Active Directory et Windows Azure

Lorsque l’on veut utiliser l’authentification AD dans des VM hébergées dans Azure, il y a un ensemble de précautions et de considérations à avoir en tête. Dans cette présentation ave Stanislas, revenons sur les aspects majeurs à considérer :

Un des prérequis est d’avoir une liaison site à site comme décrite ici :

Interconnexion de Windows Azure IaaS avec votre Datacenter – http://blogs.technet.com/b/arnaud/archive/2013/10/14/interconnexion-de-windows-azure-iaas-avec-votre-datacenter.aspx

Cloud Hybride : VPN Site-à-Site avec Azure et Windows Server 2012 – http://blogs.technet.com/b/arnaud/archive/2013/06/06/cloud-hybride-vpn-site-224-site-avec-azure-et-windows-server-2012.aspx

Enfin, plus d’informations plus d’informations sont disponibles ici :

Guidelines for Deploying Windows Server Active Directory on Windows Azure Virtual Machines – http://msdn.microsoft.com/library/windowsazure/jj156090.aspx

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Pour tester Windows Azure : https://aka.ms/Azure0Euro  

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

Interconnexion de Windows Azure IaaS avec votre Datacenter

Lorsque l’on veut interconnecter Windows Azure IaaS avec le datacenter d’entreprise, on a la possibilité d’utiliser le VPN site-à-site avec la passerelle Azure. Découvrez comment mettre cela en œuvre dans cette petite vidéo avec Stanislas !

Nous ne parlons pas dans cette démo de l’option MPLS, mais elle a été annoncée aux Etats Unis avec AT&T, on peut donc raisonnablement penser que cette option pourrait venir en Europe dans les mois prochains au fur et à mesure que des accords seront signés avec les opérateurs régionaux !

Annonce AT&T : http://www.business.att.com/enterprise/Family/network-services/ip-vpn/ 

Annonce Microsoft :http://www.microsoft.com/en-us/news/press/2013/sep13/09-18msattpr.aspx 

Un partenariat avec Equinix a également été annoncé plus récemment, il sera donc possible d’y avoir encore plus de débit ! http://www.microsoft.com/en-us/news/press/2013/oct13/10-07hybridcloudpr.aspx 

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Pour tester Windows Azure : https://aka.ms/Azure0Euro  

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

    Remote Live Monitoring avec Windows Server 2012 R2

    Windows Server 2012 R2 permet désormais de prendre des traces réseau et système à distance. Pour le mettre en œuvre vous devez d’abord télécharger Message Analyzer (le successeur de Network Monitor).

    Ceci est possible grâce au tracing ETW (Event Tracing for Windows) pris en remoting WMI. Plutôt que de philosopher, regardons comment le mettre en place !

    masplash

    Première trace à distance

    Au démarrage de MA, on sélectionne l’écran Capture/Trace et on obtient l’écran suivant :

    trace0

    On commence par spécifier l’hôte de capture. Par défaut c’est localhost mais on peut ajouter des machines Windows Server 2012 R2 (et Windows 8.1) distants comme ceci :

    trace1

    On fois l’hôte sélectionné, on spécifie les éléments que l’on veut tracer en sélectionnant le scénario (partie centrale de l’écran), ce qui a pour effet d’ajouter les composants à tracer dans la section de droite :

    trace2

    Dans cette liste on a le premier élément : Microsoft-Windows-NDIS-PacketCapture qui a une option Configure disponible :

    trace3

    On peut ainsi restreindre la capture :

    • a des machines virtuelles ou switch virtuel
    • a des cartes réseau physiques ou logiques

    Mon petit conseil, n’oubliez pas de cocher la case “All layers” qui n’est pas mise par défaut. Si vous ne la cochez pas, la capture ne contiendra que les infos de bas niveau (udp/tcp). Une fois cela effectué, on lance la trace réseau avec le bouton Play et on génère un peu de trafic en utilisant le partage SMB sur mon serveur hyperspeed-2.

    On obtient alors ce qui commence à ressembler à une trace réseau :

    trace4

    Pour ceux qui ont déjà mis en œuvre de l’Unified Tracing depuis Windows 7 cela devrait leur être familier car on a bien une trace réseau avec en plus des évènements de trace système.

    De la couleur !

    Si vous trouvez que la trace est un peu tristoune (c’est ce que beaucoup de clients reprochaient à Netmon, le manque de couleurs !!!), il y a maintenant par défaut un ensemble de filtres de couleurs pour discriminer rapidement les éléments d’une trace (le traffic Kerberos, les resets TCP, les débuts et fins de sessions TCP, etc.) :

    trace7

    Des Dashboards

    Regardons rapidement quelques écrans intéressants de Message Analyzer comme les Dashboard de protocoles et les Flux SMB :

    trace5

    Voici le protocol Dashboard :

    trace6

    Celui-ci permet d’avoir un aperçu des trafic présents dans la trace, ainsi que de discriminer les volumes de trafic dans le temps. Il est interactif et permet par exemple de zoomer sur un protocole en particulier pour examiner les flux. 

    Le diagramme des flux SMB ressemble à ceci :

    trace8

    Ce deux vues par défaut ont été créées pour offrir une vue rapide sur les protocoles utilisées dans une conversation réseau ainsi que les fichiers échangés SMB dans une trace. Il existe bien d’autres subtilités dans Message Analyzer que nous découvrirons dans d’autres articles.

    On est maintenant prêt à tracer à distance ce que se passe, sur une carte réseau physique ou virtuelle ou sur une VM ou un switch virtuel, et cela, c’est plutôt pratique !

    Références :

    Microsoft Message Analyzer Operating Guide – http://technet.microsoft.com/en-us/library/jj649776.aspx

    Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

    Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

    https://aka.ms/itCampFr

    Arnaud – les bons tuyaux

    IPAM dans Windows Server 2012 R2 et System Center 2012 R2

    IPAM (IP Address Management) est un service d’entreprise qui permet de gérer de manière centralisée, les informations concernant l’utilisation d’adresses IP au sein d’une organisation. Ceci se fait en en consolidant les informations provenant de l’Active Directory, du DHCP, du DNS, de NPS, de Virtual Machine Manager et même d’entrées manuelles (pour remplacer la bonne vieille fiche Excel de gestion des IP).

    Après la première implémentation de la technologie dans Windows Server 2012, nous avons fait évoluer la fonctionnalité dans Windows Server 2012 R2 pour inclure beaucoup d’améliorations et principalement :

    1. Gestion des espaces d’adressages virtualisés avec la virtualisation de réseau de System Center Virtual Machine Manager
    2. Synchronisation des réseaux avec la notion de sites Active Directory
    3. Définition pour granulaire des rôles (administration, vue uniquement d’une partie de l’espace d’adressage ou de noms)
    4. Statistiques détaillées par zones (pour environnement hautement concentrés)
    5. Support de SQL Server pour stocker les informations (dans 2012, uniquement avec Windows Integrated Database)
    6. Support de DHCP amélioré (support de DHCP failover, de l’attribution d’adresses par stratégie, des superscopes, des filtres et réservations)
    7. Support de PowerShell étendu

    L’interface est désormais constituée de 7 parties principales :

    • Server inventory management
    • IP address space management
    • Virtualized address space
    • Management and Monitoring of DHCP and DNS
    • Event Catalog
    • IP address tracking
    • Access Control

    Comme on peut le voir sur la capture suivante :

    mainscreen

    Prenons un peu de temps pour étudier quelques aspects.

     

    Améliorations pour le support de DHCP :

    Désormais l’interface principale d’IPAM permet de gérer quasiment l’ensemble des informations relatives aux espaces d’adressages configurables dans les MMC de DHCP. On peut ainsi administrer les relations de failover entre serveurs DHCP, gérer les attributions d’adresses par stratégies, les réservations, filtres et les superscopes.

    Voici quelques unes des options de gestion d’une étendue DHCP :

    scopemanagement

    On peut par exemple désormais configurer les stratégies d’attribution d’adresses directement dans IPAM :

    configurepolicy

    Nous avons également une vue et une gestion des réservations intégrée, en sélectionnant la vue “Reservations” de la partie DHCP Scopes :

    reservations

     

    Gestion des réseaux virtualisés de System Center Virtual Machine Manager 2012 :

    La virtualisation de réseau permet, à partir de Windows Server 2012 et System Center 2012 SP1, de faire cohabiter sur un réseau IP de datacenter, plusieurs réseaux de clients qui potentiellement partageraient le même espace d’adressage. Pour plus de détails sur la mise en œuvre de cette technologie, nous vous invitons à vous référer à la série d’article que Stanislas et moi même avons écrit.

     

    Comment activer la gestion des espaces d’adressage virtualisés

    Pour activer le reporting d’informations de System Center Virtual Machine Manager, il faut modifier la configuration de la fabrique pour activer le composant IPAM qui est désormais intégré.

    Ajout d’un service réseau dans la fabrique :

    scvmm1

    On ajoute ensuite un service que l’on nomme :

    scvmm2

    On doit spécifier un service de type Microsoft Windows Server IP Address Management :

    scvmm3

    On spécifie un compte avec des droits IPAM Administrator sur le serveur IPAM :

    scvmm4

    On spécifie ensuite le chemin de connexion (pour IPAM, c’est simple, c’est juste le nom du serveur) :

    scvmm5

    On teste la connexion et vérifie que l’on a bien un résultat “passed” et “implemented” :

    scvmm6

    On spécifie les groupes d’hyperviseurs que l’on souhaite inclure dans le scope du reporting IPAM :

    scvmm7

    On valide :

    scvmm8

    et on vérifie que le job s’effectue correctement !

     

    Administration des espaces virtualisés

    Lorsque l’environnement a été paramétré, on peut alors voir l’ensemble des informations relatives aux :

    • Espace d’adressage et adresses utilisées sur le réseau de Datacenter (provider addresses)
    • Espaces d’adressages et adresses des différents réseaux virtualisés (Customer addresses)

     

    Vision sur l’espace d’adressage PA :

    pa-spaces

    Avec la vue “IP address spaces”, on peut voir les différents espaces d’adressages utilisés dans le Datacenter pour la virtualisation de réseau (les adresses définies pour les logical network)

    Utilisation des adresses PA:

    pa-addresses

    Si on sélectionne la vue “IP addresses”, on peut alors voir quelles sont les IP attribuées aux hyperviseurs participants à la plateforme de virtualisation (les PA addresses)

     

    Vision des espaces d’adressages CA :

    ca-adressspace

    Lorsque l’on selectionne la partie Customer IP Addresse en bas à gauche, on a la possibilité de voir l’ensemble des espaces d’adressage pour les différents VM networks définis dans l’ensemble de la configuration.

    Utilisation des adresses CA :

    ca-addresses

    La vue “IP addresses” permet de voir les IP utilisées par les différentes machines virtuelles dans les différents réseaux virtualisés (ici dans mon exemple, j’ai deux VM dans deux sous réseaux virtualisés du client BlueCorp. A noter que je peux filtrer par “tenant” (locataire).  On peut également donner une vue plus restreinte (typiquement on peut offrir à un locataire une vue uniquement sur son espace d’adressage) en gérant les rôles et les vues comme nous le décrirons plus loin dans l’article.

    Améliorations d’administration

    Stockage des informations dans une base SQL

    On peut désormais stocker les informations d’IPAM vers une base SQL, cela facilite grandement la gestion de bases notamment lors de scénarios de reprise après incident. Lors de la mise à jour d’un service IPAM vers 2012 R2, l’assistant de déploiement vous propose de migrer les informations depuis la base WID vers le serveur SQL que vous lui indiquez. Cette opération peut également être effectuée avec la commande PowerShell : Move-IpamDatabase.

    Si vous faites une promotion depuis un environnement vierge, on vous propose alors d’entrer les informations de connexion :

    dbsetup

     

    Gestion des accès basé sur les rôles

    La gestion des accès basé sur les rôles utilisateur est fondamentale lorsque l’environnement tend à grandir et être adopté à l’échelle de l’entreprise.

    En lieu et place des quelques rôles basiques présents dans Windows Server 2012, on peut désormais définir des :

    • rôles : un ensemble d’opérations qui peuvent être permises et associées à des utilisateurs.
    • étendues d’accès : un ensemble d’objets auxquels un utilisateur a accès (par défaut l’étendue Global inclus l’ensemble des ressources, il est possible d’en personnaliser par géographie ou par locataire de réseau virtualisé par exemple).
    • stratégies d’accès : une combinaison de rôles et d’étendues d’accès.

    Il existe un ensemble de rôles par défaut :

    ipamroles

    On peut voir par exemple que le rôle “DNS Record Administrator Role”, peut créer et supprimer des enregistrements.

    Il est possible de paramétrer tout cela très finement pour répondre aux besoins d’audits et de séparation des rôles telle que toute bonne RSSI vous le recommandera !

     

    En résumé, IPAM dans Windows Server 2012 R2, c’est plus de fonctionnalités pour rendre la plateforme plus robuste à l’échelle de l’organisation.

     

    Références:

    What's New in IPAM in Windows Server 2012 R2 – http://technet.microsoft.com/en-us/library/dn268500.aspx 

     

    Pour tester Windows Server 2012 R2 et Hyper-V, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
    – d'une image ISO : https://aka.ms/jeveuxwindows2012r2
    – d'un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2

    Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

    https://aka.ms/itCampFr

     

    Arnaud – les bons tuyaux

    Windows Server 2012 R2 : Workplace Join et Device Registration Service – partie 1

    Dans le cadre du BYOD (Bring Your Own Device), on cherche a ajouter un peu de contrôle et de sécurité sur des périphériques qui sont “moins” gérés que les autres. Gérer des périphériques, on sait faire cela depuis des années avec Active Directory, et si a l’origine ou n’avait que Windows, on peut désormais rajouter tout un ensemble de périphériques dans l’AD pour y apporter plus ou moins de gestion.

    DRS fait partie d’un ensemble des technologies nouvelles dans Windows Server 2012 R2 pour le BYOD. Le rôle de DRS est d’authentifier des machines via Active Directory sans nécessairement les ajouter au domaine au sens classique. Ainsi on tirera partie de cette authentification pour contrôler l’accès à des ressources du réseau d’entreprise (la tablette comme second facteur d’authentification), ou encore pour faire du SSO. 

    DRS est implémenté en tant que partie d’AD FS (Active Directory Federation Services) et dans un premier temps on supporte les clients Windows 8.1 et iOS.

    Dans cet article nous mettrons en œuvre l’infrastructure qui permettra d’ajouter des tablettes ou périphériques depuis le réseau interne, mais cela est aussi réalisable depuis l’Internet.

    Objectifs de cet article : Pouvoir authentifier et autoriser l’accès à une application si mes utilisateurs sont authentifiés ET sont connectés depuis une tablette autorisée dans mon environnement.

         Cet article fait partie d’une série :  

    1. Ce premier article décrit comment mettre en place l’infrastructure pour le réseau interne.
    2. Un deuxième article décrira les tests basiques côté client
    3. Un troisième article décrira la mise en œuvre du contrôle d’accès sur l’application.

    Configuration côté serveur

    J’ai sur mon réseau interne un contrôleur de domaine nommé dublinr2-1 et une autorité de certification racine d’entreprise nommée ITCampTestCA dans mon domaine TESTITCAMP.CONTOSO.COM.

    /!\ ALERTE PKI /!\

    Attention, pour toutes les opérations, l’état de révocation des certificats va être vérifié, il faut donc que la PKI soit relativement propre…. C’est à dire un point de vérification du statut de révocation des certificats disponible quelque soit l’emplacement réseau des machines (dans le domaine ou en dehors).

    Pour la première étape, j’ajoute le rôle ADFS sur une machine nommé ADFS01 sans y effectuer le paramétrage initial… voyons le reste des étapes de configuration en détails. 

    adfs01

    Configuration de ADFS

    L’installation du rôle ADFS ayant été effectuée, je vais devoir planifier plusieurs facteurs importants, les certificats utilisés ainsi quels comptes de services utilisés.

    Création des comptes de service

    Mon domaine est en niveau fonctionnel 2012, je peux donc utiliser les comptes de services gMSA, je les crée en Powershell en utilisant la syntaxe suivante :

    Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

    New-ADServiceAccount ADFS-Gmsa -DNSHostName adfs01.itcamptest.contoso.com -ServicePrincipalNames http/adfs01.itcamptest.contoso.com

    Le première commande n’est utilisée que la première fois que l’on crée un gMSA dans un environnement (pour référence).

    La seconde ligne permet réellement la création du compte ainsi que son SPN.

    Création des certificats

    Nous allons maintenant demander un certificat qui correspond à cette machine et qui a le subject alternate name nécessaire pour DRS :

    Subject Name (CN): adfs01.itcamptest.contoso.com
    Subject Alternative Name (DNS): adfs01.itcamptest.contoso.com
    Subject Alternative Name (DNS): enterpriseregistration.itcamptest.contoso.com

    Paramétrage d’ADFS

    On lance l’assistant depuis le gestionnaire de serveur :

    adfs02

    Nous déployons le premier serveur ADFS de l’organisation :

    adfs03

    Spécifions des credentiels administrateurs du domaine :

    adfs04

    Nous sélectionnons maintenant le certificat adfs01.itcamptest.contoso.com que nous avons créé précédemment:

    adfs05

    Spécifions le compte de service que nous avons crée précédemment:

    adfs06

    Dans un environnement de production, j’utiliserai une base SQL, pour mon environnement de test, la base WID devrait faire l’affaire:

    adfs07

    Revoyons les options :

    adfs08

    adfs09

    Enfin :

    adfs10

    On remarquera ici un message d’attention qui nous spécifie que l’enregistrement du SPN ne s’est pas bien passé. C’est sans doute l’assistant qui ne s’attendait pas à ce que je l’ai déjà fait.

    Pour en avoir le cœur net, je vérifie avec setspn –q <SPNdeMonServeur>

    setspn01

    Cela m’a l’air correct Sourire 

    Activation de DRS

    Ouvrons une commande PowerShell pour activer le composant DRS:

    Pour Windows Server 2012 R2 Preview :

    Enable-AdfsDeviceRegistration –PrepareActiveDirectory –ServiceAccountName itcamptest\ADFS-Gmsa$

    Enable-ADFSDeviceReg01

    Pour Windows Server 2012 R2 RTM :

    Initialize-ADDeviceRegistration

    On active le service DRS : Enable-AdfsDeviceRegistration

    Enable-ADFSDeviceReg02

    Création des enregistrements DNS

    La machine ADFS01 va s’enregistrer et mettre à jour automatiquement dans le DNS, je dois en revanche crée un alias pour le nom utilisé par les machines clientes DRS soit le nom enterpriseregistration.<UPN du contexte utilisateur>.

    Dans mon environnement, l’UPN est itcamptest.contoso.com, j’utilise donc enterpriseregistration.itcamptest.contoso.com

    Dans la vraie vie, je devrais mettre un enregistrement pour tous les UPN présents dans mon organisation.

    Dans la console DNS, je modifie la zone de recherche directe liée à mon domaine :

    dns01

        

    Vérifications

    On peut enfin vérifier l’état opérationnel du service en confirmand la présence de l’évènement 100 dans le journal d’évènements “Device Registration Service/DRS/Admin” :

    eventlogs

    L’environnement serveur est maintenant prêt pour accueillir ses périphériques et tester la fonctionnalité de workplace join !

    Références :

    http://technet.microsoft.com/en-us/library/dn280938.aspx – Get Started with Workplace Join with a Windows Device: Walkthrough Guide

    http://technet.microsoft.com/en-us/library/dn280939.aspx – Setting up the lab environment 

    http://technet.microsoft.com/en-us/library/dn303423.aspx – How to deploy AD FS in Windows Server 2012 R2

    http://blogs.technet.com/b/byod-fr/archive/2013/07/11/byod-le-workplace-join-de-windows-server-2012-r2.aspx – BYOD : Le “Workplace Join” de Windows Server 2012 R2  –

    *Edit le 10/10/13 pour intégrer changements de Windows Server 2012 R2 RTM

    Pour tester Windows Server 2012 R2 et Hyper-V, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
    – d’une image ISO : https://aka.ms/jeveuxwindows2012r2
    – d’un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2

    Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

    https://aka.ms/itCampFr

    Arnaud – les bons tuyaux