Sean Deuby

Un collègue de Semperis m'a récemment fait participer à une conversation avec le responsable d'un grand environnement Active Directory fonctionnant sous Windows Server 2008 R2. La fin du support de Windows Server 2008 et 2008 R2 étant imminente (officiellement le 14 janvier 2020), la planification de la mise à niveau de la forêt et des 110 contrôleurs de domaine de l'entreprise vers Windows Server 2016 (l'état final choisi par cette entreprise particulière) est bien avancée. Mais un composant du plan de mise à niveau s'avère difficile, et je vais expliquer pourquoi.

Espérer le meilleur, prévoir le pire

Dans cette organisation, toute modification importante de l'infrastructure informatique doit faire l'objet d'un plan de projet approuvé qui prévoit des mesures correctives en cas de problème. Dans le cas d'une mise à niveau, cela signifie un moyen de "revenir en arrière" si la mise à niveau échoue pour une raison quelconque ou s'avère problématique (par exemple, si elle interrompt une application critique). Si le retour en arrière est relativement simple pour de nombreuses mises à niveau, ce n'est pas le cas pour AD.

En effet, une mise à niveau AD ne se limite pas à la mise à niveau (ou à la reconstruction) de DC individuels : vous apportez également des modifications à chaque domaine et à l'ensemble de la forêt, et au moins l'une de ces modifications est irréversible. Imaginez que l'application critique qui ne fonctionne pas avec la nouvelle (et plus sûre) fonctionnalité AD soit une application dinosaure écrite à la main dont les développeurs ont tous pris leur retraite il y a longtemps. Dans ce cas, vous risquez de devoir restaurer AD à partir d'une sauvegarde et d'utiliser l'ancienne version jusqu'à ce que l'application puisse être mise à jour ou remplacée.

C'est mieux... mais il y a encore un problème

Historiquement, la mise à niveau d'AD nécessitait trois changements irréversibles :

1. Schéma: Une mise à niveau du schéma est nécessaire avant de mettre à niveau le premier DC de la forêt (ou d'introduire le premier DC de niveau supérieur). Les modifications de schéma ont toujours été - et sont toujours - irréversibles.

2. Niveau fonctionnel du domaine (DFL): Une fois que tous les DC d'un domaine ont été mis à niveau (ou rétrogradés hors de l'environnement), l'étape suivante du processus de mise à niveau AD consiste à augmenter le DFL. (Une exception est la mise à niveau de 2016 à 2019 : il n'y a pas de niveau fonctionnel pour 2019, il n'est donc pas nécessaire - ni même possible - d'augmenter le DFL).

Historiquement, l'augmentation du DFL était un changement irréversible. Toutefois, à partir de Windows Server 2012, il est possible de revenir en arrière. Il y a quelques mises en garde, comme indiqué dans les guides de mise à niveau de Microsoft pour Windows Server 2012 et Windows Server 2016. Mais pour la plupart des organisations qui mettent à niveau AD à partir de 2008 ou 2008 R2, le retour en arrière est possible.

3. Niveau fonctionnel de la forêt (FFL): Une fois que tous les domaines de la forêt ont été mis à niveau, l'étape suivante du processus de mise à niveau AD consiste à augmenter le niveau fonctionnel de la forêt. (Encore une fois, il y a une exception si vous mettez à niveau de 2016 à 2019).

Comme pour le DFL, l'augmentation du DFL était historiquement un changement irréversible, mais un retour en arrière est désormais possible. (Remarque : le retour au niveau du DFL 2008 n'est possible que si la corbeille AD n'a pas été activée).

Si deux des trois étapes du "point de non-retour" sont désormais réversibles, la mise à niveau d'AD nécessite toujours une mise à niveau irréversible du schéma. C'est le moment où l'on s'arrête avant d'appuyer sur la touche pour continuer. Et si vous mettez à niveau un système AD dont vous avez hérité ou qui existe depuis un certain temps, vous risquez de vous arrêter un peu plus longtemps.

Figure 1 : Avertissement d'ADPREP /FORESTPREP indiquant que la mise à niveau du schéma est irréversible
Figure 1 : Avertissement d'ADPREP /FORESTPREP indiquant que la mise à niveau du schéma est irréversible

Atténuation des risques

Si votre système AD est sain, la mise à jour du schéma ne pose généralement pas de problème. Cependant, la direction n'aime pas entendre qu'il n'y a pas de retour possible. Et soyons honnêtes : tout administrateur AD digne de ce nom hésite avant d'appuyer sur la touche pour lancer une étape irréversible.

Si vous effectuez une matrice d'évaluation des risques, le risque entre dans la catégorie des risques à faible probabilité mais à fort impact, et doit donc faire l'objet d'un plan d'atténuation. Pour une mise à niveau AD, l'atténuation des risques signifie la récupération de la forêt.

Une proposition stimulante

Voici le problème : la récupération des forêts n'est pas une tâche simple. Vous sauvegardez probablement les DC régulièrement, mais les sauvegardes de DC ne sont pas suffisantes - vous avez également besoin d'informations détaillées sur votre topologie AD, ainsi que d'une méthode de récupération fiable. Il n'existe pas d'outil natif pour la récupération des forêts, et le processus manuel décrit par Microsoft est très exigeant. D'après mon expérience, peu d'équipes AD ont déjà tenté une restauration de forêt, même dans un environnement de laboratoire.

La bonne nouvelle, c'est qu'il existe des outils tiers permettant d'automatiser la récupération et de s'assurer que vous disposez des sauvegardes nécessaires pour récupérer votre environnement AD. Semperis AD Forest Recovery est l'un de ces outils :

Figure 3 : Semperis AD Forest Recovery
Figure 3 : Semperis AD Forest Recovery

Semperis automatise la récupération des forêts, fournissant ainsi la mesure de remédiation requise pour votre plan de mise à niveau AD. Les fonctionnalités Anywhere Recovery et IP mapping de Semperis facilitent également les tests de mise à niveau en laboratoire avant la mise en production.

Figure 4 : Le mappage IP, associé à la technologie brevetée de Semperis pour la récupération en tout lieu, permet de créer facilement une copie de votre AD de production en laboratoire afin de tester le processus de mise à niveau AD (et l'effet de la mise à niveau sur les applications critiques).
Figure 4 : Le mappage IP, associé à la technologie brevetée de Semperis pour la récupération en tout lieu, permet de créer facilement une copie de votre AD de production en laboratoire afin de tester le processus de mise à niveau AD (et l'effet de la mise à niveau sur les applications critiques).

Un filet de sécurité permanent

Bien entendu, une mise à jour n'est pas la seule chose qui mette votre AD en danger. Les cyberattaques constituent une menace constante. Par exemple, un article récent de Wired.com décrit comment un pirate a détruit tous les DC des Jeux olympiques d'hiver de 2018 à Séoul, en Corée du Sud.

Tous les outils de restauration AD ne protègent pas contre ce type de menace. Par exemple, ils peuvent réintroduire des logiciels malveillants dans l'état du système et les sauvegardes à nu, ou avoir du mal à restaurer sur du matériel virtuel ou physique différent. Il est donc important de choisir un outil qui couvre les cyber-scénarios (ransomware, attaques de wiper, etc.) et pas seulement les scénarios opérationnels (tels que les mises à niveau de schéma ou les erreurs administratives, la corruption DIT, les pannes de logiciel AD, etc. qui étaient des préoccupations dans les premiers jours d'AD).

Si une mise à niveau AD peut être l'impulsion (ou l'occasion) d'acquérir un outil de récupération AD, le bon outil peut apporter une valeur ajoutée longtemps après la mise à niveau. Cet article d'Ed Amoroso, expert en cybersécurité et ancien responsable de la sécurité chez AT&T, est un excellent moyen d'en savoir plus.