Active Directory

I.1.        Kerberos

I.1.1.             Introduction

Kerberos est le protocole d’authentification réseau par défaut de Windows 2000, 2003 & 2008 qui, précisons le, n’a pas été développé par Microsoft. Il est en usage depuis plusieurs années déjà dans le monde Unix.

Microsoft a choisi de mettre en œuvre l’authentification réseau Kerberos pour renforcer la sécurité sous les systèmes Windows 2000. Serveurs et services réseaux ont en effet besoin de s’assurer de la légitimité des clients qui soumettent des requêtes d’accès.

Le système Kerberos repose sur l’usage de tickets, qui contiennent les informations d’identification des clients, celles-ci sont alors cryptées au moyen de clés partagées.

I.1.1.A)         L’authentification depuis Windows 2000

Windows 2000 prend en charge cinq méthodes d’authentification de l’identité des utilisateurs :

-  NTLM,

-  Kerberos v5,

-  DPA,

-  EAP,

-  Schannel.

Parmi ces cinq méthodes, seuls NTLM et Kerberos sont utilisés pour l’authentification réseau (les trois autres sont principalement employés pour l’authentification lors des connexions par Internet ou par lignes téléphoniques).

NTLM (Windows NT Lan Manager) est le protocole d’authentification réseau par défaut de NT 4, Windows 2000, 2003 & 2008 le prend encore en charge, afin de préserver la compatibilité.

Quand à Kerberos, il est tout simplement le protocole d’authentification réseau par défaut depuis Windows 2000. Il est d’un usage très répandu, notamment parce que son code est public.

• Mettez à niveau le schéma de votre jeu de configuration AD LDS avec les attributs de corbeille Active Directory nécessaires en utilisant la commande ldifde -$ pour importer le fichier MS-ADAM-Upgrade-2.ldf.
• Vérifiez que tous les serveurs hébergeant des instances de votre jeu de configuration AD LDS exécutent Windows Server 2008 R2.
• Augmentez le niveau fonctionnel de votre jeu de configuration AD LDS à Windows Server 2008 R2.

• règles d’administration simples, parlantes et documentées.
• on évitera autant que possible d’avoir recours aux trucs et astuces marginaux.
• on s’appuiera sur des outils d’administration d’éditeurs tiers si on en ressent le besoin

Faire le design de l'Active Directory d'une entreprise nécessite d'appréhender les notions de Domaine, Arbre, Forêt et surtout des avantages / inconvénients liés à chaque choix .

Règle de base : dans la plupart des cas, un Domaine unique répondra à tous les besoins. Il sera moins coûteux, plus facile à administrer et plus souple en évolutivité.

Certains cas justifient toutefois, plusieurs domaines, plusieurs arbres ou plusieurs forêts.

• Le trafic de duplication d’annuaire entre Contrôleurs de Domaine.

• • Partition de Domaine comportant tous les objets d’un domaine (entre DC du même domaine)
  • Partition de Global Catalog comportant tous les objets de la forêt (entre tous les DC de la forêt)
  • Partition de Schéma comportant la définition des objets et attributs de l’AD (entre tous les DC de la forêt)
  • Partition de Configuration comportant les noms de domaines, les sites … (entre tous les DC de la forêt)
• Le trafic d’Ouverture de Session des clients (qui ouvrent des accès aux DNS, GC, DC …)
• Le trafic de duplication FRS (File Replication Service) qui synchronise les répertoires Sysvol entre DC de même domaine (afin de fournir aux clients les fichiers script, stratégies de groupe …)
• L’éventuel trafic DFS supplémentaire (Distributed File Services) qui synchronise par FRS les répertoires qu’on souhaite réunifier aux yeux de tous sous une seule arborescence logique.

• Hôte local (A) Utilisé pour mapper un nom de domaine DNS sur une adresse IP utilisée par un ordinateur.
• Nom canonique (CNAME) Utilisé pour mapper un nom de domaine DNS canonique sur un autre nom principal ou canonique.
• Serveur de messagerie (MX) Utilisé pour mapper un nom de domaine DNS sur le nom d'un ordinateur qui échange ou transmet du courrier.
• Pointeur (PTR) Utilisé pour mapper un nom de domaine DNS indirect basé sur l'adresse IP d'un ordinateur qui pointe vers le nom de domaine DNS direct de cet ordinateur.
• Emplacement du service (SRV) Utilisé pour mapper un nom de domaine DNS sur une liste d'ordinateurs hôtes DNS qui offrent un type de service spécifique, tels que les contrôleurs de domaine Active Directory.
• Vous pouvez ajouter d'autres enregistrements de ressource, selon les besoins.

• Interfonctionnement complet avec les autres serveurs DNS qui implémentent le respect de la RFC en matière de service de nom DNS.
• Utilisation de serveurs DNS Windows offrant un service DNS sur Internet.

• Le nom d’arbre Active Directory est donné par le nom DNS du domaine racine de l’arbre
• A la hiérarchie d’espace de nom DNS doit correspondre celle des Domaines dans l’arbre
• La mise à jour Dynamique du DNS (par clients Windows2000, XP, Vista ou par DHCP) allège grandement l’administration.
• L’utilisation de la résolution WINS par un DNS Windows permet aux clients DNS de résoudre les noms Netbios des clients du service WINS.
• Si on choisit d’intégrer le DNS Windows à l’Active Directory :
  • Chaque contrôleur de domaine/serveur DNS devient DNS primaire.
  • La réplication de zone est intégrée à la synchronisation d’annuaire entre Contrôleurs de Domaine.

Dans cette procédure, nous allons promouvoir notre serveur en contrôleur de domaine avec l'outil DCPROMO.

Notre forêt sera une forêt mono domaine. Le niveau fonctionnel de la forêt sera : Windows 2008 natif.

Cette procédure va détailler étape par étape toutes le DCPROMO .

Dans cette procédure, nous allons ajouter le rôle "Service de domaine Active Directory".

Ceci va permettre d'ajouter les outils d'administration, mais ne va pas réaliser le DCPromo. Ce n'est qu'une phase préparatoire avant le vrai DCPromo.

Cette procédure va détailler étape par étape toutes les manipulations nécessaires.