dimanche 23 janvier 2022

Clonage d'un contrôleur de domaine virtuel

A partir du Windows 2012, le clonage d'un contrôleur de domaine virtuel est possible et supporté par Microsoft.

Dans cet article, nous allons expliquer comment cloner un contrôleur de domaine virtuel.

Prérequis:

Pour cloner un contrôleur de domaine, voici les prérequis à préparer:
  • Un hyperviseur qui supporte VM-GenerationID.
  • Un PDC sur un contrôleur de domaine sous Windows 2012 ou plus.
  • Un contrôleur de domaine virtuel sous Windows 2012 ou plus pour être utilisé comme un contrôleur de domaine source
  • Un compte membre du groupe Admin du domaine, pour l'utiliser pendant l'opération du clonage.

Le groupe "Cloneable Domain Controllers":  

Ce groupe est créé automatiquement avec les bonnes permissions lors du déplacement du PDC vers un contrôleur de domaine sous Windows 2012 ou plus.
En cas de suppression, il est possible de le créer avec les permissions requises.
Pour plus de détails je vous invite à consulter ce lien:
 Comment restaurer les permissions du groupe "Cloneable Domain Controllers"
Il est également possible d'autoriser au contrôleur de domaine source d'être cloné même sans l'ajouter dans ce groupe.
Si vous utilisez cette méthode ,il ne faut pas oublier d'enlever le droit "Allow a DC to create a clone of itself" après la fin de l'opération:


Vérifier la configuration du PDC:

Le PDC a un rôle important dans le processus du clonage. Il faut le placer sur un DC sous Windows 2012 ou sous une version plus récente et s'assurer qu'il est toujours joignable pendant l'opération de clonage.

Pour déplacer le PDC vers un contrôleur de domaine sous Windows 2012 ou plus, je vous invite à consulter ce lien : Gérer l'emplacement des rôles FSMO

Vérifier la version de l'hyperviseur:

Pour valider si un hyperviseur supporte VM-GenerationID, depuis une machine virtuelle ,il faut vérifier dans le gestionnaire de périphériques la présence du pilote Compteur de génération Microsoft Hyper-v si l'OS est anglais il a le nom suivant: Microsoft Hyper-V Generation Counter:

Préparer le contrôleur de domaine source:

  • Le contrôleur de domaine source doit être installé sur Windows 2012 ou plus
  • Ajouter le compte ordinateur du contrôleur source dans le groupe "Cloneable Domain Controllers". Cela est possible à travers la console utilisateurs et ordinateurs active directory:


Et aussi via Powershell via la commande suivante :


Add-ADGroupMember "Cloneable domain controllers " "DC-source-Name"

  • Afficher la liste des programmes et les rôles incompatibles via la commande : 

Get-ADDCCloningExcludeApplicationList

Désinstaller les services et les rôles qui ne supportent pas le clonage ,ensuite ,valider le reste à travers la commande suivante:

Get-ADDCCloningExcludeApplicationList -GenerateXml

La commande ci-dessous permet de créer un fichier xml pour inclure les services autorisés.

Maintenant, aucune application n'est exclue, valider via la commande suivante :

Get-ADDCCloningExcludeApplicationList


  • Créer le fichier DCCloneConfig.xml qui contient les paramètres du nouveau contrôleur de domaine via la commande suivante:
New-ADDCCloneConfigFile -Static -CloneComputerName "Cloned_DC_Name" 
-SiteName "Target-AD-SiteNAme" -IPv4Address "New-IP" -IPvDNSResolver "DNS-IP"
-IPv4SubnetMask "255.255.255.0"
  • Arrêter le contrôleur de domaine source.

Créer la machine virtuelle du nouveau contrôleur de domaine cloné:

Pour créer la nouvelle machine virtuelle qui va héberger le nouveau contrôleur de domaine cloné,  nous avons deux possibilités:

  1. Copier les disques de la machine source
  2. Utiliser l'option export et import de l'hyper-v (méthode recommandée)
Dans notre LAB, nous allons utiliser l'option EXPORT qui permet de copier tous les fichiers de la machine virtuelle source dans un autre emplacement.

Ci-dessous les différentes étapes à suivre:
  • Depuis la console hyper-v, cliquer avec le bouton droit de la souris sur la machine virtuelle du contrôleur de domaine source et appuyer sur Export:



  • Spécifier l'emplacement de la nouvelle machine virtuelle du nouveau contrôleur de domaine cloné:

  • Il est possible aussi de lancer l'exportaion via Powershell:
Export-VM "Source-DC-2016" -path "C:\VM-TEST\VM\ClonedDC\"
  • Importer la nouvelle machine en cliquant sur l'option Import Virtual Machine dans la console Hyper-v:
  • La fenêtre ci-dessous s'affiche, cliquer sur Next:

  • Spécifier l'emplacement de la machine à importer et cliquer sur Next:

  • Sélectionner la machine virtuelle à importer et cliquer sur Next:

  • Spécifier le type de l'import, pour éviter le conflit avec la machine source il est recommandé de créer un nouveau unique ID:
  • Spécifier l'emplacement des fichiers de la nouvelle machine virtuelle et cliquer sur Next:

  • Spécifier l'emplacement des fichiers VHD de la nouvelle machine et cliquer sur Next:

  • Cliquer sur Finish:

  • Maintenant,pour lancer l'opération du clonage, vérifier que le PDC est bien en ligne ,ensuite ,démarrer la nouvelle machine virtuelle du contrôleur de domaine cloné en gardant la machine source arrêtée: le clonage va se lancer automatiquement:

Une fois que l'opération du clonage est terminée, vérifier l'état de santé du nouveau contrôleur du domaine et la réplication entre ses partenaires de réplication.
En cas de problème, il faut examiner le contenu du fichier dcpromo.log qui existe sous le répertoire  C:\Windows\Debug

vendredi 14 janvier 2022

Réinitialiser le mot de passe KRBTGT


 Le compte krbtgt est créé par défaut lors de l'installation du premier contrôleur de domaine dans le domaine et après la promotion d'un RODC.
On ne peut pas modifier ou supprimer le compte KRBTGT.
Le compte krbtgt doit être toujours désactivé.
Le mot  de passe du compte krbtgt est utiliser par le Key Distribution Center (contrôleur de domaine) comme une clé pour crypter les ticket kerberos.
Le mot de passe krbtgt est répliqué uniquement sur les DC R/W, chaque RODC possède son propre compte krbtgt pour gérer les demandes hereros.

Tous les tickets kerberos TGT déjà délivrés avant le changement de mot de passe krbtgt seront invalide, il faut que le client reçoit un autre ticket TGT pour accéder à une ressource via l'authentification kerberos.

Si le niveau fonctionnel du domaine est 2003 et vous l'augmenter vers 2008 ou plus ,Le mot de passe krbtgt sera initialiser automatiquement.
Avant de réinitialiser le mot de passe krbtgt,:
  • Il faut que le niveau fonctionnel du domaine soir 2008 ou plus.
  • Aucun problème e de réplication entre les contrôleur de domaine R/W
  • krbtgt garde les deux derniers mots dans l'historique , pour cela il est recommandé de changer le mot de passe deux fois , et avant de changer le mot de passe la deuxième fois , il faut attendre que le premièr changement soit répliqué sur tous les contrôleurs de domaine
  • choisir un mot de passe compliqué

Je vous invite également à consulter un lien sur le forum technet sur le même sujet: Réinitialiser KRBTGT