Dans les chapitres précédents, vous avez réduit la surface d’attaque, c’est une excellente chose mais ce n’est pas suffisant. Je vous propose maintenant de vous permettre de garantir le bon fonctionnement de votre architecture Active Directory lors de son exploitation quotidienne.
Surveillez le fonctionnement de votre annuaire
L’annuaire est une ressource informatique à part entière. À ce titre, de nombreux traitements s’y font et doivent être surveillés. Je vous ai déjà parlé des réplications des partitions d’annuaires. Ces processus internes sont critiques, et peuvent créer des problèmes s’ils ne sont pas surveillés correctement. Souvent, l’Active Directory n’est pas supervisé car personne ne sait réellement où regarder : faut-il surveiller le matériel ? Faut-il surveiller un service ?
L’outil de supervision le plus présent en entreprise est Nagios. Cet outil est souvent le cœur d’un système de supervision plus étoffé, tel que Centreon. Quel que soit l’outil de supervision utilisé, il existe des extensions pour surveiller un Active Directory ! Je vous propose de regarder la plus connue des extensions de surveillance de l’AD : check_ad. Cette extension s’ajoute sur Nagios ou tout outil basé sur NRPE (Nagios Remote Plugin Executor), qui permet de lancer des extensions de Nagios directement sur un serveur distant !
Grâce à cette extension, check_ad, vous aurez accès aux informations que l’on peut retrouver en exécutant la commande dcdiag sur un contrôleur de domaine en ligne de commande. Cet outil permet de vérifier que le contrôleur de domaine est en bonne santé.
Vous allez me dire que tout cela est flou, non ?
Eh bien, voyons les tests effectués par dcdiag, puis les résultats récupérés par check_ad !
Comprenez le fonctionnement de dcdiag
La première étape pour dcdiag est d’établir la bonne connectivité du contrôleur de domaine sur lequel il est exécuté ! Cela va être fait en :
vérifiant que le contrôleur de domaine (DC) peut être identifié grâce au DNS ;
vérifiant que le DC répond aux requêtes ICMP ;
vérifiant que le DC autorise les connexions LDAP (une connexion sera effectuée par l’outil) ;
vérifiant que le DC autorise les fonctions d’authentification.
Une fois que ces premiers tests sont validés, les vérifications du cœur de l’AD commencent !
L’état des services RPCSS, EVENTSYSTEM, DNSCACHE, NTFRS, ISMSERV, KDC, SAMSS, SERVER, WORKSTATION, W32TIME, NETLOGON, NTDS et DFSR est vérifié. Ils doivent être en démarrage automatique !
Au final, si cette commande ne retourne pas d’alertes, c’est que votre AD est en bonne santé ! Que les différents contrôleurs de domaine sont synchronisés et accessibles aux clients !
Le plugin Check_AD va donc effectuer un dcdiag et retourner différents états : test de service OK, test de connectivité OK…
Grâce à ce type d’outil, vous allez pouvoir suivre l’état de santé de votre AD ! Je vous laisse choisir la solution de supervision la plus adaptée, et configurer ce type d’analyse avec des vérifications à intervalles réguliers !
Sauvegardez votre base de données
Active Directory est, vous l’avez vu tout au long de ce cours, une base de données. Vous avez spécifié son emplacement lors de la promotion d’un serveur en contrôleur de domaine. Comme toute base de données, il convient de la sauvegarder correctement.
Pour cela, Microsoft met à votre disposition un outil utilisable de deux façons. La première façon d'utiliser cet outil, Sauvegarde Windows Server (c'est son nom), se fait graphiquement, via le gestionnaire de serveur.
Voici les différentes étapes pour installer l’outil (et donc la fonctionnalité) :
ouvrez le Gestionnaire de serveur et cliquez sur Ajouter des rôles et fonctionnalités ;
sur l’assistant, Ajouter des rôles et fonctionnalités puis cliquez sur Suivant ;
laissez la valeur par défaut : Installation basée sur un rôle ou une fonctionnalité, et cliquez sur Suivant ;
sélectionnez votre serveur et cliquez sur Suivant ;
sur l’écran des rôles, cliquez sur Suivant ;
sur l’écran des fonctionnalités, sélectionnez Sauvegarde de Windows Server et cliquez sur Suivant ;
cliquez sur Installer ;
une fois l’installation terminée, cliquez sur Fermer.
Une fois la fonctionnalité installée, il ne reste plus qu’à l’utiliser ! Ouvrez le Gestionnaire de serveur, cliquez sur Outils, puis cliquez sur Sauvegarde de Windows Server !
Voici les différentes étapes à suivre pour effectuer une sauvegarde de l’AD :
lancez l'outil 🙂 ;
cliquez sur Sauvegarde locale (si ce n’est pas déjà sélectionné) ;
sur le menu Action, cliquez sur Sauvegarde unique ;
dans Assistant sauvegarde unique, cliquez sur Différentes options, puis cliquez sur Suivant ;
sélectionnez l'état du système, puis cliquez sur Suivant ;
spécifiez le type de destination (lecteurs locaux ou dossier partagé distant) puis cliquez sur Suivant ;
enfin, cliquez sur Sauvegarde.
Ce type de sauvegarde permet de s’assurer que la base de données sera intégralement sauvegardée, et ce malgré le fait qu’elle est en cours d’utilisation !
La seconde façon d'utiliser cet outil est en ligne de commande. Il peut être plus pratique à utiliser et plus rapide à mettre en œuvre lorsque l’on connaît les arguments à spécifier à la commande wbadmin.exe !
Voici l’aide de cette commande :
Wbadmin start backup [-backupTarget:{<BackupTargetLocation> |<TargetNetworkShare>}][-include:<ItemsToInclude>][-nonRecurseInclude:<ItemsToInclude>][-exclude:<ItemsToExclude>][-nonRecurseExclude:<ItemsToExclude>][-allCritical][-systemState][-noVerify][-user:<UserName>][-password:<Password>][-noInheritAcl][-vssFull | -vssCopy] [-quiet]Une ligne de commande pour sauvegarder notre AD sur le lecteur e: serait donc :
wbadmin start backup –backupTarget:e: –systemstate -vssfullL’option-backuptarget:e:spécifie le dossier de destination, ici e:\.
L’option -systemstate permet justement de sauvegarder le répertoire SYSVOL (contenant les GPO et scripts de démarrage), ainsi que l’Active Directory, mais surtout le fichier de stockage de la base de données NTDS.DIT !
L’option-vssfullpermet d’effectuer une copie complète.
Voilà, vous savez tout sur les deux opérations de base qu’il faut mettre en œuvre obligatoirement pour ne pas avoir de problèmes sur son Active Directory en entreprise !
Maintenant, à vous de mettre en œuvre tout cela dans l’activité de ce cours !
En résumé
Une exploitation quotidienne d’un AD est primordiale pour que le service fonctionne correctement.
Une surveillance des processus internes de l’AD est possible avec Nagios et le plug-in check_ad.
Une sauvegarde régulière et externalisée est obligatoire pour ne pas avoir de mauvaises surprises.
Jusqu’à maintenant, nous n’avons parlé que d’Active Directory déployé dans des architectures locales. Mais savez-vous que dans certains cas, il peut être intéressant de délocaliser vos serveurs AD ? Le prochain chapitre va justement vous en apprendre plus sur le sujet.
