Les services proactifs du support Microsoft autour de l’Active Directory
Vous pouvez le constater si vous lisez régulièrement ce blog, mes deux produits préférés sont ConfigMgr et OpsMgr, mais cela ne m’empêche pas de garder un œil sur les évolutions d’autres produits tels que l’Active Directory (AD).
Avant tout, AD est obligatoire pour mes deux produits préférés. Bon nombre de clients mettent en place OpsMgr pour surveiller leur AD quand ce n’est pas leur messagerie Exchange ou des serveurs critiques SQL Server ou IIS. Il est d’ailleurs intéressant de noter la persistance de l’AD associé à de la fédération d’identité (ADFS) dans les scénarios où la messagerie passe sur le Cloud avec Office 365. Mais aussi, en tant qu’utilisateur, je suis intéressé par les évolutions qui me permettent de travailler plus efficacement. Comme tout bon informaticien, je suis plutôt fainéant et, si la technologie peut m’aider, je veux bien investir un peu de temps ponctuellement pour en gagner régulièrement. Si ConfigMgr sait gérer des systèmes en dehors de tout domaine, la complémentarité de l’AD avec ConfigMgr apparait plus flagrante quand les systèmes sont en groupe de travail plutôt qu’en domaine. Enfin, m’intéressant, un peu, à la sécurité qui est une des composantes de l’administration au sens large, l’AD supporte un modèle de sécurité en perpétuelle évolution face aux menaces et besoins des utilisateurs.
L’Active Directory est aujourd’hui, sans doute, l’annuaire d’authentification des utilisateurs le plus utilisé. Il rend un service quasi transparent au point que les utilisateurs ne perçoivent pas sa présence, sauf quand il tombe en panne (et encore, pas toujours). C’est à ce moment que la criticité de l’AD est ressentie avec le plus d’acuité. Comme je le dit très souvent dans les interventions sur OpsMgr, avant que l’AD ne parvienne plus à rendre son service, il se passe généralement beaucoup de temps pendant lequel des signaux d’alerte s’allument qui doivent être captés.
Sans aller jusqu’à la situation de panne globale ou partielle, le fonctionnement de l’AD n’est pas toujours optimal. Que l’authentification se réalise en 3 secondes au lieu de quelques fractions de secondes et l’utilisateur ne s’en rendra pas compte, surtout si cette situation date de la mise en œuvre d’un nouveau système ou d’un autre changement majeur.
Parce que de plus en plus de clients se rendent compte de la criticité de leur annuaire AD, Microsoft a beaucoup développé d’offres de services autour de l’AD. J’ai déjà évoqué ici le début de l’offre RaaS pour RAP as a Service. Parce que l’AD est réellement un produit critique et, probablement, parce qu’il est relativement facile de vérifier s’il fonctionne correctement, mais aussi qu’il est généralement très mal maîtrisé, l’AD est le produit autour duquel le support Microsoft développe le plus de services proactifs dont je vais tenter de faire la publicité dans les quelques lignes qui suivent.
Globalement, le support de Microsoft intervient de moins en moins pour réparer des infrastructures en panne. L’idée qui a prévalu à la création, au sein du support Microsoft, du rôle d’ingénieur conseil grands comptes (PFE pour Premier Field Engineer) était de fournir des conseils de différentes manières pour éviter ces crises.
Il existe un catalogue de formations dispensées par le support, donc, avec un retour du terrain. Ces formations sont complémentaires de celles dispensées par les partenaires qui fournissent une connaissance de base des produits et de la manière de les mettre en œuvre.
Outre ces formations, des offres packagées existent pour aborder un sujet précis.
L’offre RaaS qui existe sur l’AD va très prochainement être étendue à ConfigMgr. Nous en sommes à la phase pilote et je remercie les clients qui ont accepté de servir de cobaye, en échange de quoi, ils ont pu remonter leurs demandes spécifiques et difficultés qui permettront aux futurs utilisateurs de cette solution de la dérouler sans encombre.
Du fait que l’AD ne propose pas seulement de l’authentification, mais supporte aussi pas mal de technologies différentes, les offres autour de l’AD se sont multipliées.
De manière ciblée, il existe, ainsi, une offre de santé autour des GPO. Cette offre peut être complémentaire du Windows Desktop RAP (WDRAP) qui analyse, entre autres, des lenteurs au démarrage de systèmes. Certaines lenteur peuvent être liées à des GPO mal réglées, mais aussi à des programmes qui se lancent au démarrage et ralentissent son fonctionnement. Le passage en RaaS apportera le support de systèmes sous Windows 8 dès le début de l’année prochaine.
Dans le même esprit, le bilan de santé DFS (DFSHC) étudie aussi bien les aspects liés aux espaces de noms (DFS-n) que ceux de la réplication (DFS-r).
L’offre Active Directory Upgrade Assessments (ADUA) couvre actuellement la migration de l’Active Directory de Windows Server 2003 vers Windows Server 2008 R2. Une évolution est planifiée pour supporter prochainement Windows Server 2012. Cette offre s’accompagne d’outils et de conseils pour fiabiliser et sécuriser les migrations tant au niveau du premier contrôleur de domaine migré que pour le décommissionnement du dernier contrôleur de domaine.
L’évaluation AD Security Assessment (ADSA) est très prisée par rapports aux évolutions des menaces. Elle permet d’avoir une vue synthétique de l’exposition aux risques et rappelle les bonnes pratiques de sécurité.
L’offre AD Recovery Execution Service (ADRES) est originale dans la mesure où elle vous propose de venir avec vos propres données pour vérifier votre capacité à reconstruire votre environnement en cas de problème majeur. Il est, en effet, toujours inquiétant de savoir que des plans de reprise d’activité n’ont jamais été testés ou, s’ils l’ont été, c’était il y a très longtemps. Beaucoup de clients pensent que l’aspect distribué de l’AD limite le risque d’avoir recours à un plan de reprise d’activité. C’est globalement vrai, mais, anticiper un problème ne veut pas dire qu’il se produira. En revanche, le jour où il est nécessaire d’activer un plan de reprise, il est préférable de l’avoir prévu et testé.
Pour revenir à mes sujets de prédilection, l’offre AD Operational Monitoring (ADOM) ne devrait, à mon goût, jamais se dérouler en dehors d’OpsMgr, mais, vient en complément, y compris si vous utilisez déjà OpsMgr pour mieux utiliser votre outil de surveillance.
En dehors de ces offres, si vous estimez qu’un thème spécifique devrait faire l’objet d’un approfondissement, n’hésitez pas à m’en faire part via la fiche contact ou auprès de vos interlocuteurs réguliers.