850 likes | 1.02k Views
Bienvenue. Migration vers Windows 2000 et gestion d'un annuaire d'entreprise. Comment planifier, déployer , administrer une infrastructure serveurs Microsoft Windows 2000. Log istique. Vos questions sont les bienvenues. N’hésitez pas !. Pause en milieu de session.
E N D
Migration vers Windows 2000 et gestion d'un annuaire d'entreprise Comment planifier, déployer , administrer une infrastructure serveurs Microsoft Windows 2000
Logistique Vos questions sont les bienvenues. N’hésitez pas ! Pause en milieu de session Feuille d’évaluation à remettre remplie en fin de session Mallette Merci d’éteindre vos téléphones Commodités
Prérequis • Pour une bonne compréhension de cette session, il est préférable que vous ayez une expérience dans les domaines suivants : • Microsoft Windows NT 4.0 • Active Directory (notions de base) • Ce séminaire est d’un niveau Confirmé
Agenda • Introduction • Définition de l'espace de noms Active Directory • Audit de l’existant • Planification des services • Scenarii de migration • Outils de migration • Restructuration des domaines • Nettoyage • Outils d’administration • Conclusion / Q&A
Agenda • Introduction • Définition de l'espace de noms Active Directory • Audit de l’existant • Planification des services • Scenarii de migration • Outils de migration • Restructuration des domaines • Nettoyage • Outils d’administration • Conclusion / Q&A
Agenda • Introduction • Définition de l'espace de noms Active Directory • Audit de l’existant • Planification des services • Scenarii de migration • Outils de migration • Restructuration des domaines • Nettoyage • Outils d’administration • Conclusion / Q&A
Définition de l'espace de noms Active Directory • Ne pas hésiter à viser les topologies idéales • Doit déboucher sur des livrables • Espace de noms des domaines AD et DNS • Topologie d'OU • Topologie de sites
SAM de MS Windows NT Contient : Comptes utilisateurs Groupes Globaux Groupes Locaux Comptes spéciaux Stratégies de comptes Stratégies d'audit Stratégies des droits utilisateur 40Mo maxi recommandés Quelques rappels...Qu'est-ce qu'Active Directory ? AD de MS Windows 2000 La même chose, plus : • Contacts • Groupes de distribution • Groupes Universels • Groupes Locaux de domaine • OU • Dossiers publiés • Imprimantes publiées • GPO • Eléments de configuration de services (DNS, RPC, DFS) • Accès par des protocoles standard (LDAP, DNS) • Peut contenir des millions d'objets
Quelques rappels...Rôle des serveurs • Un serveur Windows NT peut être • Contrôleur Principal de Domaine (PDC) • Contrôleur Secondaire de Dmaine (BDC) • Serveur Membre • Un Serveur Windows 2000 peut être : • Contrôleur de Domaine (DC) • Serveur Membre
tic.com tac.com de.tic.com fr.tic.com Fr.tac.com Quelques rappels...Topologie d’une forêt Domaine Forêt Arbre Arbre
tic.com OU tac.com OU OU de.tic.com fr.tic.com fr.tac.com Quelques rappels...Topologie d’une forêt Domaine Forêt Arbre Arbre de.tic.com
Quelques rappels...Relations d’approbation • 3 types de relations d'approbation Externes (inter-forêt) • Unidirectionnelles • Non Transitives Implicites • Bidirectionnelles • Transitives Explicites (raccourcis) • Unidirectionnelles • Transitives
Quelques rappels...Caractéristiques d’une forêt • Dans une forêt, les domaines partagent • Un même Schéma • Une même Partition de Configuration • Un même Catalogue Global • Dans un arbre, les domaines • Sont liés entre eux par des relations d'approbation • Bidirectionnelles • Transitives • Définissent un espace de noms contigu
Quelques rappels...Caractéristiques d’un domaine • C'est une unité structurante de la forêt • C'est une unité de réplication • Partition de Domaine • Permet de limiter les volumes de réplication • C'est une unité d'administration • Les Stratégies de Délégation ne franchissent pas les frontières du Domaine • Les Stratégies de Groupes et de Sécurité ne franchissent pas les frontières du Domaine • Tout domaine dispose d'un nom DNS
Espace de noms des domainesQuestions posées • Combien de forêts ? • Combien de domaines dans chaque forêt ? • Comment agencer ces domaines ? • Comment ces domaines s'appelleront-ils ?
Espace de noms des domainesCombien de forêts ? • Au départ : Une forêt • Une forêt de plus ? Il faut argumenter ! • Nécessité de préserver des schémas distincts • Refus de dévoiler ma topologie de Domaines • Désaccord sur la composition des groupes sensibles • Administrateurs de Schéma • Administrateurs de l'Entreprise • Souhait de conserver la maîtrise des approbations
Espace de noms des domainesCombien de forêts ? Contraintes… • Un domaine ne peut pas changer de forêt • Déplacement d'objets : • On sait migrer des objets d'un domaine vers un autre • Mais ce n'est pas toujours une opération anodine ! • On ne sait pas interroger le Catalogue Global d'une autre forêt ... • ... A moins de passer par un Méta-Annuaire ?
Espace de noms des domainesCombien de domaines ? • Au départ : Un domaine • Un domaine de plus ? Il faut argumenter ! • Délégation ne suffit pas • Nécessité de mettre en œuvre des stratégies spécifiques de : • Gestion des mots de passe • Verrouillage des comptes • Gestion des tickets Kerberos • Soucis d'optimiser la réplication • Restructuration prévue, mais plus tard
Espace de noms des domainesDéfinition de la racine de la forêt • Le premier domaine créé devient la racine de la forêt • Il donne son nom à la forêt • Il héberge deux groupes sensibles : • Admins de l'entreprise • Admins du Schéma • Choix d'un domaine Racine • A choisir parmi les domaines définis précédemment • Ou a créer pour les besoins de la cause
Espace de noms des domainesNommage des domaines • Tout domaine AD est repéré par un nom DNS • Domaines AD vs Domaines DNS • Domaine AD Organisation logique des objets AD • Domaine DNS Localiser des hôtes et des services • Nom du domaine racine • Détermine l'espace de nom de tout l'arbre • Ne peut (pratiquement) pas être modifié • Doit permettre d'intégrer de façon harmonieuse toutes les entités présentes et à venir de l'arbre
Espace de noms des domainesRègles deNommage • Affecter un nom à chaque domaine, en partant de la racine de chaque arbre • Ne pas s'écarter des "standard" • RFC 1123 : A Z ; 0 9 ; - • Eviter Unicode • Utiliser des noms DNS enregistrés • Draft ".local" a été abandonnée • Préférer les noms courts
Espace de noms des domainesEspaces de noms privé et public • Quel nom pour la Racine ? • Tfc.fr ? • Vieuxchaudron.fr ? • Eviter les recouvrements • En choisissant des noms différents • En choisissant un sous-domaine du domaine public
OU OU OU Topologie d'OURôles des unités organisationnelles • Les OU peuvent servir à • Organiser les objets • Ne pas tout montrer à tout le monde • Définir des périmètres de délégation • Définir des périmètres d'application pour les GPO • Une OU contient des objets et pas des références à des objets • Une OU n'est pas un Security Principal
Topologie d'OUOrganisation des OU • Les OU sont faites pour faciliter la vie des administrateurs, pas celle des utilisateurs • Penser en termes d'organisation administrative • Qui gère quoi ? • Qui décide de qui gère quoi ? • Préférer les arbres larges plutôt que profonds • Raffiner la topologie plus tard reste possible • Facile à créer, déplacer, supprimer, renommer • Point délicat : évaluer les conséquences sur la délégation et l'application des GPO
Topologie de sitesNotion de site Active Directory • Qu'est-ce qu'un Site ? • Ensemble de machines "bien communicantes" • Défini comme un agrégat de subnets IP • Suppose un subnetting géographique • Qui utilise les sites ? • Station Localiser un DC proche • KCC Limiter le trafic de réplication sur liaisons lentes • Client DFS Localiser un replica proche • Utilisateur Localiser une imprimante proche
Topologie de sitesDéfinition d’une topologie de réplication Qui réplique avec qui ? • Tout automatique : Le KCC est livré à lui-même • Semi-automatique Fournir quelques indices au KCC • Créer manuellement quelques connexions • Ajouter de liens de site • Désigner des têtes de pont • Tout manuel • Créer toutes les connexions manuellement • Inhiber le KCC : Q242780
Topologie de sitesQuelques règles simples • Sur chaque site, prévoir • Un Global Catalog Server • De préférence tête de pont • Ne doit pas être Infrastructure Master • Du DNS qui marche ! • Eviter de créer des sites sans DC • Toute correction reste possible • Créer/Supprimer des subnets • Ajouter/Supprimer des sites et des liens de site • Affecter des serveurs à des sites Surveiller le journal "Active Directory" !
Agenda • Introduction • Définition de l'espace de noms Active Directory • Audit de l’existant • Planification des services • Scenarii de migration • Outils de migration • Restructuration des domaines • Nettoyage • Outils d’administration • Conclusion / Q&A
Auditer la source • Etablir la topologie de domaines NT • Séquencer les opérations de migration • Définir des règles de nommage communes • Assainir les bases de comptes NT et Exchange • Identifier les machines qui poseront problème
tfc.fr SIEGE PBR corp.pbr.fr mktg.tfc.fr Rouen Bordeaux Strasbourg Auditer la sourceTopologie de domaines NT de l'environnement de départ
tfc.fr SIEGE PBR corp.pbr.fr mktg.tfc.fr Rouen Bordeaux Strasbourg Auditer la sourceSchéma de principe de déplacement des principals utils utils utils ordis ordis
Upgrade Upgrade BDC BDC PDC OU OU DC Windows 2000 DC Windows 2000 OU OU OU OU Auditer la sourceMigration « sur place » vs. restructuration • Migration "In Place" • Caractéristiques • Retour arrière délicat • Envisageable si • peu de DC dans le domaine source • Topologies de domaines identiques au départ et à l'arrivée
BDC PDC OU DC Windows 2000 OU OU Auditer la sourceMigration « sur place » vs. restructuration • Migration "Restructuration" Cloner • Caractéristiques • Migration "ceinture et bretelles" • Permet de migrer et de restructurer en une seule opération
Auditer la sourceDéfinition des règles de nommage communes • Choix d'un suffixe UPN • Harmoniser des règles de nommage • Pour le DN : Nom Prénom ou Prénom Nom • Traitement des noms composés • Définir une règle commune pour le Logon Name
Auditer la sourceAssainir la base des comptes NT A quitté la société depuis 3 ans Groupes redondants – mêmes membres Pas de mot de passe Pas de membres Compte désactivé Plus personne ne sait pourquoi ce groupe existe Compte verrouillé
Server Server Server Server Auditer la sourceIdentification des machines qui poseront problème 100 à 400Mo d’espace disque restant 100Mo d’espace disque restant 16 Mo RAM Utilise uniquement IPX/SPX P166 - 64 MB RAM 486 - 66 MHz
Auditer la sourceElimination des trous de sécurité Admins du domaine Serveur NT 4.0 Groupe “Ventes” Lucien Groupe “Dépôt” Sandrine Frank Invité Administrateurs Etat de départ
Auditer la sourceElimination des trous de sécurité Droits Utilisateur ? Permissions NTFS? Admins du domaine Serveur NT 4.0 Groupe “Ventes” Lucien Groupe “Dépôt” Sandrine Frank Invité Mot de passe des comptes locaux "Administrateur" et "Invité"? Administrateurs
Agenda • Introduction • Définition de l'espace de noms Active Directory • Audit de l’existant • Planification des services • Scenarii de migration • Outils de migration • Restructuration des domaines • Nettoyage • Outils d’administration • Conclusion / Q&A
Planifier les services • Localisation d'un contrôleur de domaine • DNS et Active Directory • Planifier DHCP et WINS • Mise à disposition des scripts • Stratégies système et GPO
PDC Planifier les services Localisation d'un Contrôleur de domaine • Un piège à éviter • Toutes les stations seront authentifiées par le même DC Windows 2000 • Pas d'équilibrage de charge • Risque d'authentification par un DC éloigné • NLTEST : Réinitialiser le Secure Channel • Pour pouvoir bénéficier des sites • Il faut utiliser le nouveau Locator • Windows 2000 • W9x + AD Client • Il faut être dans un domaine Windows 2000
Planifier les services DNS et Active Directory • Active Directory a besoin de DNS pour • Résoudre des noms d'hôtes • Localiser des services • Serveurs ldap (DC) • Serveur de Catalogue Global • Pour supporter Active Directory • Les Primaires et les secondaires doivent gérer les enregistrements SRV • BIND 4.9.6 • Le Primaire devrait savoir gérer les mises à jour dynamiques • BIND 8.1.2
Planifier les services DNS : Choisir la bonne plate-forme • Si un serveur DNS ne satisfait pas aux critères • Mise à jour vers une version qui supporte • Création d'un domaine délégué confié à un DNS qui supporte • Les petits plus du DNS Windows 2000 • Intégration Active Directory • ACL sur les enregistrements DNS • Horodatage et nettoyage automatique • Tri par subnet • IXFR
Planifier les services Planifier DHCP et WINS • Mes anciennes infrastructures DHCP et WINS restent opérationnelles • Migration vers DHCP 2000 m'offre • Enregistrement des clients pre-Windows 2000 dans DNS • Gestion des Classes d'Option
Planifier les services Planifier DHCP et WINS • Pour que les clients Windows 2000 résolvent les noms des clients pre-Windows 2000 • Activer le forwarding WINS pour la zone AD • ou Activer le mandatement DHCP pour que les clients pre-Windows 2000 s'enregistrent dans DNS • Pour que les clients pre-Windows 2000 résolvent les noms des clients Windows 2000 • Leur attribuer l'adresse du serveur DNS via DHCP
Planifier les services Mise à disposition des scripts • Sous MS Windows NT • Scripts recherchés sur \\DC\Netlogon • Disponibilité nécessite la bonne configuration du service "Duplication de répertoires" • Sous MS Windows 2000 • Scripts recherchés sur \\DC\Netlogon • Disponibilité garantie par le bon fonctionnement du service "File Replication Service" (FRS) • Les deux services sont incompatibles Prévoir un "pont" en environnement mixte
Planifier les services Mise à disposition des scripts • File Replication Service • Duplication Multi-maître et "Site Aware" • Permet le filtrage des données exportées • Réplication de Sysvol • C:\Winnt\Sysvol\...\Scripts partagé en Netlogon • Replica Set automatiquement créé par le KCC • Utilise les mêmes objets connexions que AD • Intra-site : duplication "immédiate" • Inter-site : 1 heure à 15 minutes • Diagnostic NTFRSUTIL
Planifier les services Présentation des GPO • Des paramètres de configuration pour • Distribution de logiciels (packages MSI) • Sécurité : Stratégies de comptes, droits, audit • Scripts : Logon, Logoff, Startup, Shutdown • Administrative Templates (Registre) : ~ ntconfig.pol • Redirection de dossiers • Règles d'héritage et de filtrage • Rafraîchissement en cours de session • Application non persistante des stratégies • Réplication prise en charge par FRS et AD • Diagnostic GPRESULT, GPOTOOL