• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 29/05/2019

Lancez-vous dans l’exploitation de votre AD

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Dans les chapitres précédents, vous avez réduit la surface d’attaque, c’est une excellente chose mais ce n’est pas suffisant. Je vous propose maintenant de vous permettre de garantir le bon fonctionnement de votre architecture Active Directory au travers son exploitation quotidienne.

Surveillez le fonctionnement de votre annuaire

L’annuaire est une ressource informatique à part entière. À ce titre, de nombreux traitements s’y font et doivent être surveillés. Je vous ai déjà parlé des réplications des partitions d’annuaires. Ces processus internes sont critiques et peuvent créer des problèmes s’ils ne sont pas surveillés correctement. Souvent, l’Active Directory n’est pas supervisé car personne ne sait réellement où regarder : faut-il surveiller le matériel ? Faut-il surveiller un service ?

L’outil de supervision le plus présent en entreprise est Nagios. Cet outil est souvent le cœur d’un système de supervision plus étoffé tel que Centreon. Quel que soit l’outil de supervision utilisé, il existe des extensions pour surveiller un Active Directory ! Je vous propose de regarder la plus connue des extensions de surveillance de l’AD : check_ad. Cette extension s’ajoute sur Nagios ou tout outil basé sur NRPE (Nagios Remote Plugin Executor) qui permet de lancer des extensions de Nagios directement sur un serveur distant !

Grâce à cette extension, check_ad, vous aurez accès aux informations que l’on peut retrouver en exécutant la commande  dcdiag  sur un contrôleur de domaine en ligne de commande. Cet outil permet de vérifier que le contrôleur de domaine est en bonne santé.

Vous allez me dire que tout cela est flou, non ?

Et bien, voyons les tests effectués par dcdiag puis les résultats récupérés par check_ad !

Comprenez le fonctionnement de dcdiag

La première étape pour  dcdiag  est d’établir la bonne connectivité du contrôleur de domaine sur lequel il est exécuté ! Cela va être fait en :

  • Vérifiant que le contrôleur de domaine (DC) peut être identifié grâce au DNS

  • Vérifiant que le DC répond aux requêtes ICMP

  • Vérifiant que le DC autorise les connexions LDAP (une connexion sera effectuée par l’outil)

  • Vérifiant que le DC autorise les fonctions d’authentification

Une fois que ces premiers tests sont validés, les vérifications du cœur de l’AD commencent !

L’état des services RPCSS, EVENTSYSTEM, DNSCACHE, NTFRS, ISMSERV, KDC, SAMSS, SERVER, WORKSTATION, W32TIME, NETLOGON, NTDS, DFSR est vérifié. Ils doivent être en démarrage automatique !

Au final, si cette commande ne retourne pas d’alertes, c’est que votre AD est en bonne santé ! Que les différents contrôleurs de domaine sont synchronisés et accessibles des clients !

Le plugin Check_AD va donc effectuer un dcdiag et retourner différents états : test de service ok, test de connectivité ok…

Grâce à ce type d’outil, vous allez pouvoir suivre l’état de santé de votre AD ! Je vous laisse choisir la solution de supervision la plus adaptée et configurer ce type d’analyse avec des vérifications à intervalles réguliers !

Sauvegardez votre base de données

Active Directory est, vous l’avez vu tout au long de ce cours, une base de données. Vous avez spécifié son emplacement lors de la promotion d’un serveur en tant que contrôleur de domaine. Comme toute base de données, il convient de la sauvegarder correctement.

Pour cela, Microsoft met à votre disposition un outil utilisable de deux façons. La première façon d'utiliser cet outil de Sauvegarde Windows Server (c'est son nom) se fait graphiquement, via le gestionnaire de serveur.

Voici les différentes étapes pour installer l’outil (et donc la fonctionnalité) :

  • Ouvrez le Gestionnaire de serveur et cliquez sur ajouter des rôles et fonctionnalités

  • Sur l’Assistant, Ajouter des rôles et fonctionnalités puis cliquez sur suivant

  • Laissez la valeur par défaut : installation basée sur un rôle ou une fonctionnalité et cliquez sur suivant

  • Sélectionnez votre serveur et cliquez sur suivant

  • Sur l’écran des rôles, cliquez sur suivant

  • Sur l’écran des fonctionnalités sélectionnez sauvegarde de Windows Server et cliquez sur suivant !

  • Cliquez sur installer

  • Une fois l’installation terminée, cliquez sur fermer

Une fois la fonctionnalité installée, il ne reste plus qu’à l’utiliser ! Ouvrez le Gestionnaire de serveur, cliquez sur outils, puis cliquez sur sauvegarde de Windows Server !

Voici les différentes étapes à suivre pour effectuer une sauvegarde de l’AD :

  • Lancez l'outil :)

  • Cliquez sur sauvegarde locale (si ce n’est pas déjà sélectionné),

  • Sur le menu Action, cliquez sur sauvegarde unique,

  • Dans l’Assistant sauvegarde unique, cliquez sur différentes options, puis cliquez sur suivant

  • Sélectionnez l'état du système, puis sur suivant

  • Spécifiez le type de destination (lecteurs locaux ou dossier partagé distant) puis cliquez sur suivant

  • Enfin, cliquez sur sauvegarde

Ce type de sauvegarde permet de s’assurer que la base de données sera intégralement sauvegardée, et ce malgré le fait qu’elle est en cours d’utilisation !

La seconde façon d'utiliser cet outil est en ligne de commande. Il peut être plus pratique à utiliser et plus rapide à mettre en œuvre lorsque l’on connaît les arguments à spécifier à la commande  wbadmin.exe  !

Voici l’aide de cette commande :

Wbadmin start backup [-backupTarget:{<BackupTargetLocation> |<TargetNetworkShare>}][-include:<ItemsToInclude>][-nonRecurseInclude:<ItemsToInclude>][-exclude:<ItemsToExclude>][-nonRecurseExclude:<ItemsToExclude>][-allCritical][-systemState][-noVerify][-user:<UserName>][-password:<Password>][-noInheritAcl][-vssFull | -vssCopy] [-quiet]

Une ligne de commande pour sauvegarder notre AD sur le lecteur e: serait donc :

wbadmin start backup –backupTarget:e: –systemstate -vssfull

L’option -backuptarget:e: spécifie le dossier de destination, ici e:\

L’option -systemstate permet justement de sauvegarder le répertoire SYSVOL (contenant les GPO et scripts de démarrage), ainsi que l’Active Directory mais surtout le fichier de stockage de la base de données NTDS.DIT !

L’option -vssfull permet d’effectuer une copie complète.

Voilà vous savez tout sur les deux opérations de base qu’il faut mettre en œuvre obligatoirement pour ne pas avoir de problèmes sur son Active Directory en entreprise !

Maintenant, à vous de mettre en œuvre tout cela dans l’activité de ce cours !

En résumé

  • Une exploitation quotidienne d’un AD est primordiale pour que le service fonctionne correctement

  • Une surveillance des processus internes de l’AD est possible avec Nagios et le plug-in check_ad

  • Une sauvegarde régulière est obligatoire pour ne pas avoir de mauvaises surprises

Exemple de certificat de réussite
Exemple de certificat de réussite