La méthodologie de remédiation d’un Active Directory.

Que signifie Active Directory pour vous ?

  1. Un annuaire avec tout plein d’objets dedans ?

  2. Des autorisations et des groupes d’accès pour vos applications ?

  3. Un outil à problème ?

La majorité des sociétés utilisent la solution Microsoft Active Directory. Sans détour, cette solution est le point central de toutes les authentifications et autorisations de leur organisation.

En fonction de la taille de la société et sans un processus efficace accompagné d’une exploitation et d’une surveillance optimale de l’Active Directory, il peut être très difficile de le gérer et d’être conforme aux différentes contraintes légales et de sécurité…

Nous vous proposons un tour d’horizon sur les bases d’une remédiation Active Directory avec Systrès Consulting…

Let’s go !

On parle de remédiation lorsque les bonnes pratiques n’ont pas été instaurées et qu’un audit pointe du doigt tout ce qui ne va pas. 

Vous devriez normalement :

  • Avoir un administrateur/ingénieur dédié à cette tâche ou faire appel à nous !

  • Ne pas sous-estimer la charge de travail de l’administration d’une architecture Active Directory (AD DS).

  • Maintenir et nettoyer les objets obsolètes (base AD, compte utilisateur, ordinateur, groupe vide ou dupliqué…)

  • Mettre en place une politique de sécurité propre à l’Active Directory (qui fait quoi, accède à quoi, combien de temps…) qui reflète la politique de sécurité d’entreprise en ce qui concerne l’accès aux ressources.

  • Auditer fréquemment votre Active Directory et le superviser.

  • Etre garant et maintenir la conformité au sein de son annuaire préféré (par exemple : une règle de nomenclature claire et simple, respect des procédures …).

Les Champs de remédiation :

La remédiation passe avant toute chose par un audit de l’architecture de la forêt Active Directory de votre organisation.

Nous n’aborderons pas l’audit de l’AD dans cet article. Plus qu’un article, c’est une procédure technique déroulant pas à pas les différentes actions à mener.

Pour revenir aux champs de remédiation de l’Active Directory, nous avons identifié 5 phases.

  1. Sauvegarde

  2. Configuration IP

  3. Nettoyage de la base

  4. Topologie de site

  5. DNS

Bien sûr, si besoin, n’hésitez pas à déplacer vos rôles FSMO et ouvrir tous vos flux réseaux pour vos contrôleurs de domaine quelle que soit leur zone géographique…

Phase 1 : Sauvegarde et redémarrage du contrôleur de domaine 

  • Une sauvegarde du system state via Windows Server Backup en local ou via un outil tiers est recommandée avant toute opération.

  • Avoir le login/Mot de passe DSRM en cas de restauration du Contrôleur de Domaine

  • Redémarrez votre Contrôleur de Domaine, (afin de valider qu’il en est capable et que vous aussi)

Phase 2 : Configuration IP 

  • Ne pas désactiver l’IPv6. Si celui est désactivé, alors activez-le.

    • Pour un contrôleur de domaine 2008/2008r2/2012 il faut penser à configurer l’IPv6 en mode dynamique ( ::1).

  • Supprimer l’adresse IP de bouclage (127.0.0.1), (si vraiment vous voulez en avoir une quelque part, sachez qu’elle peut rester définie en tant que paramètre DNS alternatif).

  • Dans la configuration IP du contrôleur de domaine, définir l’IP de production du partenaire de réplication dans le champ serveur DNS primaire

    • L’adresse IP du contrôleur sera définie dans le champ serveur DNS Secondaire.

  • Prioriser IPv4 sur tous vos contrôleurs de domaine (dans la base de registre).

  • Redémarrez  votre contrôleur de domaine.

Phase 3 : Nettoyage de la base Active Directory ( Meta-data Clean Up) 

  • Isoler le contrôleur de domaine sur lequel vous effectuez les manipulations en bloquant sa réplication sortante à l’aide la commande repadmin : Repadmin/options NomDuDC +disable_outbound_repl.

  • Effectuer le nettoyage des métas données à l’aide de la commande ntdsutil>metadata cleanup.

  • Poursuivre avec la suppression du ou des contrôleurs de domaine obsolètes via un ADSIEDIT.

  • Supprimer les enregistrements DNS de type SRV faisant référence au contrôleur de domaine obsolète au sein du gestionnaire DNS.

  • A partir d’un contrôleur de domaine se trouvant sur le même réseau que le contrôleur de domaine obsolète et avec un compte Entreprise Administrator, dans Sites et Services Active Directory supprimer le contrôleur de domaine obsolète.

  • Réactiver la réplication sortante à l’aide de repadmin : repadmin /options NomDuDC -disable_outbound_rep

  • Forcer la synchronisation de tous les contrôleurs du domaine : repadmin /syncall

  • Forcer la réplication des partitions de la forêt : Repadmin /add <Naming Context> <Dest DC> <Source DC>

Phase 4 : Topologie de site 

Les objets de connexion sont créés automatiquement par le vérificateur de cohérence (KCC).

Le KCC (Knowledge Consistency Checker) fonctionne sur tous les contrôleurs de domaine, et génère la topologie de réplication de la forêt. Pour faire court et simple, il établit des chemins (objets de connexion) entre les contrôleurs de domaine afin de faciliter le partage des modifications entre les contrôleurs de domaine.

NB : Créer ces objets de connexion manuellement peut impacter les réplications inter sites entre les contrôleurs de domaine. Microsoft, recommande de laisser le KCC créer les objets de connexion automatiquement.

Alors, comment optimiser la topologie de site ?

  • Dans Sites et Services Active directory, identifiez les sites avec des objets de connexion créés manuellement.

  • Connectez-vous sur le contrôleur de domaine présentant les objets de connexion crées manuellement

  • Supprimez ces objets

  • Supprimez les sites vides

  • Supprimez les sites redondants

  • Forcez le vérificateur de cohérence (KCC) à recalculer la topologie de réplication AD : repadmin /kcc

Phase 5 : DNS

La configuration IP des serveurs DNS de chaque domaine doit s’effectuer comme mentionné ci-dessous :  

  • Le serveur DNS primaire est l’adresse IP de production du partenaire de réplication 

  • Le serveur DNS secondaire est l’adresse IP de production du Contrôleur de domaine 

Attention : Pas d’adresse de loopback (127.0.0.1)

  • Afin d’éviter des réponses en IPv6 aux requêtes effectuées sur les serveurs DNS, les interfaces des serveurs DNS doivent être configurées sous l’onglet « interfaces » à « Only the followin Ip adresses « : Sélectionner l’ipv4 du serveur

  • Si vous avez des contrôleurs de domaine enfant, les contrôleurs de domaine racine doivent être paramétrés en tant que redirecteur sur tous les autres contrôleurs des domaines de la forêt.

  • Supprimez les enregistrements NS obsolètes

  • Activez le DNS Secure Update

  • Vérifiez l’activation du Scavenging, auditez bien cependant votre DNS car le fait d’activer le scavenging n’est pas sans conséquences. Il supprimera de nombreux enregistrements DNS…

Conclusion :

Nous ne sommes pas rentrés dans les détails techniques. Ceci n’est pas une procédure, mais une mise en bouche sur la remédiation d’une forêt Active Directory.

Bien sûr, nous sommes en capacité de vous accompagner et vous aider à mettre en place les bonnes pratiques.