Windows Server 2022

[AD DS] Active Directory Domaine Services

 

Les services de domaines Active Directory sont la mise en œuvre d’un annuaire LDAP (Lightweight Directory Access Protocol) dans le monde Microsoft. La notion d’annuaire LDAP peut vous sembler étrangère et vous trouverez plus de détails sur le site de l’IETF : https://tools.ietf.org/html/rfc4510.

[PowerShell JEA] Just Enough Administration

PowerShell JEA permet de déléguer certaines opérations d'administration avec PowerShell à distance à vos équipes techniques. Les commandes disponibles peuvent être contrôlées. Elle facilite certaines opérations d'exploitation tout en limitant les risques.

Les recommandations de l'ANSSI concernant l'administration sécurisée des systèmes d'information reposant sur Active Directory, publiées en octobre 2023 y font référence.

[AD DS] Interconnexion avec d’autres domaines

Il est possible qu'à un moment ou un autre, vous vous retrouviez dans l'obligation de partager des ressources avec d'autres entreprises. C'est le cas par exemple lors du rachat d'une entreprise ou d'une fusion. Si dans une forêt Active Directory l'ensemble des domaines s'approuvent automatiquement, il est possible de mettre en place des relations d'approbations avec des environnements extérieurs à la forêt.

[ AD DS] Un Catalogue global, qu’est-ce que c’est ?

Dans une forêt multi domaine chaque contrôleur de domaine ne gère que les utilisateurs de son domaine. Or il est possible à un utilisateur d'un domaine d'utiliser une ressource d'un autre domaine (si l'administrateur de ce domaine l'autorise). Les contrôleurs de domaine doivent être en mesure de localiser les objets des autres domaines de la forêt. Ce service est rendu par le catalogue global. Il contient également des éléments spécifiques, les groupes universels indispensables au moment de l'ouverture d'une session.

[AD DS] Conception de la structure physique

Si la structure logique d'Active Directory permet de s'adapter aux besoins liés à l'administration du domaine, la structure physique va permettre de s'adapter à la répartition géographique de l'entreprise. Elle permettra d'optimiser les flux réseaux entre les sites situés dans différents lieux géographiques.

[AD DS] Choisir un nom DNS

Un des éléments importants à définir avant le déploiement d'un domaine Active Directory est le nom DNS de votre domaine. Même s'il existe des solutions pour modifier un nom de domaine après sa création, l'opération reste généralement délicate car d'autres services ou applications peuvent en être dépendant (Exchange, SharePoint, …). Je vous conseille de ne pas renommer un domaine existant si vous ne maitrisez pas l'opération et l'ensemble des éléments qui s'appuie sur Active Directory et DNS.

[AD DS] Introduction aux Services de Domaine

Comment définir les services de Domaine AD ?

Dans ce chapitre, nous commencerons par définir la notion d'annuaire et ses avantages. Il est vrai que ce paragraphe s'adresse avant tout à un public débutant et même si cela peut paraître superflue je vais prendre quelques lignes pour définir les notions de base.

[ AD DS] Rôle FSMO, qu’est-ce que c’est ?

Dans une forêt Active Directory il existe 5 rôles particuliers qui ne sont pas partagés par l'ensemble des contrôleurs de domaine. Ces rôles sont les rôles de maitre d'opération (Flexible Single Master Operations). Il existe 2 rôles présents sur un seul contrôleur de domaine de la forêt et 3 rôles présents sur un seul contrôleur de domaine de chaque domaine de la forêt. Les différents rôles FSMO ne se trouvent pas forcément sur le même contrôleur de domaine.

[AD DS Security] Utilisez PingCastle

 

Nous avons parlé dans un précédent article de l'outil « PolicyAnalyzer » inclut dans Microsoft Security & Compliance Toolkit.

Dans cet article, nous allons voir un autre outil pour analyser la sécurité de votre environnement Active Directory.

PingCastle est un outil gratuit dans version « basic », lorsque vous faites une analyse de votre environnement Active Directory.

[AD DS Security] Sécurité des connexions LDAP et SSL (partie 4)

Nous avons vu comment mettre en place des certificats pour les connexions LDAP sécurisées SSL ou StartTLS dans le magasin de certificat du compte de l'ordinateur du contrôleur de domaine.

La solution est généralement suffisante, mais il peut arriver que vos contrôleurs de domaine disposent de plusieurs certificats qui répondent au besoin des connexions LDAP sécurisées pour des usages différents.

[Windows News] Mise à jour cumulative 2022-11

 

Vous avez peut-être déjà entendu parler des problèmes sur Kerberos depuis l'installation des mises à jour du mois de novembre.

En effet des problèmes reconnus par Microsoft peuvent exister sur l'authentification Kerberos depuis l'application des mises à jour.

Il y aura pas mal de choses à dire sur les mises à jour du mois de novembre, vu qu'elle intègre deux évolutions progressives sur le protocole Kerberos et une sur Netlogon.

[AD CS] Migrer une autorité vers un nouveau serveur (Partie 2)

Jusque-là, nous avons installé une nouvelle autorité de certification qui utilise le même nom et le même certificat que l'ancienne autorité (voir 1ère partie), mais avec un serveur et un OS plus récent (Windows Server 2022 dans notre exemple). Il nous faut encore restaurer la base de données de l'autorité provenant d'une sauvegarde récente de l'ancien serveur. Pour restaurer la base de données, il faut d'abord arrêter le service.

[AD CS] Migrer une autorité vers un nouveau serveur (Partie 1)

 

Il est possible de migrer une autorité de certificat vers un nouveau serveur. Le nouveau serveur devra utiliser le même nom que l'ancien. Pour remplacer votre autorité vous devez au préalable vous assurez que vous disposez de :

 

[AD CS] Présentation de l’environnement

Dans notre exemple et pour les articles à venir, nous disposons de deux contrôleurs de domaine lab2016dc1 et lab2019dc2. Le nom de domaine du lab est « htrab.lan ».

Nous allons créer une autorité racine « CA-Root » autonome et déconnectée du réseau. Nous choisissons une durée de vie du certificat de l'autorité racine de 30 ans et la durée de vie des CRL de 3 mois. L'autorité racine n'aura d'autre but que de générer des certificats pour l'autorité secondaire d'entreprise AD CS.

[AD CS] Planification d’une autorité AD CS

 

Avant de débuter, il faudra répondre à quelques questions. Le premier élément est d'identifier les types de certificats et l'utilisation qui en sera faites.

Il faudra définir si vous devez publier en format web, la liste de révocation et les informations de l'autorité (AIA), ou si la publication dans l'AD, existant par défaut est suffisante pour votre usage.

[AD DS] Installation d’un DC Windows 2022

Vous trouverez dans ce post quelques informations sur l'installation des DC sous Windows server 2022.

 

Avant de promouvoir un nouveau contrôleur de domaine, il faut généralement mettre à jour le schéma Active Directory.

Depuis 2012 et la fin de « dcpromo.exe », l'assistant de configuration des services Active Directory effectue la mise à jour automatiquement lors de la promotion.

La commande suivante permet de connaître la version du schéma :

[News] Ajout des baseline Windows Server 2022 dans Microsoft SCT

Microsoft a publié la version finale des baselines de paramétrage de sécurité pour Windows Server 2022.

Vous pouvez télécharger Microsoft Security Compliance Toolkit ici : https://www.microsoft.com/en-us/download/details.aspx?id=55319 

 

 

[News] Windows server 2022

Microsoft a annoncé la disponibilité générale de la nouvelle version de Windows Server 2022.
Si les nouveautés dans les services Active Directory ne sont pas très visibles, la sécurité a été renforcée dans cette nouvelle version.
 
Une innovation sur la partie stockage permet d'utiliser des disques SSD en tant que cache de stockage pour les serveurs autonomes (HyperV par exemple). Vous trouverez un article sur le sujet dans les liens suivant :
 
S'abonner à RSS - Windows Server 2022