relations
d'approbation
Bidirectionnelles
Transitives
Définissent un espace de noms contigu

15
Quelques rappels...Caractéristiques dun domaine

C'est une unité structurante de la forêt
C'est une unité de réplication
Partition de Domaine
Permet de limiter les volumes de réplication
C'est une unité d'administration
Les Stratégies de Délégation ne franchissent pas
les frontières du Domaine
Les Stratégies de Groupes et de Sécurité ne
franchissent pas les frontières du Domaine
Tout domaine dispose d'un nom DNS

16
Espace de noms des domainesQuestions posées

Combien de forêts ?
Combien de domaines dans chaque forêt ?
Comment agencer ces domaines ?
Comment ces domaines s'appelleront-ils ?

17
Espace de noms des domainesCombien de forêts ?

Au départ Une forêt
Une forêt de plus ? Il faut argumenter !
Nécessité de préserver des schémas distincts
Refus de dévoiler ma topologie de Domaines
Désaccord sur la composition des groupes
sensibles
Administrateurs de Schéma
Administrateurs de l'Entreprise
Souhait de conserver la maîtrise des approbations

18
Espace de noms des domainesCombien de forêts ?
Contraintes

Un domaine ne peut pas changer de forêt
Déplacement d'objets
On sait migrer des objets d'un domaine vers un
autre
Mais ce n'est pas toujours une opération anodine
!
On ne sait pas interroger le Catalogue Global
d'une autre forêt ...
... A moins de passer par un Méta-Annuaire ?

19
Espace de noms des domainesCombien de domaines ?

Au départ Un domaine
Un domaine de plus ? Il faut argumenter !
Délégation ne suffit pas
Nécessité de mettre en uvre des stratégies
spécifiques de
Gestion des mots de passe
Verrouillage des comptes
Gestion des tickets Kerberos
Soucis d'optimiser la réplication
Restructuration prévue, mais plus tard

20
Espace de noms des domainesDéfinition de la
racine de la forêt

Le premier domaine créé devient la racine de la
forêt
Il donne son nom à la forêt
Il héberge deux groupes sensibles
Admins de l'entreprise
Admins du Schéma
Choix d'un domaine Racine
A choisir parmi les domaines définis précédemment
Ou a créer pour les besoins de la cause

21
Espace de noms des domainesNommage des domaines

Tout domaine AD est repéré par un nom DNS
Domaines AD vs Domaines DNS
Domaine AD ? Organisation logique des objets AD
Domaine DNS ? Localiser des hôtes et des services
Nom du domaine racine
Détermine l'espace de nom de tout l'arbre
Ne peut (pratiquement) pas être modifié
Doit permettre d'intégrer de façon harmonieuse
toutes les entités présentes et à venir de
l'arbre

22
Espace de noms des domainesRègles de Nommage

Affecter un nom à chaque domaine, en partant de
la racine de chaque arbre
Ne pas s'écarter des "standard"
RFC 1123 A ? Z 0 ? 9 -
Eviter Unicode
Utiliser des noms DNS enregistrés
Draft ".local" a été abandonnée
Préférer les noms courts

23
Espace de noms des domainesEspaces de noms privé
et public

Quel nom pour la Racine ?
Tfc.fr ?
Vieuxchaudron.fr ?
Eviter les recouvrements
En choisissant des noms différents
En choisissant un sous-domaine du domaine public

24
Topologie d'OURôles des unités organisationnelles

Les OU peuvent servir à
Organiser les objets
Ne pas tout montrer à tout le monde
Définir des périmètres de délégation
Définir des périmètres d'application pour les GPO
Une OU contient des objets et pas des références
à des objets
Une OU n'est pas un Security Principal

25
Topologie d'OUOrganisation des OU

Les OU sont faites pour faciliter la vie des
administrateurs, pas celle des utilisateurs
Penser en termes d'organisation administrative
Qui gère quoi ?
Qui décide de qui gère quoi ?
Préférer les arbres larges plutôt que profonds
Raffiner la topologie plus tard reste possible
Facile à créer, déplacer, supprimer, renommer
Point délicat évaluer les conséquences sur la
délégation et l'application des GPO

26
Topologie de sitesNotion de site Active Directory

Qu'est-ce qu'un Site ?
Ensemble de machines "bien communicantes"
Défini comme un agrégat de subnets IP
Suppose un subnetting géographique
Qui utilise les sites ?
Station ? Localiser un DC proche
KCC ? Limiter le trafic de réplication sur
liaisons lentes
Client DFS ? Localiser un replica proche
Utilisateur ? Localiser une imprimante proche

27
Topologie de sitesDéfinition dune topologie de
réplication

Qui réplique avec qui ?
Tout automatique Le KCC est livré à lui-même
Semi-automatique
Fournir quelques indices au KCC
Créer manuellement quelques connexions
Ajouter de liens de site
Désigner des têtes de pont
Tout manuel
Créer toutes les connexions manuellement
Inhiber le KCC Q242780

28
Topologie de sitesRéplication inter-sites et
intra-sites
29
Topologie de sitesQuelques règles simples

Sur chaque site, prévoir
Un Global Catalog Server
De préférence tête de pont
Ne doit pas être Infrastructure Master
Du DNS qui marche !
Eviter de créer des sites sans DC
Toute correction reste possible
Créer/Supprimer des subnets
Ajouter/Supprimer des sites et des liens de site
Affecter des serveurs à des sites
? Surveiller le journal "Active Directory" !

30
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

31
Auditer la source

Etablir la topologie de domaines NT
Séquencer les opérations de migration
Définir des règles de nommage communes
Assainir les bases de comptes NT et Exchange
Identifier les machines qui poseront problème

32
Auditer la sourceTopologie de domaines NT de
l'environnement de départ
33
Auditer la sourceSchéma de principe de
déplacement des principals
utils
utils
utils ordis
ordis
34
Auditer la sourceMigration sur place vs.
restructuration

Migration "In Place"

Caractéristiques
Retour arrière délicat
Envisageable si
peu de DC dans le domaine source
Topologies de domaines identiques au départ et à
l'arrivée

35
Auditer la sourceMigration sur place vs.
restructuration

Migration "Restructuration"

Cloner

Caractéristiques
Migration "ceinture et bretelles"
Permet de migrer et de restructurer en une seule
opération

36
Auditer la sourceDéfinition des règles de
nommage communes

Choix d'un suffixe UPN

Harmoniser des règles de nommage
Pour le DN Nom Prénom ou Prénom Nom
Traitement des noms composés
Définir une règle commune pour le Logon Name

37
Auditer la sourceAssainir la base des comptes NT
A quitté la société depuis 3 ans
Groupes redondants mêmes membres
Pas de mot de passe
Pas de membres
Compte désactivé
Plus personne ne sait pourquoi ce groupe existe
Compte verrouillé
38
Auditer la sourceIdentification des machines qui
poseront problème
100 à 400Mo despace disque restant
100Mo despace disque restant
16 Mo RAM
Utilise uniquement IPX/SPX
P166 - 64 MB RAM
486 - 66 MHz
39
Auditer la sourceElimination des trous de
sécurité
Admins du domaine
Serveur NT 4.0
Groupe Ventes
Lucien
Groupe Dépôt
Sandrine
Frank
Invité
Administrateurs
Etat de départ
40
Auditer la sourceElimination des trous de
sécurité
Droits Utilisateur ?
Permissions NTFS?
Admins du domaine
Serveur NT 4.0
Groupe Ventes
Lucien
Groupe Dépôt
Sandrine
Frank
Invité
Mot de passe des comptes locaux "Administrateur"
et "Invité"?
Administrateurs
41
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

42
Planifier les services

Localisation d'un contrôleur de domaine
DNS et Active Directory
Planifier DHCP et WINS
Mise à disposition des scripts
Stratégies système et GPO

43
Planifier les services
Localisation d'un Contrôleur de domaine

Un piège à éviter
Toutes les stations seront authentifiées par le
même DC Windows 2000
Pas d'équilibrage de charge
Risque d'authentification par un DC éloigné
NLTEST Réinitialiser le Secure Channel

Pour pouvoir bénéficier des sites
Il faut utiliser le nouveau Locator
Windows 2000
W9x AD Client
Il faut être dans un domaine Windows 2000

44
Planifier les services
DNS et Active Directory

Active Directory a besoin de DNS pour
Résoudre des noms d'hôtes
Localiser des services
Serveurs ldap (DC)
Serveur de Catalogue Global
Pour supporter Active Directory
Les Primaires et les secondaires doivent gérer
les enregistrements SRV
BIND ? 4.9.6
Le Primaire devrait savoir gérer les mises à jour
dynamiques
BIND ? 8.1.2

45
Planifier les services
DNS Choisir la bonne plate-forme

Si un serveur DNS ne satisfait pas aux critères
Mise à jour vers une version qui supporte
Création d'un domaine délégué confié à un DNS qui
supporte
Les petits plus du DNS Windows 2000
Intégration Active Directory
ACL sur les enregistrements DNS
Horodatage et nettoyage automatique
Tri par subnet
IXFR

46
Planifier les services
Planifier DHCP et WINS

Mes anciennes infrastructures DHCP et WINS
restent opérationnelles
Migration vers DHCP 2000 m'offre
Enregistrement des clients pre-Windows 2000 dans
DNS
Gestion des Classes d'Option

47
Planifier les services
Planifier DHCP et WINS

Pour que les clients Windows 2000 résolvent les
noms des clients pre-Windows 2000
Activer le forwarding WINS pour la zone AD
ou Activer le mandatement DHCP pour que les
clients pre-Windows 2000 s'enregistrent dans DNS
Pour que les clients pre-Windows 2000 résolvent
les noms des clients Windows 2000
Leur attribuer l'adresse du serveur DNS via DHCP

48
Planifier les services
Mise à disposition des scripts

Sous MS Windows NT
Scripts recherchés sur \\DC\Netlogon
Disponibilité nécessite la bonne configuration du
service "Duplication de répertoires"
Sous MS Windows 2000
Scripts recherchés sur \\DC\Netlogon
Disponibilité garantie par le bon fonctionnement
du service "File Replication Service" (FRS)
Les deux services sont incompatibles
? Prévoir un "pont" en environnement mixte

49
Planifier les services
Mise à disposition des scripts

File Replication Service
Duplication Multi-maître et "Site Aware"
Permet le filtrage des données exportées
Réplication de Sysvol
C\Winnt\Sysvol\...\Scripts partagé en Netlogon
Replica Set automatiquement créé par le KCC
Utilise les mêmes objets connexions que AD
Intra-site duplication "immédiate"
Inter-site 1 heure à 15 minutes
Diagnostic ? NTFRSUTIL

50
Planifier les services
Présentation des GPO

Des paramètres de configuration pour
Distribution de logiciels (packages MSI)
Sécurité Stratégies de comptes, droits, audit
Scripts Logon, Logoff, Startup, Shutdown
Administrative Templates (Registre)
ntconfig.pol
Redirection de dossiers
Règles d'héritage et de filtrage
Rafraîchissement en cours de session
Application non persistante des stratégies
Réplication prise en charge par FRS et AD
Diagnostic ? GPRESULT, GPOTOOL

51
Planifier les services
GPO et Stratégies système en environnement mixte

Clients Windows NT et W9x
Ignorent les GPO
Copier ntconfig.pol vers \\DC\Netlogon d'un DC
Windows 2000
Client Windows 2000
Utiliser les GPO
Attention il sait aussi consulter ntconfig.pol
!
? Ca se complique si le compte d'ordinateur et/ou
le compte d'utilisateur sont dans un domaine NT 4

52
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

53
Mise à niveau et restructuration
Migration de domaine
Windows 2000
Windows 2000
Windows NT 4
Mise à niveau de domaine
Restructuration de domaine
1
OU
OU
2
3
2
3
Mise à niveau
Restructuration

Maintien du modèle domaine actuel
Maintien de la plupart des paramètres du
système, des préférences et des
installations d'applications

Résultat domaines moins nombreux mais plus
volumineux
Possible réduction de la charge administrative

54
1ère solution de Mise à niveau Mise à jour,
Actualisation, upgrade

Mise à jour en lieu et place
La stratégie la plus simple, la plus sûre
(retour arrière possible)
Maintient la structure existante

Mise à jour
DMC Domaine Maître de Comptes (MUD)
55
Considérations sur la mise à jourÉtapes de la
mise à jour
56
Mise à jour dun domaine

Garder un BDC offline

Windows NT4
Mode Mixte

Mise à jour du PDC

Mise à jour des BDCs

57
Basculement en mode natif

Mode natif plus de BDC NT
Raisons de basculer en mode natif
Gestion des groupes imbrication, groupes
universels
Permettre au domaine dêtre une cible de
restructuration
Éviter les limitations dues à la taille de la SAM

58
2eme solution de mise à niveauDéplacement

Définition dun nouveau domaine
Copie des comptes utilisateurs, machines et des
groupes dans le nouveau domaine

Source
Cible
59
Sécurité Windows NT
DomCpt
Jeton daccès de Chantal sur Srv1 User SID de
DomCpt\Chantal Groupes SID Grp Secretaires
DomRes
60
Mise à Niveau par déplacement
sIDHistory DomCpt\Chantal
Jeton daccès de Chantal sur Srv1 User
ComptaCiti.fr\Chantal SID Groupes DomCpt\Chantal
SID SrvCompta\Secretaires SID
61
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

62
Outils

Active Directory Migration Tool (ADMT)
Interface utilisateur graphique Snap in de la MMC
Migrer des utilisateurs
Migrer des groupes
Migrer des machines
Support Tools du Kit de Ressources
ClonePrincipal
Objet COM scriptable, exemples de scripts fournis
Clone des utilisateurs et des ressources de NT
4.0 vers un environnement Windows 2000
Netdom
gt Gestion des domaines Windows 2000 et des
relations d'approbation
MoveTree
gt Déplace des objets entre des domaines d'une
même forêt

63
Outils de support
Teste le canal sécurisé, la présence des DC Teste
la connectivité réseau de bout en bout Vérifie et
modifie la réplication Compare les données de
lannuaire Vue graphique de la topologie de
réplication Gestion de la base de
lannuaire Outil LDAP graphique Snap-in MMC pour
les contextes de nommage Déplacement dobjets
entre domaines Gestion graphique de la
réplication Gestion batch des relations
dapprobation

NLTEST
NETTEST
REPADMIN
DSASTAT
DOMMAP
NTDSUTIL
LDP
ADSIEDIT
MOVETREE
REPMON
NETDOM

64
Les outils de migration/consolidation

Active Directory Migration Tools
Outil licencié auprès de Mission Critical
Software
Gratuit et localisé
Téléchargeable à partir du Web Microsoft
NetIQ OnePoint
FastLane Technologies DM/Manager v5.0
Entevo - DirectManage

65
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

66
RestructurationConsolidation, fusion

Consolidation ou fusion
Déplacement des DCs entre domaines
Re-concevoir une forêt idéale

Restructuration
67
Inter-forêt / Intra-forêt
Intra
Inter
Source
Cible
68
Conditions requises pour la restructuration

Le domaine cible doit être un domaine
Windows 2000 en mode natif
L'utilisateur qui effectue l'opération de
restructuration doit disposer de privilèges
administratifs dans les domaines source et cible
L'audit doit être activé sur les domaines source
et cible des comptes

69
Domaine Unique
dubois.fr
DUBOIS
Utilisateurs
Comptes d'utilisateur Groupes globaux Groupes
locaux Groupes prédéfinis Comptes d'ordinateur
Comptes d'utilisateur
Groupes locaux et globaux
Ordinateurs
Comptes d'ordinateur
Prédéfini
Groupes prédéfinis
70
Domaine Maître
Comptoirs.fr
COMPTOIRS
Utilisateurs
Comptes d'utilisateur Groupes globaux
Comptes d'utilisateur
Groupes globaux
Afrique
AmériqueN
Afrique Comptes d'ordinateur Groupes
locaux Ressources
AmériqueN Comptes d'ordinateur Groupes
locaux Ressources
71
Domaine Maître Multiple
Europe
Asie
Comptoirs.com
Comptes d'utilisateur Groupes globaux
Comptes d'utilisateur Groupes globaux
Nouveau domaine racine
Asie
Europe
Comptes d'ordinateur Groupes locaux Ressources
Comptes d'ordinateur Groupes locaux Ressources
Bonn
Tokyo
Bonn
Tokyo
72
Domaines Approbation Totale
Comptoirs.com
Distribution
Nouveau domaine racine
Comptes d'utilisateur Groupes globaux Groupes
locaux Groupes prédéfinis Comptes d'ordinateur
Vente
Juridique
Comptes d'utilisateur Groupes globaux Groupes
locaux Groupes prédéfinis Comptes d'ordinateur
Comptes d'utilisateur Groupes globaux Groupes
locaux Groupes prédéfinis Comptes d'ordinateur
distribution
juridique
vente
73
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

74
Nettoyer
Nettoyer les ressources sur les serveurs

En cas de migration SIDHistory
Remplacer les ACE qui référencent les comptes du
domaine source par des ACE qui référencent les
comptes issus de la migration.
Nettoyer les entrées SIDHistory dans AD
Si les permissions, les groupes locaux et les
profils ont été mis à jour
Supprimer toutes les entrées qui référencent des
comptes du domaine source

75
Agenda

Introduction
Définition de l'espace de noms Active Directory
Audit de lexistant
Planification des services
Scenarii de migration
Outils de migration
Restructuration des domaines
Nettoyage
Outils dadministration
Conclusion / QA

76
Outils d'administration
Outils standard

Principaux outils d'administration
Utilisateurs et ordinateurs Active Directory
Sites et Services Active Directory
Domaines et Relations d'approbation
Gestion de l'ordinateur
Adminpack.msi permet d'ajouter les outils AD
Sur les serveurs Windows 2000 non DC
Sur les stations Windows 2000 Professional

77
Outils d'administration
MMC et listes de tâches personnalisées

La délégation des tâches administratives impose
la délégation des outils d'administration
Préparer des consoles personnalisées pour
Simplifier la vie des opérateurs
Filtrer les objets
Filtrer les menus
Créer des raccourcis vers les opérations
autorisées
Limiter le risque d'incidents
Les mettre à la disposition des opérateurs
Fournir des stations W2000 aux opérateurs
Fournir un accès TS aux opérateurs

78
Outils d'administration
Administration Web