Supoort de La Formation Configuration Des Services Avancés de Windows Server 2012 (70-412)

Présentation
de la formation
Fabrice Chrzanowski
Site : http://www.alphorm.com Formateur et Consultant indépendant
Blog : http://www.alphorm.com/blog En Virtualisation
Forum : http://www.alphorm.com/forum Certifications : MCT, MCITP, CCEE, VCP
Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©
Présentation du formateur
• Fabrice Chrzanowski Sforza
• fabrice@softrix.fr
• Consultant – Trainer en Virtualisation
• Mission d’architecture, de migration et de formation
• Microsoft MCT, MCITP, MCSE
• Citrix CCEE
• vMware VCP 4.0

Mes formations sur alphorm

Qu’est ce que Windows 2012 R2?
• Windows 2012 R 2 est le dernier OS Microsoft de la famille Serveur
• Une plateforme de virtualisation complète
• Disponibilité continue et simplification d’administration
• Plateforme Web et Cloud
• Solution VDI et BYOD
• Sécurité des données

Le plan de formation
• Module 1 : Services réseaux • Module 7 : Le service RMS
• Module 2 : Le DAC (Dynamic Access • Module 8 : Le service AD FS

Control)
• Module 9 : La gestion de charge
• Module 3 : Les services de fichiers avec NLB
• Module 4 : Les domaines et foret • Module 10 : Le service de Cluster
Microsoft
• Module 5 : La réplication
• Module 11 : Le cluster Hyper-V
• Module 6 : Les certificats
• Module 12 : La sauvegarde

Certification
• Examen 70-412
• https://www.microsoft.com/learning/en-us/exam-70-412.aspx

Prérequis
Obligatoires Optionnelles

Présentation de la formation
• La formation reposera sur la mise en ouvre d’un lab
• Il vous faudra une machine performante
• Utiliser soit VMware Wks 10 ou vsphere 5.5
• Possibilité d’installer HV4 dans une VM VMware

Présentation de la formation - suite
• Le lab de la formation
Domaine Alphorm.lab (192.168.1.0/24) et Software.lab (10.11.0.0/16)
VMs :

Liens utiles
• Liste des liens que je vous conseille :
http://technet.microsoft.com/fr-fr/windowsserver/hh534429.aspx
http://www.computerworld.com/slideshow/detail/110976/10-excellent-new-
features-in-Windows-Server-2012-R2
• Livres :

GO !

Services réseaux avancés
Les fonctionnalités
DHCP avancées
Fabrice Chrzanowski
Plan
• Les composants DHCP
• La protection des enregistrements DHCP
• Mise en place du service HA de DHCP (nouveau !)

Les composants DHCP
• Les composants sont :
L’étendue
Les options
La console
La base de donnée

La protection des enregistrements DHCP
• Eviter qu’une personne non autorisée se présente comme si c’était votre
ordinateur
• Utiliser par des postes non Windows

Mise en place du service HA de DHCP
• Enfin une solution de Haute
Disponibilité
• Permet de configurer 2 serveurs DHCP
comme un seul
• Il y a 2 modes :
Actif/Passif
Partage de charges
• Un seul site avec un seul sous-réseau
• Un seul site avec un plusieurs sous-
réseau

Mise en place du service HA de DHCP (suite)
• Mode actif/passif

• Partage de charges : Un seul site avec un seul sous-réseau

• Partage de charges : Un seul site avec un plusieurs sous-réseau

Ce qu’on a couvert
• Les composants DHCP
• La protection des enregistrements DHCP
• Mise en place du service HA de DHCP (nouveau !)

Les paramètres DNS
avancés
Fabrice Chrzanowski
Plan
• Gérer les services DNS
• Les zones GlobalNames (remplace le service WINS !!)
• Sécuriser le service DNS

Gérer les services DNS
• Surveiller régulièrement
• Active le mode DEBUG
• Activer la suppression d’enregistrements obsolètes

Les zones GlobalNames
• Permet de créer une zone dans DNS pour faire comme le service WINS
• Comment créer cette zone

Sécuriser le service DNS
• Permet de crypter le contenu de la zone DNS
• Utile pour éviter que quelqu’un SNIFFE votre réseau
• Mise en place de DNSSEC

• Gérer les services DNS
• Les zones GlobalNames (remplace le service WINS !!)
• Sécurisés le service DNS

Mettre en œuvre IPAM
Fabrice Chrzanowski
Plan
• A quoi sert IPAM
• Les composants
• Mise en place de IPAM

A quoi sert IPAM
• Permet de remplacer le fichier Excel pour gérer
vos IP !
• Permet de gérer toutes vos adresses IP à partir
d’une seule console
• Récupère vos IP à partir de :
DHCP
DNS
NPS

Les composants
• Serveur IPAM
• Base de donnée IPAM
• GPO IPAM
• Groupes de securites IPAM

Mise en place de IPAM
• Installation du composant IPAM
• Suivre les 6 étapes
• Comment utiliser IPAM
• Recherche d’IP, gestion du DHCP et du

service DNS

• A quoi sert IPAM
• Les composants
• Mise en place de IPAM

DAC
A quoi sert le DAC?
Fabrice Chrzanowski
Plan
• Pourquoi implémenter DAC (Dynamic Access Control)?
• C’est quoi un CLAIM?
• Les propriétés des ressources

Pourquoi implémenter DAC?
• Depuis toujours, l’utilisation des SIDS pour accéder aux ressources
• Quelques scenarios impossible sans le DAC

1. Empêcher des utilisateurs d’avoir accès a des
documents confidentielles
2. Empêcher les managers d’accéder à leurs documents
depuis leur maison
3. Etc..
• Autres exemples : http://technet.microsoft.com/fr-

fr/library/hh831717.aspx#France (Français)

C’est quoi un CLAIM?
• Un claim est un attribut de l’AD qui sera inséré dans le TOKEN Kerberos
• C’est quoi un Token (non rien à avoir avec le seigneur des a…) ☺
• Token comprend par défaut le SID de l’utilisateur et le SID de tous les

groupes auxquelles il appartient

Les propriétés des ressources
• Une ressource = 1 share
• Il faut installer FSRM sur le serveur de fichiers
• Permet de classifier un répertoire ou des fichiers
• On peut en créer de nouveaux

• Pourquoi implémenter DAC (Dynamic Access Control)?
• C’est quoi un CLAIM?
• Les propriétés des ressources

DAC
Gestion de l'accès
refusé à un partage
Fabrice Chrzanowski
Plan
• C’est quoi l’assistant de gestion de l'accès refusé à un partage
• Comment le configurer

C’est quoi l’assistant de gestion de l'accès refusé à un partage
• Utile quand un utilisateur n’a pas accès à un partage
• Permet a l’utilisateur de demander l’accès au partage

Comment le configurer
• Créer une stratégie (GPO) et activer l’assistance de refus de partage
• Configurer le message que l’utilisateur va voir

• C’est quoi l’assistant de gestion de l'accès refusé à un partage
• Comment le configurer

DAC
Les dossiers de travail
Fabrice Chrzanowski
Plan
• A quoi sert les dossiers de travail?
• Configurer les dossiers de travail

A quoi sert les dossiers de travail?
• Permet l’accès aux partages à partir de Windows 8 et iOS
• Comme le cloud One Drive mais privée (fog)

Configurer les dossiers de travail
• Installer le composant « dossiers de travail »
• Activer le sync partage
• Donner l’accès aux utilisateurs (permissions)
• Créer une stratégie et saisir l’URL

• A quoi sert les dossiers de travail?
• Configurer les dossiers de travail

Les services de fichiers avancés
Configurer le stockage
iSCSI
Fabrice Chrzanowski
Plan
• Qu’est ce que c’est iSCSI?
• La Cible et les Initiateurs iSCSI
• Mise en place du module Target iSCSI

Qu’est ce que c’est iSCSI?
• A quoi sert iSCSI (SAN)?
• Permet de transformer un serveur en Virtuel SAN
• Moindre coût
• Autre solution : OpenFiler

La Cible et les Initiateurs iSCSI

• Qu’est ce que c’est iSCSI?
• La Cible et les Initiateurs iSCSI
• Mise en place du module Target iSCSI

Configurer
le BranchCache
Fabrice Chrzanowski
Plan
• Qu’est ce que c’est BranchCache?
• Comment configurer BranchCache?

Qu’est ce que c’est BranchCache?

• Mode distribué

• Mode serveur BC

Comment configurer BranchCache?
• Choisir BranchCache pour les partages ou pour IIS
• Installer le composant BranchCache selon le scénario:

Sur serveur de fichiers
Sur serveur IIS
Sur le serveur BranchCache sur le réseau distant
• Configurer une stratégie de groupe
• Activer BranchCache (par GPO ou SCP)
• Vérifier et surveiller

• Qu’est ce que c’est BranchCache?
• Comment configurer BranchCache?

Le service FSRM
Fabrice Chrzanowski
Plan
• Qu’est ce que c’est FSRM?
• La classification automatique de fichiers
• Optimiser le stockage

Qu’est ce que c’est FSRM?
• File System Ressource Manager
• Permet de gérer :
Quotas
Fichiers interdits
Rapport
Classification (utilise par le DAC)

La classification automatique de fichiers
• Permet de scanner le contenu des fichiers
• Permet de rechercher :
Un texte
Une répétition de textes et/ou chiffres (patterns – ex carte VISA ##.##..)
• Scanne par défaut que les fichiers textes
• On peut ajouter les documents office

Optimiser le stockage
• NFS
Permet de créer un serveur NFS (ex VM de Vsphere ☺)
• Déduplication
Utilise moins de place en éliminant les blocks similaires

• Qu’est ce que c’est FSRM?
• La classification automatique de fichiers
• Optimiser le stockage

Le déploiements distribués d’AD DS
Les déploiements
distribués de d’AD DS
Fabrice Chrzanowski
Plan
• Rappel sur les domaines et forêts
• Windows Azure
• Comment configurer DNS dans un environnement complexe
• Les niveaux fonctionnels du domaine
• Les niveaux fonctionnels de la forêt
• Upgrade vers 2012 R2
• Migrer vers 2012 R2

Rappel sur les domaines et forêts
• C’est quoi un domaine
• C’est quoi un arbre
• C’est quoi une forêt
• C’est quoi une relation d’approbation
• C’est quoi un catalogue global

Windows Azure
• C’est quoi Azure ?
• 2 solutions :
Utiliser Windows Azure AD
Installer un DC sur une machine virtuelle

Windows Azure
• Comment installer Windows Azure AD

Comment configurer DNS dans un environnement complexe
• Vérifier que vos clients soit bien configurés
• Surveiller le DNS
• Utiliser des zones intégrés
• Définir des globalNames zones
• Et pour Azure ?

Les niveaux fonctionnels du domaine
• A chaque mise à jour de la version des serveurs, il est recommandé de mettre à
jour le niveau fonctionnel
• Niveaux fonctionnels du domaine :
2003
2008
2008 R2
2012
2012 R2
• A chaque niveau correspond des nouvelles fonctionnalités ou améliorations

Les niveaux fonctionnels de la forêt
• A chaque mise a jour de la version des serveurs, il est recommandée de mettre a
jour le niveau fonctionnel
• Niveaux fonctionnels de la forêt :
2003
2008
2008 R2
2012
2012 R2
• A chaque niveau correspond des nouvelles fonctionnalités ou améliorations

Upgrade vers 2012 R2
• Plusieurs approches (approche non recommandée : upgrade !)
• Approche 1 :
Installer un serveur 2012 R2
Modifier le schéma
Promouvoir le serveur en tant que CD
Déplacer les rôles FSMO
• Approche 2 :
Restructurer la forêt dans une nouvelles forêt
Déplacer les comptes avec ADMT

Migrer vers 2012 r2
• On parle de restructuration
• On garde le domaine existant et on va créer un nouveau domaine
• On va donc utiliser ADMT pour déplacer les objets entre les 2 domaines
• Avant de lancer la migration, on doit vérifier les 2 domaines
• SID-History c’est quoi ?

• Rappel sur les domaines et forêts
• Windows Azure
• Comment configurer DNS dans un environnement complexe
• Les niveaux fonctionnels du domaine
• Les niveaux fonctionnels de la forêt
• Upgrade vers 2012 R2
• Migrer vers 2012 r2

Le déploiements distribués d’AD DS
Les relations d’approbations
AD DS
Fabrice Chrzanowski
Plan
• Les différentes types d’approbation (TRUST)
• Comment fonctionne un TRUST
• A quoi sert une approbation?
• Mise en place d’une approbation

Les différentes types d’approbation (TRUST)
Parents/enfants
Root
Externe
Shortcut (Raccouci)
Foret

Comment fonctionne un TRUST
• Comment un client va se connecter aux ressources
D’un autre domaine ?

A quoi sert une approbation?
• Une approbation est utilisée dans le cas de :
Restructuration
Acquisition de sociétés
Fusion
• Permet de créer une forêt unique
• Permet de donner des permissions aux utilisateurs d’une autre forêt
• On peut tout partager ou sélectionner les ressources

Mise en place d’une approbation
• Créer une zone stub dans chaque forêt
• Aller dans domaines et approbations
• Créer le sens de l’approbation
• Accorder des ressources

• Les différentes types d’approbation (TRUST)
• Comment fonctionne un TRUST
• A quoi sert une approbation?
• Mise en place d’une approbation

La réplication
Comment fonctionne
la réplication
Fabrice Chrzanowski
Plan
• Principe de la réplication
• Comment fonctionne la réplication au sein d’un site
• Comment RODC gère la réplication
• Comment est répliqué SYSVOL

Principe de la réplication
Réplication multi-maitres
Réplication de type PULL
Topologie automatique
Réplication au niveau de l’attribut
Détection des collisions

La réplication au sein d’un site
• KCC s’occupe de la réplication
• Le CD va mettre dans une fille les modifications
• Il informe ses partenaires d’une modif après 15s
• Le partenaire demande la modif et tire (pull) la

modif. Puis a nouveau met cette modif dans une
fille et informe son partenaire……

Comment RODC gère la réplication
• Réplication dans un seul sens. KCC détecte que c’est un RODC et va créer une
réplication dans un seul sens
• Le RODC est en lecture seule !
• Quand un utilisateur veut écrire une info dans l’AD, la requête est envoyée vers
un DC en read-write. Ensuite le DC réplique l’info au RODC

Comment est répliqué SYSVOL
• Sysvol contient les scripts et GPO
• La techno utilisé pour la réplication est DFS-R mais avant c’était le FRS (avant
2012)
• Pour migrer de FRS vers DFS-R, on utilise dfsrmig.exe
• Avantage de DFS-R :
Réplication planifié
RFC (remote Differential Compression) : ne réplique que les modifs entre 2 DC

• Principe de la réplication
• Comment fonctionne la réplication au sein d’un site
• Comment RODC gère la réplication
• Comment est répliqué SYSVOL

La réplication
La gestion des sites
Fabrice Chrzanowski
Plan
• C’est quoi un site?
• Comment ajouter des sites
• Comment fonctionne la réplication entre les sites
• C’est quoi ISTG?

C’est quoi un site?
• Les sites sont reliés avec un réseau rapide
• On associe les sites avec un Subnet
• Réplication des DC dans le site
• Permet de localiser les DC
• On peut appliquer une GPO

Comment ajouter des sites
• Les sites sont reliés avec une connexion lente
• Permet une connexion plus rapide
• Permet de contrôler la réplication
• On va d’abord créer les subnet puis les associer aux sites. Puis on déplace les DC

Comment fonctionne la réplication des sites
• Dans un site, la réplication est rapide. Pas de compression (toutes les 5 mn)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Replicator notify pause after modify (secs)
• Entre 2 sites, la bande passante est limitée. On utilise la compression (180mn)
• Entre site, la réplication se fait selon un calendrier sauf

pour des réplications urgentes (password ou compte désactivé)

C’est quoi ISTG
• Dans chaque site, ISTG va définir un DC comme tête de pont
• Il faut créer des liens de site
• La réplication se fait par default toutes les 180 mn
• Vous pouvez sélectionner des DC privilégiés

Dans ce cas en sélectionner au moins 2
sinon ISTG ne fonctionne plus !

• C’est quoi un site?
• Comment ajouter des sites
• Comment fonctionne la réplication entre les sites
• C’est quoi ISTG

La réplication
Les liens entre sites
et les têtes de ponts
Fabrice Chrzanowski
Plan
• C’est quoi un lien de site (site link)

C’est quoi un lien de site

C’est quoi un lien de site (site link)
Le sites sont séparées par des connexions peu fiables et à faibles débit
ll faudra associer chaque entité à un site, et créer des liens de sites qui sont
en fait des circuits virtuels reliant les sitesRéplication des DC dans le site
La réplication entre sites utilisent soit RPC ou SMTP
Pour permettre la réplication entre ces deux sites, il faut créer un lien de site

C’est quoi un lien de site (suite)
Le sites sont séparées par des connexions peu fiables et à faibles débit
On va dans Sites et Services
Ensuite on configure la planification

• C’est quoi un lien de site (site link)

La réplication
Les outils pour
surveiller la réplication
Fabrice Chrzanowski
Plan
• Outils pour dépanner

Outils pour dépanner
• Repadmin
• Dcdiag
• Active Directory Replication Status Tool

• Outils pour dépanner

Le service de certificats AD CS
Comment fonctionne
le service de certificat
Fabrice Chrzanowski
Plan
• A quoi sert les certificats?
• Les différents types de certificats
• Les composants
• Les CA
• Les nouveautés de 2012 R2

Formation complète sur alphorm
• Titre : Implémenter une PKI avec ADCS 2012 R2
• Par : Patrick IZZO

A quoi sert les certificats?
• Authentifier
• Cryptage
• Utiliser par toutes les solutions Microsoft

Les différents types de certificats
• SSL :
Protège les données pendant la communication
Certificat est installer sur le serveur
Sur le poste installer le certificat Root
• Contenus :
Email, document office. Etre sur que le document n’a été altéré
• Encryptions
EFS. Seul la personne qui a le certificat peut crypter
• Authentification
VPN EAP NAP ….

Les composants
• CA
• Certificats
• Modèles
• CRL
• Applications
• AIA CDP

Les CA
• Le CA va fournir aux utilisateurs et ordinateurs des certificats
• On peut avoir plusieurs CA mais un seul est le ROOT
• Les services du CA :
CA Web
Online Responder
NDES
CES
CEP

Les nouveautés de 2012 R2
• Configuration par Powershell v4
• Nouveau modèle v4
• Automatique renouvellement pour les ordinateurs en Groupe de travail
• Support des Smart Carte virtuel

• A quoi sert les certificats
• Les différents types de certificats
• Les composants
• Les CA
• Les nouveautés de 2012 R2

Mise en place
du service certificat
Fabrice Chrzanowski
Plan
• Installation du CA
• Configuration

Installation du CA
• Ajouter le rôle
• Ou par Powershell : Install-WindowsFeature

Configuration
• Faire le choix entre un CA Entreprise ou autonome
• CA Entreprise :
AD nécessaire
Utilisation des GPO
CRL dans AD
Gestion des modèles
Le certificat est prêt tout de suite
• CA autonome
Peut être installe a part
Pas de modèles
L’administrateur doit approuver les demandes

• Installation du CA
• Configuration

Les modèles
Fabrice Chrzanowski
Plan
• C’est quoi un modèle de CA
• Les versions des modèles
• Les permissions des modèles
• Comment mettre à jour les modèles de CA

C’est quoi un modèle de CA
• Ensemble de certificats qui sont
disponibles pour vos techniciens
• Permet de spécifier un ensemble
de paramètres
• Permet de spécifier qui est autorisé
à les installer

Les versions des modèles
• Version 1 : Windows 2000
• Version 2: 2003
• Version 3 . 2008 et 2008 R2
• Version 4 : 2012

Les permissions des modèles
• Permet de sélectionner les permissions sur les certificats
• Accès complet
• Lecture
• Lire
• Ecrire
• Enroll
• Autoenroll

Comment mettre a jour les modèles de CA
• Avant de modifier un certificat, il est recommande de le dupliquer
• Vous pouvez aussi sélectionner plusieurs modèles et les fusionner en un

seul (superseeding)

• C’est quoi un modèle de CA
• Les versions des modèles
• Les permissions des modèles
• Comment mettre a jour les modèles de CA

La distribution et la révocation
des certificats
Fabrice Chrzanowski
Plan
• Comment distribuer un certificat
• Distribuer un certificat automatiquement
• NDES
• Révocation de certificats
• Online Responder

Comment distribuer un certificat
• Plusieurs solutions pour distribuer des certificats :
Automatique
Manuel
Par le CA WEB
Pour le titre de quelqu’un (on behalf)

Distribuer un certificat automatiquement
• Le plus simple
• Le CA doit être de type Entreprise
• On utilise des modèles et des GPO
• On doit dupliquer le modèle et puis

configurer les permissions
• Autre manière de faire : mode agent
Permet de demander un certificat a la
place de quelqu’un d’autre (on behalf)

NDES
• NDES = Network Device Enrollment Service
• Correpondant à SCEP (Simple Certificate Enrollment

Protocol) : permet de donner un certificat a un routeur
switch etc….

Révocation de certificats
• Permet de révoquer un certificat
• Cela va désactiver la validité d’un certificat
• On utilise une CRL (certificat revocation list)
• Important il faut configurer AIA et CDP. A chaque fois que votre

application ou vos serveurs/poste de travail/NDES vont utiliser les
certificats, ils doivent checker ces paramètres. Sinon le certificat va
apparaitre comme non valide
• AIA : permet de vérifier la validité du certificat
CDP : permet de vérifier la CRL

Online Responder
• On utilise OCSP (Online Certificate Satus Protocol)
• Permet aux clients a travers HTTP de déterminer si un certificat est

révoqué
• On installe le Online Responder sur un autre serveur que le CA. On peut
même utiliser nlb pour avoir plusieurs serveurs Online responder
• Il faut configurer le CA pour inclure l’URL du online Responder.
• IIS est installe sur le serveur Online Responder

• Comment distribuer un certificat
• Distribuer un certificat automatiquement
• NDES
• Révocation de certificats
• Online Responder

Gérer la restauration
des certificats
Fabrice Chrzanowski
Plan
• Archivage de la clef et restauration

Archivage de la clef et restauration
• Exemple : si vous encryptez des emails, et vous perdez la clef public et
la clef privée, vous ne pouvez plus consulter les emails
• Pour archiver, il suffit d’exporter un certificat avec la clef privée
• Il faut aussi créer des KRA (Key Archival and Recovery Agent). Permet de
décrypter les clef privées de n’importe quel utilisateur
• Comment configurer un KRA

• Archivage de la clef et restauration

Le service RMS
A quoi sert le RMS?
Fabrice Chrzanowski
Plan
• C’est quoi RMS?
• Les composants RMS
• Les certificats
• Comment fonctionne le RMS

C’est quoi RMS
• Solution pour éviter la fuite de données
• On va crypter les documents et donner des droits :

Imprimer, Copier-Coller, transmettre, sauvegarder..
• Si vous perdez une clef USB ou un portable, personne ne pourra accéder au

document
• RMS utilise une clef symétrique pour encrypter

Les composants RMS
• Un serveur RMS membre du domaine. Permet de publier SCP
• Un client RMS ! Vista, Windows 7 et 8
• Des applications RMS (office, sharepoint, exchange…RMS SDK !)

Les certificats
• SLC (critique) . Valable 250 ans.
• AD RMS certificat machine. (identifie le PC)
• RAC (Rights Account Certificate) (identifie l’utilisateur)
• Client Licensor Certificate (si le PC n’est pas dans le même LAN)
• PL (Publishing Licence) (détermine les droits sur un document)
• Licence utilisateur : il faut installer des licences RMS (environ 37 €)

Comment fonctionne RMS

• C’est quoi RMS?
• Les composants RMS
• Les certificats
• Comment fonctionne RMS

Le service RMS
Déploiement
d'une solution RMS
Fabrice Chrzanowski
Plan
• Configuration
• Sauvegarde RMS

Configuration
• Lors de l’installation, on doit configurer :
Cluster RMS
Base de donnée
Compte de service
Cryptographie
Cluster key storage
Mot de passe Cluster key password
Site web
SSL ou pas
SLC
SCP

Sauvegarde RMS
• Si plus de serveur RMS, plus aucuns accès aux fichiers protégés !!
Le mieux RMS dans une VM ….
Il faut sauvegarder la clef privée, les certificats, la base de données et les
modèles
Si vous réinstallez RMS, pensez à supprimer le SCP

• Configuration
• Sauvegarde RMS

Le service RMS
Protéger un contenu
Fabrice Chrzanowski
Plan
• Les modèles
• Les modèles en mode déconnecté
• Les super utilisateurs
• Et le DAC dans tout ca ?

Les modèles
• On va créer des modèles pour faciliter l’utilisation de RMS
• Les modèles sont des fichiers XML
• Liste de droits :
Il vous permet de gérer des droits d’utilisation élémentaires tels que les droits de
lecture, copie, impression, sauvegarde ou d’édition.
Il est aussi possible de gérer des droits plus spécifiques, tels que par exemple, le droit
de transmettre un message électronique ou de fixer une date d’expiration, rendant le
document inexploitable
Il faut ensuite les exporter dans un partage

Les modèles en mode déconnecté
• Si je suis pas connecté au réseau, j’ai besoin de ces modèles localement
• Il faut activer dans le planificateur de tâches, la tâche AD RMS
• Ensuite modifier l’endroit sur le disque dans :
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM
• Et ajouter : %LocalAppData%\Microsoft\DRM\Templates

Les super utilisateurs
• Important : ils ont un accès total aux fichiers RMS
• Permet de récupérer un fichier qui a expiré, ou un modèle qui a été

supprimé!! Ou quand vous avez plus l’accès

Et le DAC
• On peut avec le DAC automatiquement appliquer un modèle !
• On va protéger des documents sensibles

• Les modèles
• Les modèles en mode déconnecté
• Les super utilisateurs
• Et le DAC dans tout ca ?

Le service RMS
L'accès externe à AD RMS
Fabrice Chrzanowski
Plan
• Autoriser d’autres utilisateurs
• Windows Azure RMS

Autoriser d’autres utilisateurs
• Les Trust stratégie autorisent des utilisateurs qui ne sont pas dans votre société
de se connecter à RMS
• Les TUD (Trusted User Domains) : permet à deux forêts de se partager RMS
sans approbation de forêt!
• Les TPD (Trust publishing Domains) : permet à un RMS de distribuer des
licences à un autre RMS
• Windows Live
• MS Federation Gateway

Windows Azure RMS
• IRM Protection
• Avec Office365
• Que pour E3 et ProPLus

• Autoriser d’autres utilisateurs
• Windows Azure RMS

Le service AD FS
A quoi sert le
Federation Service?
Fabrice Chrzanowski
Plan
• C’est quoi une identité Federation?
• C’est quoi les Claims ?
• Les services WEB
• C’est quoi AD FS
• Le composants
• Les certificats

C’est quoi une identité Federation?
• On utilise AD FS si on peut pas ou on ne veut pas utiliser AD pour s’authentifier
• Exemple : 2 sociétés qui veulent partager des applications
• C’est pas des TRUSTS AD car entre 2 partenaires, les AD FS n’ont pas besoin de
communiquer ensemble. On utilise https
• Même pour une seule organisation. Elle décide de mettre en place des sites IIS.
Donc en utilisant AD FS; on utilise un seul moyen d’authentification pour toutes
les sites IIS et pour tous les partenaires !!

C’est quoi les claims?
• On utilise normalement un DC pour s’authentifier. Si le mot de passe est bon, le
dc nous donne un jeton (token). Ensuite on peut accéder à toute les ressources
car le dc est dans le même LAN
• Plus compliqué pour ex Azure ou Office365
• On sépare l’authentification et l’autorisation
• Un utilisateur est authentifié par son AD dans son organisation et on lui donne
un CLAIM. On peut ensuite présenter ce claim à une autre organisation.
• Dans un claim on peut avoir une adresse email, UPN, groupes
• Ensuite l’application peut utiliser l’email pour vérifier que c’est la bonne
personne

C’est quoi les claims?

Les services WEB
• Chaque organisation doivt se mettre d’accord sur le format du
claim.
• On a donc inventé un standard : les web services :
XML, SOAP, WSDL,HTTP,HTTPS, WS*
• Exemple avec XML on utilise un langage par TAG clair et

utilisable par tout le monde
• SAML : standard pour échanger des claims entre une identité
et une application

C’est quoi AD FS
• AD FS est la solution de l’identité fédération de MS
• Plusieurs exemples d’utilisation de AD FS

AD FS au sein de votre organisation
AD FS entre 2 organisations
AD FS avec Microsoft Online Services

C’est quoi AD FS

Les composants
• Federation server : Gère, délivre, et valide les requêtes de Claims
• Federation server Proxy : dans la DMZ
• Claim : comme un passeport qui récupère des attributs de l’AD
• Les règles CLAIM : permet de choisir dans le claim le(s) attributs utilisés
pour valider que c’est la bonne personne
• Le magasin : en général l’AD ou sont récupérés les attributs
• Claim Provider : c’est le serveur qui délivre les claims
• La partie Relying : où se trouve l’application à protéger.

Les certificats
• Obligatoire SSL
• Si les utilisateurs sont en interne = CA MS, sinon CA publique
• Certificat token : SIGNE TOUS LES TOKENS. Important car il va indiquer

quel AD FS a délivré le certificat
• Certificat Token encryptions : va crypter le certificat avant de l'envoyer à
l’autre partie

• C’est quoi une identité Fédération
• C’est quoi les Claims ?
• Les services WEB
• C’est quoi AD FS
• Le composants
• Les certificats

Le service AD FS
Les règles avec

les Claims
Fabrice Chrzanowski
Plan
• C’est quoi un claim?
• Les règles Claim
• Les claims provider trust
• Les stratégies d’authentification

C’est quoi un claim?
• C’est le lien entre le provider du claim (celui qui va créer le claim) et celui qui va
la consommer (relying party)
• Dans un claim on va mettre les infos de l’utilisateur (comme un passeport) ex
son nom, son adresse email…. Ces infos sont appelés des URI (uniform
Ressource Identtifier)
• Donc l’application va utiliser ces valeurs pour donner l’accès
• Ces valeurs sont en général récupérées des attributs LDAP. Mais je peux aussi
utiliser une base SQL, ou même les saisir manuellement !
• On peut aussi mapper ces attributs dans des attributs spécifiques à l’application.
Exp: numéro de tel LDAP = numéro de sécu de l’app.

Les règles claims
• Les règles vont définir comment les claims vont être envoyés et
consommés par les AD FS.
• Permet de manipuler les CLAIMS avant de les envoyer
• Exp: on peut dire qu’un utilisateur n’a pas le droit d’utiliser AD FS
• Exp : si un utilisateur fait partie d’un groupe, on donne l’accès

Les claims provider trust
• C’est configuré sur la partie relying (celui qui consomme le claim)
• On va définir comment consommer ce claim qui est créé par le provider.
• On va taper l’URL du provider et ca va télécharger les metadatas et les certificats

du partenaire
• Ou le provider vous donne un fichier avec la config et certificats
• Ou manuellement !!

Les stratégies d’authentification
• Windows : les mots de passe sont passés par votre WKS : solution
Intranet
• Forms : une page web où l’utilisateur va saisir son login et password
solution intranet et Internet
• Certificat : on utilise un certificat à la place d’un login/password.
solution intranet et Internet

• C’est quoi un claim
• Les règles Claim
• Les claims provider trust
• Les stratégies d’authentification

Le service AD FS
Déployer les
WorkPlace Join
Fabrice Chrzanowski
Plan
• C’est quoi un WorkPlace Join?
• Comment ca marche

C’est quoi un WorkPlace Join?
• Nouveau dans Windows 2012 R2
• Permet de contrôler et donner l’accès aux apps ADFS des PC en WG et des

mobiles IOS. Android bientôt !!!
• Pour ajouter à distance, il faut utiliser Web Application Proxy
• On utilise FS et les claims pour dire que c’est un mobile
• On utilise un service : Device registration
• Pour activer :
Enable-AdfsDeviceRegistration –PrepareActiveDirectory
Enable-AdfsDeviceRegistration

Comment ca marche

Comment ca marche
1. On lance les 2 cmd powershell
2. On active dans ADFS l’authentification par Device
3. Aller dans le client pour configurer WorkPlace Joint
4. Entrer l’email UPN ou mot de passe / login
5. Voila !!

• C’est quoi un WorkPlace Join?
• Comment ca marche

Le NLB (Network Load Balancing)
A quoi sert le NLB?
Fabrice Chrzanowski
Plan
• C’est quoi un NLB?
• Comment gérer un serveur NLB HS
• Nouveautés NLB

C’est quoi un NLB

Comment gérer un serveur NLB HS

Nouveautés NLB
• 35 nouvelles commandes Powershell
• get-command –module NetworkLoadBalancingClusters

• C’est quoi un NLB
• Comment gérer un serveur NLB HS
• Nouveautés NLB

Le NLB (Network Load Balancing)
Déployer une solution

de cluster NLB
Fabrice Chrzanowski
Plan
• Prérequis
• La configuration du NLB
• La configuration du réseau
• Les meilleures pratiques

Prérequis
• Les hosts doivent avoir la même config
• Les hosts doivent avoir accès aux mêmes données

La configuration du NLB
• Il faut configurer le cluster pour dire comment NLB doit répondre aux clients
• Règles des ports :

On peut envoyer des demandes 80 sur tous les hosts ou le port 21 sur un seul
Il faut créer des filtres (Multiple hosts selon le poids | 1 Un seul host )
• Affinité :
Comment le cluster va distribuer les requêtes d’un client spécifique
• Paramètre du host

La configuration du réseau

Les meilleures pratiques
• Ne pas utiliser NLB pour SQL : utiliser le cluster Microsoft
• Si vous utiliser NLB pour IIS, utiliser l’option de partage de config pour que tous
les hosts soient identique
• NLB supporte 32 Hosts
• Les NLB doivent être sur le même subnet
• Lors de la migration NLB de 2008 R2 vers 2012, ajouter les hosts 2012 au fur et à
mesure puis retirer les hosts 2008R2

• Prérequis
• La configuration du NLB
• La configuration du réseau
• Les meilleures pratiques

Le Cluster de basculement
La haute
disponibilité (HA)
Fabrice Chrzanowski
Plan
• C’est quoi le HA?
• Les nouveautés du 2012 R2
• Les composants

C’est quoi le HA?

Les nouveautés du 2012 R2
• Quroum dynamique
• La mise à jour des serveurs automatiquement
• Détection Etat de santé
• Plus besoin de l’AD

Les composants

• C’est quoi le HA?
• Les composants

CSV
Fabrice Chrzanowski
Plan
• C’est quoi le CSV?

C’est quoi le CSV?

• Stratégie de placement CSV
• CSV continuité
• CSV cache allocation
• CSV diagnostics

• C’est quoi le CSV?

Le quorum
Fabrice Chrzanowski
Plan
• C’est quoi un Quorum?
• Les modes

C’est quoi un Quorum?
• Le quorum est utilisé en cas de problème réseau
• Il faut un certain nombre de Hosts en vie pour que le cluster continue à tourner (plus de 50%)
• Ex 5 Hosts. Si vous arrêtez 3 hosts pour une maintenance, cela enlève 3 votes. Donc les 2 restants sont pas
>50 % des votes
• Avec le dynamique Quorum, les votes des 3 hosts sont enlevés. Donc il reste 2 votes donc plus de 50% !!

Les modes
• Majorité de hosts
• Majorité de hosts et disque
• Majorité de hosts et partage
• Disque partagé

• C’est quoi un Quorum?
• Les modes

Déployer une solution
de cluster Microsoft
Fabrice Chrzanowski
Plan
• Prérequis
• Migration de cluster
• Identification des ressources et services
• Gestion des Hosts du cluster

Prérequis
• Même matériel Intel ou AMD
• Même type de cartes réseaux
• Accès au DNS
• Même Domaine
• Même Edition 2012 OS
• Même service pack. Même niveau de patch

Migration de cluster
• Permet de migrer un cluster 2008R2 vers 2012 R2
Il suffit de créer un nouveau cluster 2012 R2 et migrer le cluster existant
• On va utiliser l’assistant migration de cluster

Identification des ressources et services
• Exemple pour SQL : on va installer SQL sur 2 Hosts
• Un serveur va être actif : c’est lui qui détient les services
• Si le premier serveur tombe, le second devient actif. Donc les services

SQL vont démarrer. C’est lui qui détient maintenant les services
• On doit donc définir les ressources et services à surveiller

Gestion des Hosts du cluster
• Ajouter des nouveaux Hosts
• Mettre en pause un host (maintenance)
• Ejecter un Host (evict) si le Host a un soucis technique

• Prérequis
• Migration de cluster
• Identification des ressources et services
• Gestion des Hosts du cluster

Surveiller et sauvegarder
le cluster
Fabrice Chrzanowski
Plan
• Comment surveiller un cluster
• Sauvegarder la config du cluster
• Comment automatiser l’installation des patchs

Comment surveiller un cluster
• Journal d’événements
• Utiliser l’outil Tracerpt.exe
• On peut aussi valider le cluster

Sauvegarder la config du cluster
• Installer le composant Backup ou utiliser votre solution de backup
• Pensez aussi à sauvegarder l’application installée sur le cluster (ex oracle ou

SQL…)
• Comment restaurer :
Sauvegarde non-authoritative : si un Host a un problème et les autres fonctionnent
normalement. Quand vous aurez réparé le Host, il va recevoir la config du cluster
existant
Sauvegarde authoritative : si vous voulez restaurer la config du cluster à une date
antérieure. Il faut arrêter le service cluster sur tous les hosts

Comment automatiser l’installation des patchs
• On utilise un outil qui va installer les updates un par un sur les hosts du cluster
• Il faut installer l’outil sur un serveur à part
• Il va lancer Windows Update. Télécharger les

updates puis les installer sur les hosts
• Avant de redémarrer le serveur, il va déplacer les
ressources !

• Comment surveiller un cluster
• Comment automatiser l’installation des patchs

Cluster Microsoft
multi-site
Fabrice Chrzanowski
Plan
• Le cluster multi-sites
• Les prérequis
• Et le Quorum !

Le cluster multi-sites

Prérequis
• Même OS et niveau de SP
• Latence du réseau basse car si un Host manque 5 hearbeats, le failover de met

en place !!
• Vous devez avoir un système de réplication du SAN
• La réplication peut être synchrone ou asynchrone :

Synchrone : réplication sur les 2 san en même temps
Asynchrone : la réplication se fait à d’autres moments

Et le Quorum !
• Le mieux est d’avoir 3 locations :
1 host dans un site avec l’application
1 host dans un autre site en attente
1 host dans un autre site avec le
share witness
• Exemple un site avec 5 hosts et un autre site avec 5 hosts

Donc pour que le cluster fonctionne il faut 6 hosts (>50%)
S’il y a un problème WAN, alors seul un site aura accès au 3eme site où vous avez place le
share witness

• Comment monitorer un cluster
• Comment automatiser l’install des patchs

Le Hyper-V en Cluster
Le HA de serveurs
Hyper-V et des VMs
Fabrice Chrzanowski
Plan
• Comment ça marche?

Comment ca marche

1. On peut mettre 64 serveurs et 8000 VM
2. Lancer des live migration (migration dynamique) multiples
3. Stocker les VMs sur un partage SMB v3 !
4. On peut suveriller des services dans les VMs
5. CSV : Bitlocker et ne montrer le CSV que à certains subnets
6. Disque partagé VHDX : plus besoin de SAN
7. Migration des VMs si le Host est arrêté
8. Etat de santé du réseau d’une VM. Migration automatique

• Comment ça marche?

Utiliser SMB 3 pour

stocker les VMs
Fabrice Chrzanowski
Plan
• Les disques VHDX partagés
• Utiliser des partages SMB pour héberger vos VMS

Les disques VHDX partagés
• On peut partager un VDHX entre plusieurs VMs comme un stockage partagé !
• On va ajouter ces VHDX comme des disques SCSI dans les paramètres de la VM.
Que sur 2012 R2 (Hyper-v4). Il faut ensuite cliquer sur l’option partager
• Il faut mettre ce VHDX sur :
Un CSV
Sur un partage SMB v3

Utiliser des partages SMB pour vos VMs
• Depuis 2012, on peut stocker les VMS sur un partage SMB v3
• Il faut créer un partage en mode Scale-OUT
• Cela permet de faire du Actif/Actif
• On utilise du CACHE CSV. On va utiliser la RAM !
• On peut clustériser le partage SMB

• Les disques VHDX partagés
• Utiliser des partages SMB pour héberger vos VMS

La migration des VMs
entre Hyper-V
Fabrice Chrzanowski
Plan
• Comme fonctionne la migration à chaud des VMs
• C’est quoi ODX?

Comme fonctionne la migration à chaud des VMs?
Live Migration
- La VM
- Le stockage de la VM

C’est quoi ODX?
• Permet d’utiliser un système intelligent pour copier des VMs (stockage) entre 2
système de stockage. Le transfert est très rapide !!
• Il faut utiliser des systèmes qui intègre cette techno (ex DELL, EMC)

• Comme fonctionne la migration à chaud des VMs
• C’est quoi ODX?

Le service Replica
Fabrice Chrzanowski
Plan
• Comme fonctionne le réplica?
• Les composants

Comme fonctionne le réplica
• Permet de choisir une VM dans un site et de créer la même VM dan un autre
site (clone)
• Ces copies sont synchronisées à un intervalle précis (nouveau dans 2012 R2)
• Si le site primaire est HS, il

faut manuellement faire
un Fail-Over
• Nouveau sur 2012 R2
Intervalle de réplication
Copier la VM qui est répliquée
sur un 3ème Host HV !!

Les composants
• Le moteur de réplica : s’occupe de la réplication
• Le tracking : regarde les changements sur la VM source
• Module réseau : transfert la VM avec compression
• Le rôle Replica Brocker sur un cluster

• Comme fonctionne le réplica?
• Les composants

Le service de Sauvegarde
Les stratégies
de sauvegarde
Fabrice Chrzanowski
Plan
• Windows Backup

Windows Backup
• Quoi sauvegarder :
Tous les volumes
Des fichiers précis
• Les types de sauvegarde :

Complète
Incrémentielle
• Les techniques :
VSS
Hyper-V replica

• Windows Backup

Le service Azure
de sauvegarde
Fabrice Chrzanowski
Plan
• Et Azure backup ?

Et Azure backup ?
• On prend un abonnement avec Azure Backup
• Vous sauvegardez vos fichiers sur le cloud
• Il faut installer l’agent Azure sur le serveur
• Block Level !
• Compression
• Intégrité des données

• Et azure backup ?

Récupérer un serveur
complet
Fabrice Chrzanowski
Plan
• Windows RE
• Windows Azure

Windows RE
• A partir du DVD ou ISO !
• Par F8
• Si plusieurs erreurs répétitives !

Windows Azure
• Vive le cloud
• On utilise l’agent Azure

• Windows RE
• Windows Azure

Conclusion
Fabrice Chrzanowski
Merci
• Merci encore à vous d’avoir suivi ma formation
• J’espère que vous allez maintenant passer la certif MCSA 2012
• J’ai eu beaucoup de plaisir à faire cette formation

Voici le plan
• Module 1 : Services réseaux • Module 7 : Le service RMS
• Module 2 : Le DAC (Dynamic Access • Module 8 : Le service AD FS

Control)
• Module 9 : La gestion de charge
• Module 3 : Les services de fichiers avec NLB
• Module 4 : Les domaines et foret • Module 10 : Le service de Cluster
Microsoft
• Module 5 : La réplication
• Module 11 : Le cluster Hyper-V
• Module 6 : Les certificats
• Module 12 : La sauvegarde

Ne pas oublier ces formations
Obligatoires Optionnelles

Merci!

Supoort de La Formation Configuration Des Services Avancés de Windows Server 2012 (70-412)

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Supoort de La Formation Configuration Des Services Avancés de Windows Server 2012 (70-412)

Transféré par

Droits d'auteur :

Formats disponibles

Présentation

• Consultant – Trainer en Virtualisation

• Mission d’architecture, de migration et de formation

• Microsoft MCT, MCITP, MCSE

• vMware VCP 4.0

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Une plateforme de virtualisation complète

• Disponibilité continue et simplification d’administration

• Plateforme Web et Cloud

• Solution VDI et BYOD

• Sécurité des données

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Module 2 : Le DAC (Dynamic Access • Module 8 : Le service AD FS

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Il vous faudra une machine performante

• Utiliser soit VMware Wks 10 ou vsphere 5.5

• Possibilité d’installer HV4 dans une VM VMware

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• La protection des enregistrements DHCP

• Mise en place du service HA de DHCP (nouveau !)

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• La protection des enregistrements DHCP

• Mise en place du service HA de DHCP (nouveau !)

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Les zones GlobalNames (remplace le service WINS !!)

• Sécuriser le service DNS

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Active le mode DEBUG

• Activer la suppression d’enregistrements obsolètes

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Comment créer cette zone

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Utile pour éviter que quelqu’un SNIFFE votre réseau

• Mise en place de DNSSEC

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Les zones GlobalNames (remplace le service WINS !!)

• Sécurisés le service DNS

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Mise en place de IPAM

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Base de donnée IPAM

• Groupes de securites IPAM

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Suivre les 6 étapes

• Comment utiliser IPAM

• Recherche d’IP, gestion du DHCP et du

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• Mise en place de IPAM

Configuration avancée des services de Windows Server 2012R2 (70-412) alphorm.com™©

• C’est quoi un CLAIM?