IPAM dans Windows Server 2012 R2 et System Center 2012 R2

IPAM (IP Address Management) est un service d’entreprise qui permet de gérer de manière centralisée, les informations concernant l’utilisation d’adresses IP au sein d’une organisation. Ceci se fait en en consolidant les informations provenant de l’Active Directory, du DHCP, du DNS, de NPS, de Virtual Machine Manager et même d’entrées manuelles (pour remplacer la bonne vieille fiche Excel de gestion des IP).

Après la première implémentation de la technologie dans Windows Server 2012, nous avons fait évoluer la fonctionnalité dans Windows Server 2012 R2 pour inclure beaucoup d’améliorations et principalement :

  1. Gestion des espaces d’adressages virtualisés avec la virtualisation de réseau de System Center Virtual Machine Manager
  2. Synchronisation des réseaux avec la notion de sites Active Directory
  3. Définition pour granulaire des rôles (administration, vue uniquement d’une partie de l’espace d’adressage ou de noms)
  4. Statistiques détaillées par zones (pour environnement hautement concentrés)
  5. Support de SQL Server pour stocker les informations (dans 2012, uniquement avec Windows Integrated Database)
  6. Support de DHCP amélioré (support de DHCP failover, de l’attribution d’adresses par stratégie, des superscopes, des filtres et réservations)
  7. Support de PowerShell étendu

L’interface est désormais constituée de 7 parties principales :

  • Server inventory management
  • IP address space management
  • Virtualized address space
  • Management and Monitoring of DHCP and DNS
  • Event Catalog
  • IP address tracking
  • Access Control

Comme on peut le voir sur la capture suivante :

mainscreen

Prenons un peu de temps pour étudier quelques aspects.

 

Améliorations pour le support de DHCP :

Désormais l’interface principale d’IPAM permet de gérer quasiment l’ensemble des informations relatives aux espaces d’adressages configurables dans les MMC de DHCP. On peut ainsi administrer les relations de failover entre serveurs DHCP, gérer les attributions d’adresses par stratégies, les réservations, filtres et les superscopes.

Voici quelques unes des options de gestion d’une étendue DHCP :

scopemanagement

On peut par exemple désormais configurer les stratégies d’attribution d’adresses directement dans IPAM :

configurepolicy

Nous avons également une vue et une gestion des réservations intégrée, en sélectionnant la vue “Reservations” de la partie DHCP Scopes :

reservations

 

Gestion des réseaux virtualisés de System Center Virtual Machine Manager 2012 :

La virtualisation de réseau permet, à partir de Windows Server 2012 et System Center 2012 SP1, de faire cohabiter sur un réseau IP de datacenter, plusieurs réseaux de clients qui potentiellement partageraient le même espace d’adressage. Pour plus de détails sur la mise en œuvre de cette technologie, nous vous invitons à vous référer à la série d’article que Stanislas et moi même avons écrit.

 

Comment activer la gestion des espaces d’adressage virtualisés

Pour activer le reporting d’informations de System Center Virtual Machine Manager, il faut modifier la configuration de la fabrique pour activer le composant IPAM qui est désormais intégré.

Ajout d’un service réseau dans la fabrique :

scvmm1

On ajoute ensuite un service que l’on nomme :

scvmm2

On doit spécifier un service de type Microsoft Windows Server IP Address Management :

scvmm3

On spécifie un compte avec des droits IPAM Administrator sur le serveur IPAM :

scvmm4

On spécifie ensuite le chemin de connexion (pour IPAM, c’est simple, c’est juste le nom du serveur) :

scvmm5

On teste la connexion et vérifie que l’on a bien un résultat “passed” et “implemented” :

scvmm6

On spécifie les groupes d’hyperviseurs que l’on souhaite inclure dans le scope du reporting IPAM :

scvmm7

On valide :

scvmm8

et on vérifie que le job s’effectue correctement !

 

Administration des espaces virtualisés

Lorsque l’environnement a été paramétré, on peut alors voir l’ensemble des informations relatives aux :

  • Espace d’adressage et adresses utilisées sur le réseau de Datacenter (provider addresses)
  • Espaces d’adressages et adresses des différents réseaux virtualisés (Customer addresses)

 

Vision sur l’espace d’adressage PA :

pa-spaces

Avec la vue “IP address spaces”, on peut voir les différents espaces d’adressages utilisés dans le Datacenter pour la virtualisation de réseau (les adresses définies pour les logical network)

Utilisation des adresses PA:

pa-addresses

Si on sélectionne la vue “IP addresses”, on peut alors voir quelles sont les IP attribuées aux hyperviseurs participants à la plateforme de virtualisation (les PA addresses)

 

Vision des espaces d’adressages CA :

ca-adressspace

Lorsque l’on selectionne la partie Customer IP Addresse en bas à gauche, on a la possibilité de voir l’ensemble des espaces d’adressage pour les différents VM networks définis dans l’ensemble de la configuration.

Utilisation des adresses CA :

ca-addresses

La vue “IP addresses” permet de voir les IP utilisées par les différentes machines virtuelles dans les différents réseaux virtualisés (ici dans mon exemple, j’ai deux VM dans deux sous réseaux virtualisés du client BlueCorp. A noter que je peux filtrer par “tenant” (locataire).  On peut également donner une vue plus restreinte (typiquement on peut offrir à un locataire une vue uniquement sur son espace d’adressage) en gérant les rôles et les vues comme nous le décrirons plus loin dans l’article.

Améliorations d’administration

Stockage des informations dans une base SQL

On peut désormais stocker les informations d’IPAM vers une base SQL, cela facilite grandement la gestion de bases notamment lors de scénarios de reprise après incident. Lors de la mise à jour d’un service IPAM vers 2012 R2, l’assistant de déploiement vous propose de migrer les informations depuis la base WID vers le serveur SQL que vous lui indiquez. Cette opération peut également être effectuée avec la commande PowerShell : Move-IpamDatabase.

Si vous faites une promotion depuis un environnement vierge, on vous propose alors d’entrer les informations de connexion :

dbsetup

 

Gestion des accès basé sur les rôles

La gestion des accès basé sur les rôles utilisateur est fondamentale lorsque l’environnement tend à grandir et être adopté à l’échelle de l’entreprise.

En lieu et place des quelques rôles basiques présents dans Windows Server 2012, on peut désormais définir des :

  • rôles : un ensemble d’opérations qui peuvent être permises et associées à des utilisateurs.
  • étendues d’accès : un ensemble d’objets auxquels un utilisateur a accès (par défaut l’étendue Global inclus l’ensemble des ressources, il est possible d’en personnaliser par géographie ou par locataire de réseau virtualisé par exemple).
  • stratégies d’accès : une combinaison de rôles et d’étendues d’accès.

Il existe un ensemble de rôles par défaut :

ipamroles

On peut voir par exemple que le rôle “DNS Record Administrator Role”, peut créer et supprimer des enregistrements.

Il est possible de paramétrer tout cela très finement pour répondre aux besoins d’audits et de séparation des rôles telle que toute bonne RSSI vous le recommandera !

 

En résumé, IPAM dans Windows Server 2012 R2, c’est plus de fonctionnalités pour rendre la plateforme plus robuste à l’échelle de l’organisation.

 

Références:

What's New in IPAM in Windows Server 2012 R2 – http://technet.microsoft.com/en-us/library/dn268500.aspx 

 

Pour tester Windows Server 2012 R2 et Hyper-V, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
– d'une image ISO : https://aka.ms/jeveuxwindows2012r2
– d'un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

 

Arnaud – les bons tuyaux

Windows Server 2012 R2 : Workplace Join et Device Registration Service – partie 1

Dans le cadre du BYOD (Bring Your Own Device), on cherche a ajouter un peu de contrôle et de sécurité sur des périphériques qui sont “moins” gérés que les autres. Gérer des périphériques, on sait faire cela depuis des années avec Active Directory, et si a l’origine ou n’avait que Windows, on peut désormais rajouter tout un ensemble de périphériques dans l’AD pour y apporter plus ou moins de gestion.

DRS fait partie d’un ensemble des technologies nouvelles dans Windows Server 2012 R2 pour le BYOD. Le rôle de DRS est d’authentifier des machines via Active Directory sans nécessairement les ajouter au domaine au sens classique. Ainsi on tirera partie de cette authentification pour contrôler l’accès à des ressources du réseau d’entreprise (la tablette comme second facteur d’authentification), ou encore pour faire du SSO. 

DRS est implémenté en tant que partie d’AD FS (Active Directory Federation Services) et dans un premier temps on supporte les clients Windows 8.1 et iOS.

Dans cet article nous mettrons en œuvre l’infrastructure qui permettra d’ajouter des tablettes ou périphériques depuis le réseau interne, mais cela est aussi réalisable depuis l’Internet.

Objectifs de cet article : Pouvoir authentifier et autoriser l’accès à une application si mes utilisateurs sont authentifiés ET sont connectés depuis une tablette autorisée dans mon environnement.

     Cet article fait partie d’une série :  

  1. Ce premier article décrit comment mettre en place l’infrastructure pour le réseau interne.
  2. Un deuxième article décrira les tests basiques côté client
  3. Un troisième article décrira la mise en œuvre du contrôle d’accès sur l’application.

Configuration côté serveur

J’ai sur mon réseau interne un contrôleur de domaine nommé dublinr2-1 et une autorité de certification racine d’entreprise nommée ITCampTestCA dans mon domaine TESTITCAMP.CONTOSO.COM.

/!\ ALERTE PKI /!\

Attention, pour toutes les opérations, l’état de révocation des certificats va être vérifié, il faut donc que la PKI soit relativement propre…. C’est à dire un point de vérification du statut de révocation des certificats disponible quelque soit l’emplacement réseau des machines (dans le domaine ou en dehors).

Pour la première étape, j’ajoute le rôle ADFS sur une machine nommé ADFS01 sans y effectuer le paramétrage initial… voyons le reste des étapes de configuration en détails. 

adfs01

Configuration de ADFS

L’installation du rôle ADFS ayant été effectuée, je vais devoir planifier plusieurs facteurs importants, les certificats utilisés ainsi quels comptes de services utilisés.

Création des comptes de service

Mon domaine est en niveau fonctionnel 2012, je peux donc utiliser les comptes de services gMSA, je les crée en Powershell en utilisant la syntaxe suivante :

Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

New-ADServiceAccount ADFS-Gmsa -DNSHostName adfs01.itcamptest.contoso.com -ServicePrincipalNames http/adfs01.itcamptest.contoso.com

Le première commande n’est utilisée que la première fois que l’on crée un gMSA dans un environnement (pour référence).

La seconde ligne permet réellement la création du compte ainsi que son SPN.

Création des certificats

Nous allons maintenant demander un certificat qui correspond à cette machine et qui a le subject alternate name nécessaire pour DRS :

Subject Name (CN): adfs01.itcamptest.contoso.com
Subject Alternative Name (DNS): adfs01.itcamptest.contoso.com
Subject Alternative Name (DNS): enterpriseregistration.itcamptest.contoso.com

Paramétrage d’ADFS

On lance l’assistant depuis le gestionnaire de serveur :

adfs02

Nous déployons le premier serveur ADFS de l’organisation :

adfs03

Spécifions des credentiels administrateurs du domaine :

adfs04

Nous sélectionnons maintenant le certificat adfs01.itcamptest.contoso.com que nous avons créé précédemment:

adfs05

Spécifions le compte de service que nous avons crée précédemment:

adfs06

Dans un environnement de production, j’utiliserai une base SQL, pour mon environnement de test, la base WID devrait faire l’affaire:

adfs07

Revoyons les options :

adfs08

adfs09

Enfin :

adfs10

On remarquera ici un message d’attention qui nous spécifie que l’enregistrement du SPN ne s’est pas bien passé. C’est sans doute l’assistant qui ne s’attendait pas à ce que je l’ai déjà fait.

Pour en avoir le cœur net, je vérifie avec setspn –q <SPNdeMonServeur>

setspn01

Cela m’a l’air correct Sourire 

Activation de DRS

Ouvrons une commande PowerShell pour activer le composant DRS:

Pour Windows Server 2012 R2 Preview :

Enable-AdfsDeviceRegistration –PrepareActiveDirectory –ServiceAccountName itcamptest\ADFS-Gmsa$

Enable-ADFSDeviceReg01

Pour Windows Server 2012 R2 RTM :

Initialize-ADDeviceRegistration

On active le service DRS : Enable-AdfsDeviceRegistration

Enable-ADFSDeviceReg02

Création des enregistrements DNS

La machine ADFS01 va s’enregistrer et mettre à jour automatiquement dans le DNS, je dois en revanche crée un alias pour le nom utilisé par les machines clientes DRS soit le nom enterpriseregistration.<UPN du contexte utilisateur>.

Dans mon environnement, l’UPN est itcamptest.contoso.com, j’utilise donc enterpriseregistration.itcamptest.contoso.com

Dans la vraie vie, je devrais mettre un enregistrement pour tous les UPN présents dans mon organisation.

Dans la console DNS, je modifie la zone de recherche directe liée à mon domaine :

dns01

    

Vérifications

On peut enfin vérifier l’état opérationnel du service en confirmand la présence de l’évènement 100 dans le journal d’évènements “Device Registration Service/DRS/Admin” :

eventlogs

L’environnement serveur est maintenant prêt pour accueillir ses périphériques et tester la fonctionnalité de workplace join !

Références :

http://technet.microsoft.com/en-us/library/dn280938.aspx – Get Started with Workplace Join with a Windows Device: Walkthrough Guide

http://technet.microsoft.com/en-us/library/dn280939.aspx – Setting up the lab environment 

http://technet.microsoft.com/en-us/library/dn303423.aspx – How to deploy AD FS in Windows Server 2012 R2

http://blogs.technet.com/b/byod-fr/archive/2013/07/11/byod-le-workplace-join-de-windows-server-2012-r2.aspx – BYOD : Le “Workplace Join” de Windows Server 2012 R2  –

*Edit le 10/10/13 pour intégrer changements de Windows Server 2012 R2 RTM

Pour tester Windows Server 2012 R2 et Hyper-V, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
– d’une image ISO : https://aka.ms/jeveuxwindows2012r2
– d’un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

Nouveautés de Windows 8.1 pour l’entreprise en un clin d’œil !

Windows 8.1 apporte beaucoup de nouveautés intéressantes, en voici une liste non exhaustive avec quelques liens sur des articles écrits récemment par les architectes de mon équipe : Pascal et Stanislas. Cette liste sera mise à jour au fur et à mesure que nous publions de nouveaux articles !

Bring Your Own Device

Mobilité

  • VPN : support de nouveaux protocoles EAP pour la majorité des serveurs VPN du marché
  • Mobile Broaband
  • Windows To Go (activation par défaut du store)
  • Broadband Tethering (partage de connexion 3G)
  • Auto-triggered VPN – VPN Connect

Sécurité

  • Remote Business Data Removal – Selective Wipe
  • Amélioration de biométrie
  • Device Encryption pour toutes les éditions de Windows
  • Support de FIPS dans Bitlocker
  • IE 11
  • Protection anti malware
  • Device lockdown

Modern UI

Autres

  • Support des proxy authentifiants
  • Intégration de SkyDrive
  • Assigned Access Mode (mode kiosque)

Inspiré de cet article : What’s New in Windows 8.1 – http://technet.microsoft.com/en-US/windows/dn140266.aspx 

Windows 8.1 sera disponible le 18 octobre et sera diffusé (entre autres) par mise à jour via la Store. En attendant vous pouvez télécharger la version Preview à cette adresse : http://windows.microsoft.com/fr-fr/windows-8/preview-iso 

Si  vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride par Microsoft, vous pouvez vous inscrire gratuitement à un de nos IT Camp : https://aka.ms/itCampFr.

Arnaud – les bons tuyaux

Windows 8.1 VPN Connect

Parmi les nouveautés de Windows 8.1, on compte quelques évolutions concernant les accès distants, dans ce blog nous en couvrirons un certain nombre, regardons aujourd’hui VPN Connect.

Le principe est simple : monter automatiquement une connexion VPN au réseau d’entreprise lorsque :

  • Une application (moderne ou classique) est lancée
  • La machine/application utilise un suffixe DNS particulier

      

Bref, une technologie qui permet un accès au réseau d’entreprise quasi transparent, cela devrait vous faire penser à DirectAccess !

Et bien pas du tout ! VPN Connect c’est une technologie d’accès facile et sécurisé au réseau d’entreprise dans le cadre du BYOD (Bring Your Own Device). On est assez loin du spectre de fonctionnalités offertes par DirectAccess comme l’accès transparent au réseau y compris avant le logon d’un utilisateur.  

 

Point à noter TRES important qui devrait confirmer que cette technologie est vraiment faite pour le BYOD, la connexion automatique d’un VPN ne fonctionne PAS sur une machine jointe au domaine.

 

Prérequis :

Cette fonctionnalité peut être mise en œuvre avec tout type de VPN supporté dans Windows 8.1 (nous traiterons dans un article ultérieur les évolutions du client VPN). Dans cet article nous ne donnons pas les détails de la plateforme serveur VPN, car ils s’agit d’une plateforme standard configurée avec l’assistant par défaut de Windows Server 2012 R2.

La machine cliente doit être une machine Windows 8.1 NON jointe à un domaine, et PAS d’édition Entreprise.

Le type de VPN est obligatoirement Split Tunneling, ceci permet de ne pas modifier la connectivité des autres applications lorsque l’on établit la liaison pour une application particulière.

 

Tests :

Mettons en place cette fonctionnalité pour différents scenarios.

Dans ces rubriques, j’ai au préalable créé sur la machine cliente un profile VPN nommé “VpnArnaud”.

J’ai modifié le type de tunneling avec la commande PowerShell:

Set-VpnConnection –name VpnArnaud –SplitTunneling $true

 

Connexion automatique pour une application moderne

La première chose à faire est de trouver l’application que l’on veut utiliser, dans notre exemple, nous connectons automatiquement le VPN lors du lancement de l’application Video :

zunevideo

 

Pour chercher l’identifiant de cette application, nous utilisons la commande PowerShell :

Get-AppxPackage

get-appxpackage

Le champ utilisé ici est le PackageFamilyName, nous pouvons alors ajouter la configuration :

Add-VpnConnectionTriggerApplication –name <vpnConnectionName> –ApplicationID <PackageFamilyName>

add-vpnconnectiontriggerapp1

 

Au lancement de l’application vidéo, nous avons alors l’avertissement :

CaptureDialup

Je dois ensuite saisir mes informations de connexion si elles ne sont pas stockées.

 vpncreds

 

J’obtiens alors bien la machine connectée :

zunevideoconnect

 

 

Lorsque toutes les applications qui ont besoin de la connexion sont fermées, alors la connexion est automatiquement tombée.

 

Connexion automatique pour une application classique

Il est possible d’établir une connexion de la même manière pour les applications Windows classiques. On utilisera toujours l’argument –ApplicationID, mais cette fois on précisera la chemin vers l’application :

 

Add-VpnConnectionTriggerApplication –name <vpnConnectionName> –ApplicationID “c:\windows\system32\notepad.exe”

A noter, on peut utiliser les variables d’environnement avec la forme “$env:windir\…”

On peut ensuite vérifier la configuration avec la commande Get-VpnConnectionTrigger –name <vpnConnectionName>

triggernotepad

  

 

Connexion automatique pour un suffixe DNS

De la même manière, on peut déclencher une connexion lorsqu’un suffixe DNS particulier est utilisé :

Add-VpnConnectionTriggerDnsConfiguration –name <vpnConnectionName> –DnsSuffix “.itcamp.contoso.com” –DnsIPAddress <AdressIPduServeurDNS>

add-vpnconnectiontriggerdns

N’oubliez surtout pas le point avant le suffixe DNS !

Remarquons au passage que pour chaque suffixe, on doit mentionner l’adresse IP d’un serveur DNS qui sera utilisé. Nous allons mettre en œuvre un composant de Windows apparu avec Windows 7, la NRPT (Name Resolution Policy Table) qui permet de faire de la résolution de nom conditionnelle sur le poste client.

 

add-vpnconnectiontriggerdns2

 

On peut également profiter de cette ligne de commande pour ajouter automatiquement une liste de suffixes de recherche DNS lorsque le VPN est monté, cela permet de résoudre des noms courts sur le réseau d’entreprise, on utilise alors l’argument –DnsSuffixSearchList <listeDeSuffixesàAjouter>.

 

On a alors une notification lorsque l’on utilise le contexte de noms :

add-vpnconnectiontriggerdns3

 

Voilà pour cette petite intro à VPN Connect, a noter, lorsque les credentials sont stockés, on a automatiquement la connexion qui est montée !

 

Si  vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride par Microsoft, vous pouvez vous inscrire gratuitement à un de nos IT Camp : https://aka.ms/itCampFr.

 

Références :

http://technet.microsoft.com/en-us/library/jj554820(v=wps.630).aspx – VPN Client Cmdlets in Windows PowerShell

 

 

Arnaud – les bons tuyaux