Cours informatique d Active Directory et .Net

Restauration Windows Server Backup 1/2

On ne peut pas restaurer un DC à une date antérieure à la période de Tombstone

Depuis Windows 2008, il est possible de faire une restauration complète d’un DC en démarrant depuis le DVD d’installation. Vérifier une fois que la restauration est effectuée que tout réplique bien et qu’il n’y a pas d’erreurs dans les logs. Faire un DCDIAG /V /E pour valider le bon fonctionnement de l’annuaire.

Pour faire une restauration autoritaire (restaurer un objet supprimé par exemple), il faut redémarrer en mode

« Restauration des services d’annuaire ». (WS.10).aspx

Mise en pratique :

Démarrer sur le CD d’installation et cliquer sur « Réparer l’ordinateur ». Restaurer avec la sauvegarde disque.

 

Restauration Windows Server Backup 2/2

TP : restauration autoritaire

Au redémarrage, appuyer sur F8.

Démarrer en mode « Restauration des services d’annuaire ».

Lancer Windows Server Backup et faire une restauration classique.

Lancer l’utilitaire NTDSUTIL pour marquer les objets qui sont à restaurer de manière autoritaire (cela incrémente le numéro USN de l’objet). Appliquer la procédure suivante : (WS.10).aspx

Attention aux problèmes d’appartenance des groupes. Préférer utiliser la corbeille Active Directory quand cela est possible.

Cependant, lors de la restauration on ne pouvait récupérer que 5 attributs dont le SAMACCOUNTNAME (login pré Windows 2000), le SID et le GUID. Les appartenances aux groupes étaient perdues. L’activation de la corbeille est irréversible

La forêt doit être en mode natif 2008 R2 pour activer cette fonctionnalité. La durée de vie pendant laquelle les objets peuvent être restaurés est contrôlés par le paramètre « msDS-deletedObjectLifetime ». Ne pas oublier de définir la valeur souhaitée.

TP : la corbeille Active Directory 1/2

Vérifier que la forêt est en mode natif 2008 R2 (en PowerShell)

Activer la corbeille Active Directory en tapant la commande suivante (remplacer le nom de domaine, ici par le nom de votre domaine) :

Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' –Scope ForestOrConfigurationSet Target

Configurer la durée de vie de la corbeille.

Set-ADObject -Identity "CN=Directory Service,CN=Windows

NT,CN=Services,CN=Configuration,DC=formation10,DC=Lan" -Partition

"CN=Configuration,DC=formation10,DC=Lan" -Replace:@{"msDS-DeletedObjectLifeTime" = 365} Créer un compte utilisateur testsuppr1 et un groupe Testlab2. Ajouter l’utilisateur dans le groupe. Ouvrir une session avec ce compte et personnaliser la session.

Supprimer ce compte utilisateur. Lister les objets supprimés :

Get-ADObject -Filter 'isdeleted -eq $true -and name -ne "Deleted Objects"' -

IncludeDeletedObjects -Properties *

Get-ADObject -filter 'samaccountname -eq « guillaume.mathieu"' –IncludeDeletedObjects

Restaurer l’objet en tapant la commande suivante :

Get-ADObject -filter 'samaccountname -eq "dominique.mathieu"'

-IncludeDeletedObjects | Restore-ADObject

TP : la corbeille Active Directory 2/2

 

10. Notions avancées Active Directory :

135

Les paramètres avancées

Compléments d’informations sur les paramètres de sécurité Active Directory (quotas…) :

?post/2008/02/27/Reset-du-mot-de-passe-Admin-dudomaine-sous-Windows-Server-2003

Visibilité du champ UserPassword : ?post/2009/11/23/l-attribut-UserPassword-en-clear-text

Configuration des paramètres KERBEROS :

Lorsque l’on rencontre des problèmes de désynchronisation horaire sur les stations de travail, il peut être intéressant d’augmenter le paramètre « Maximum tolerance for computer clock synchronisation » à plus de 5 minutes.

 

Méthodologie dépannage AD 1/2

Etape 1 : Faire une sauvegarde de l’Etat du Système avant toutes modifications. Avant d’effectuer la moindre modification, valider qu’il existe une sauvegarde de l’Etat du système pour chaque contrôleur de domaine (au moins un DC par domaine). Valider le bon fonctionnement de la sauvegarde en lançant la console « Windows Server Backup ».

Etape 2 : reproduction du problème :

Reproduire le problème : généralement quand on arrive à reproduire le problème, l’incident à 90% de chance d’être résolu.

Etape 3 : Vérification préliminaire :

Valider que les services suivants sont démarrés sur tous les DC :

Appel de procédure distante (RPC), Assistance NetBIOS sur TCP/IP, Centre de Distribution de

Clés Kerberos, Client DHCP (gère la mise à jour dynamique DNS, Explorateur d’ordinateurs (pour le voisinage réseau), Messagerie Inter-site Netlogon, Registre à distance, Réplication de fichiers (si niveau fonctionnelle domaine < 2008 natif), Réplication DFS (si niveau fonctionnelle domaine > 2003 R2), Serveur DNS, Services de domaine Active Directory, Services Web Active Directory

Désactiver temporairement UAC et le pare Windows.

Vérifier que les stations de travail peuvent communiquer avec les contrôleurs de domaine (ping).

Validation la configuration DNS (tous les DC ont le même serveur DNS principal).

Valider le bon fonctionnement de la réplication Active Directory (NTDS) et SYSVOL. Pour cela, lancer la console « Sites et Services Active Directory » et forcer la réplication. Copier un fichier dans c:\windows\sysvol\sysvol et valider que ce fichier apparaît dans sur tous les DC.

Valider qu’il n’y a pas plus de 5 minutes de décalage horaire entre les différentes machines (DC comme stations de travail).

Lancer les outils de diagnostics DCDIAG, REPADMIN, MPSREPORT, REPLMON…

Etape 5 : recherche et validation solution :

Vous pouvez vous appuyer sur les sites communautaires (), les NEWGROUP et la base de connaissance Microsoft () . Pour plus d’informations, voir l’article « A la découverte de la communauté Microsoft » sur

Une fois la solution trouvée, il faut monter une maquette pour valider la solution.

Faire une sauvegarde avant toute application de la solution sur l’environnement de production.

Les observateurs d’événements 1/2

Analyser le contenu des journaux Systèmes, Application, Key Management Service, Réplication DFS (pour SYSVOL et le DFS), Service DNS, Services d’annuaire, Services Web Active Directory.

Configurer les filtres pour n’afficher que les avertissements, les erreurs et les messages critiques.

Quelques erreurs à rechercher : USERENV, NTDS REPLICATION, NETLOGON, SAM, NTDS, DNS-SERVER-SERVICE, DFS-REPLICATION, SCECLI.

De nombreuses erreurs vont remonter. Chercher les causes pas les conséquences. Astuces : Aller sur et taper la source de l’événement et le code d’erreur après (exemple : NETLOGON 5722).

Pour les recherches dans la base de connaissance Microsoft (, toujours en anglais).

 

Les observateurs d’événements 2/2

Pour afficher les événements de plusieurs journaux, passer par les vues !

 

NTDSUTIL :

➢ Réinitialisation du mot de passe compte restauration des services d’annuaire.

➢ Permet de défragmenter l’annuaire.

➢ Permet de faire une restauration autoritaire.

➢ Permet de forcer le transfert d’un rôle.

➢ Permet de créer des SNAPSHOT d’Active Directory (que l’on peut monter en lecture seule).

➢ Permet de créer des partitions d’application.

DCDIAG /V /E > c:\ :

➢ Permet de valider la configuration des contrôleurs de domaine de toute la forêt. Attention ce dernier s’appuie sur les noms NETBIOS. Donc il faut pouvoir résoudre tous les contrôleurs de domaine avec leurs noms NETBIOS.

➢ Faire une recherche sur le mot « Fail » ou « Echec » au niveau du fichier de sortie.

DCPROMO /FORCEREMOVAL :

➢ Permet de forcer la suppression d’un contrôleur de domaine. Ce dernier ne contacte pas les autres DC qui référencent donc toujours le DC. Il faut faire ensuite un NTDSUTIL METADATACLEANUP

DFSDIAG :

Permet de valider le bon fonctionnement de la réplication DFS-R (SYSVOL).

REPADMIN :

➢ Repadmin /KCC : permet de forcer l’ISTG / KCC a régénérer la topologie de réplication (liens connexions dans la console Sites et Services Active Directory).

➢ Repadmin /showrepl : permet de valider le bon fonctionnement de la réplication.

➢ Repadmin /options nom_serveur +Disable_Outbound_REPL

➢ Repadmin /options nom_serveur +Disable_Inbound_REPL

 

Attention, en Français il y

a un bug avec l’invite de

commande quand on redirige une commande vers un fichier de sortie. En fait le fichier est chiffré en UTF8. Il faut donc l’enregistrer dans le bon format.

Suppression d’un DC et nettoyage AD 1/2

Pré-requis :

Disposez de 2 DC qui répliquent et qui sont serveur de « Catalogue Global ».

Déterminer sur quel DC les rôles FSMO sont installés. Si les rôles sont répartis, les transférer sur un unique contrôleur de domaine.

Mise en pratique :

Sur le contrôleur de domaine qui dispose de tous les rôles FSMO, taper la commande :

DCPROMO /FORCEREMOVAL.

Saisir un nouveau mot de passe administrateur local (la base SAM va être recréée).

Suppression d’un DC et nettoyage AD 2/2

 

Suppression d’un DC en mode forcé

A ne faire que si la suppression du contrôleur de domaine échoue !

Toujours faire une sauvegarde de l’annuaire (sauvegarde complète avec Windows Server Backup).

Configurer l’ancien DC en tant que serveur en groupe de travail : Exécution de la commande DCPROMO /FORCEREMOVAL

Ouvrir un invite de commande et lancer l’utilitaire NTDSUTIL.

Utiliser l’utilitaire NTDSUTIL pour supprimer les références à l’ancien contrôleur de domaine. Attention une simple suppression du compte ordinateur en suffit pas! Pour cela appliquer l’article Microsoft suivant : -us

Ne pas se tromper au niveau de la partie « Select Operation target ». On sélectionne le DC que l’on veut supprimer.

Forcer le transfert des rôles FSMO (avec l’outil NTDSUTIL). Pour cela appliquer l’article Microsoft suivant :

Procédure à appliquer avec les DC 2012 et versions ultérieures :

Les outils de migration / restructuration 1/2

Migration de ressources entre forêts  / fusion de deux forêts en une seule : Utilisation de l’outil ADMT 3.1 / ADMT 3.2 (pas de prise en charge des annuaires gérés par des contrôleurs de domaine Windows 2000).

Utilisation de l’attribut SID History.

Les ressources sont copiés entre le domaine source et le domaine cible. Commencer par migrer tous les groupes, puis tous les comptes utilisateurs. Migrer ensuite les comptes ordinateurs par lots.

Attention lors de la suppression de l’ancien domaine, les anciens SID ne sont plus résolus. Il faut donc lancer l’assistant translation des SID sur tous les serveurs. Voir outil tiers pour les NAS NETAPP / EMC…

Les outils de migration / restructuration 2/2

Fusion de deux domaines dans la même forêt :

Outils : Microsoft ADMT (gratuit) ou Quest Migration Manager (payant).

Les ressources sont déplacées avec ADMT. Il faut migrer les groupes (les passer en groupes universelles) puis migrer par les lots les comptes utilisateurs / comptes ordinateurs.

L’agent ADMT exécute un script qui va permettre de changer la machine de domaine et de translater les SID. Lancer l’outil avec un compte utilisateur du domaine source (administrateur du domaine source et BUILTIN\Administrateurs dans le domaine cible).

?familyid=6D710919-1BA5-41CAB2F3-C11BCB4857AF&displaylang=en

Mise à jour des contrôleurs de domaine :

Utilisation de l’outil ADPREP pour mettre à jour le schéma Active Directory. Migration par ajout et suppression de contrôleurs de domaine. (WS.10).aspx

11. Les services réseaux :

149

Le service DHCP

Permet d’affecter dynamiquement une adresse IP à des stations de travail.

Réservation IP : affectation d’une IP à une adresse MAC (utile pour les imprimantes ou les éléments dont l’IP ne doit pas changer).

Le service DHCP de Windows s’interface avec le service DNS. Le serveur DHCP peut mettre à jour les enregistrements DNS dynamiques à la place des stations de travail.

Il est nécessaire d’autoriser le serveur DHCP sur une machine membre / contrôleur d’un domaine (nécessite les droits administrateur de l’entreprise).

Activer la détection des conflits IP (au niveau des propriétés du serveur DNS). Cocher la case « Ignorer les enregistrements A et PTR lorsque le bail est supprimé ».

Pour les problèmes avec les mises à jour dynamiques DNS : voir

Quelques problèmes connus :

Croix rouge au niveau des baux DHCP :

Erreurs DCHP 1010 / 1014 :

Doublons dans les zones DNS :

TP : le service DHCP

Déconnecter la salle du cours du réseau d’entreprise ou faire sur des machines virtuelles dans un réseau isolé.

Installer le service DHCP (ajout du rôle depuis le Gestionnaire de Server). Créer  une étendue DHCP avec deux adresses (voir formateur) et la configurer pour affecter une adresse de serveurs DNS / Wins / passerelle). Tester le fonctionnement de l’étendue. Que se passe t’il ?

Tester les commandes ipconfig /release et ipconfig /renew et ipconfig /all Arrêter tous les serveurs DHCP. Faire un ipconfig /release et un ipconfig /renew. Que se passe t’il ?

Créer une réservation IP.

Le WINS / LMHOST

Wins : Windows Internet Naming Service

Protocole permettant  de résoudre des noms NETBIOS (toto) en adresse IP.

Utiliser aujourd’hui encore pour accélérer l’affichage du voisinage réseau.

Mise en pratique :

Avec le bloc Note, ouvrir le fichier C:\WINDOWS\system32\drivers\etc\ . A quoi sert ce fichier ?

Installer le service WINS (Ajout de fonctionnalités dans le Gestionnaire de Server).

Configurer le serveur pour s’enregistrer dans la base WINS (paramètres TCP / IP, paramètres avancées).

Créer un enregistrement www avec comme IP 192.168.0.1. Faire un ping de www puis un nbstat -n puis nbtstat -R. Qu’est ce qu’est le cache Wins.

Configurer votre serveur WINS pour être partenaire de réplication avec un autre serveur WINS.

Renommer le fichier en LMHOST et configurer Windows pour utiliser ce fichier. Créer une entrée dans ce fichier et conclure.

Présenter le fonctionnement du voisinage réseau et exécuter la commande

« Browstat status ». Qu’est ce qu’un master browser ?

Lire article

11. Sécuriser son annuaire Active Directory :

153

La sécurité en 2019 : quelques chiffres

➢  280 jours : délais pour détecter une attaque

➢  63 jours : délais pour s’en remettre

➢  20 minutes (Petya) : 2000 machines, 100 serveurs, sauvegarde HS

➢  81 % : les entreprises françaises ciblées par une attaque informatique en 2015.

➢  35 % : source de l’incident de sécurité, l’équipe IT

La méthodologie pour sécuriser son AD

Faire un état des lieux de la sécurité de son AD

Avec Ping Castle, c’est gratuit et automatique !

 

Outils pour faire des tests d’intrusion Active Directory

Principaux outils de tests d’intrusion :

Cain, DSInternal, Metasploit, Mimikatz, PowerSploit, PSEXEC

Méthodologie d’attaques :

Elévation de privilèges, mouvement latéral, social engineering, altération des fichiers du système.

Scénario d’attaque :

Je deviens administrateur local de la machine (via une faille de sécurité, en copiant / renommant par en console de récupération).

Une fois administrateur local, j’escalade en tant que SYSTEM (PSEXEC -i –s cmd).

Une fois SYSTEM, je me connecte à la mémoire du processus de la machine pour des Hash de mots de passe de compte à fort privilège.

Je me connecte via ses comptes à fort privilèges à d’autres machines.

Je fouille la mémoire du processus d’autres machines jusqu’à devenir Domain Admins / Enterprise Admins.

Je me crée un Golden Ticket pour disposer d’une porte dérobée pour rentrer sur l’annuaire AD quand je le souhaite.

Les actions pour sécuriser son AD

Visionner les vidéos suivantes :

Msreport - durcissement de la sécurité Active Directory - vue d'ensemble

Msreport - les élévations de privilèges Active Directory et comment les détecter Lire le guide “Tester la sécurité de son annuaire Active Directory”.