Posted inInfrastructure

Windows Server : Questions avancées des professionnels – Part 2

No CommentsPosted inInfrastructure
Windows Server : Questions avancées des professionnels - Part 2
Windows Server : Questions avancées des professionnels - Part 2

Introduction

Derrière chaque environnement Windows Server performant se cachent des mécanismes complexes : réplication intersites, rôles FSMO, délégations Kerberos, clustering, ou encore Storage Spaces Direct.
Cette seconde partie du Q&A plonge dans le niveau ingénierie : les questions les plus recherchées par les experts Active Directory et infrastructure.
L’idée n’est pas seulement de comprendre “comment faire”, mais de saisir le pourquoi : pourquoi tel type de réplication, pourquoi une restauration autoritaire, pourquoi la délégation contrainte renforce la sécurité. C’est là que l’expertise commence.

Excellent. Voici les 14 questions professionnelles les plus demandées sur Windows Server, accompagnées de réponses détaillées et précises, adaptées à un public d’administrateurs ou d’ingénieurs systèmes.

1. Comment fonctionne la réplication Active Directory dans des sites géographiquement séparés ?

La réplication d’Active Directory repose sur un modèle multimaître : chaque contrôleur de domaine (DC) peut accepter des modifications et les propager aux autres.
Dans des environnements multisites :

  • La topologie est gérée par le Knowledge Consistency Checker (KCC), qui crée automatiquement les connexions de réplication.
  • Les Sites représentent des emplacements physiques reliés par des liens de site (site links), qui définissent la fréquence, la bande passante et les coûts de réplication.
  • Par défaut, la réplication intersite est programmée toutes les 180 minutes, compressée à environ 10 % de la taille initiale.
    On peut la forcer avec :
repadmin /syncall /A /e /P

2. Qu’est-ce que l’USN rollback et comment l’éviter ?

L’USN rollback survient lorsqu’un DC est restauré sans que sa base AD ait été synchronisée correctement, créant un décalage d’identifiants d’USN (Update Sequence Number).
Résultat : les autres DC pensent que les changements ont déjà été répliqués — ils cessent donc de répliquer avec ce DC.
Causes typiques : restauration d’une VM sans “sauvegarde consciente de l’état système” (non-VSS aware).
Prévention :

  • Toujours utiliser wbadmin ou une solution de sauvegarde compatible VSS.
  • Jamais de snapshot/restore Hyper-V sans préparation AD.
  • Si déjà survenu → supprimer le DC concerné du domaine et le promouvoir à nouveau.

3. Comment forcer une réplication entre deux contrôleurs de domaine ?

Pour déclencher immédiatement la réplication :

repadmin /syncall /AdeP

ou utiliser “Active Directory Sites and Services” :

  1. Ouvrir la console → Sites → Serveurs → NTDS Settings.
  2. Clic droit sur la connexion → Replicate Now.
    Toujours vérifier la santé globale avec :
repadmin /replsummary

4. Quelle est la différence entre restauration autoritaire et non autoritaire d’Active Directory ?

  • Non autoritaire : restaure la base AD depuis la sauvegarde, puis laisse la réplication écraser les données restaurées par les plus récentes.
    Utilisée pour récupérer un DC isolé.
  • Autoritaire : marque les objets restaurés comme “plus récents” (ntdsutil) afin qu’ils soient répliqués vers les autres DC.
    Utilisée pour restaurer des objets supprimés (OU, groupes, comptes).

Exemple de commande :

ntdsutil "activate instance ntds" "authoritative restore" "restore subtree OU=Sales,DC=msinfra,DC=fr"

5. Qu’est-ce que Kerberos et comment fonctionne le renouvellement des tickets ?

Kerberos est le protocole d’authentification par tickets utilisé dans les domaines AD.

  • L’utilisateur s’authentifie auprès du KDC (Key Distribution Center) et reçoit un TGT (Ticket Granting Ticket).
  • Ce TGT permet d’obtenir des Service Tickets (TGS) pour accéder aux services.
    Durées par défaut :
  • TGT : 10 heures (renouvelable jusqu’à 7 jours).
  • Service Ticket : 600 minutes.
    Commandes utiles :
klist

et

gpedit.msc → Computer Configuration → Windows Settings → Security Settings → Account Policies → Kerberos Policy

6. Comment gérer les comptes de service (Managed Service Accounts / gMSA) ?

Les MSA et gMSA (group Managed Service Accounts) permettent de gérer automatiquement les mots de passe de comptes de service.
Avantages :

  • Pas de gestion manuelle des mots de passe.
  • Rotation automatique sécurisée.
    Création d’un gMSA :
New-ADServiceAccount -Name gmsaSQL -DNSHostName sql01.msinfra.fr -PrincipalsAllowedToRetrieveManagedPassword "SQL_Servers"
Install-ADServiceAccount -Identity gmsaSQL

Utilisé notamment pour IIS, SQL Server, ou services Windows.

7. Que fait LAPS et pourquoi l’utiliser ?

LAPS (Local Administrator Password Solution) génère et stocke un mot de passe unique et aléatoire pour le compte administrateur local de chaque machine, directement dans Active Directory.
Objectif : éviter que le même mot de passe local soit utilisé sur toutes les stations.
Le mot de passe est :

  • Stocké dans un attribut AD chiffré (ms-Mcs-AdmPwd).
  • Accessible uniquement à certains groupes autorisés.
    Nouvelle version : Windows LAPS, intégrée nativement à Windows 11 et Server 2022.

8. Comment configurer la délégation contrainte (Constrained Delegation) ?

La délégation contrainte permet à un service d’agir au nom d’un utilisateur, mais seulement vers certains services autorisés.
Configuration via :

Set-ADComputer "IIS01" -PrincipalsAllowedToDelegateToAccount "HTTP/sql01.msinfra.fr"

Types :

  • Constrained Delegation classique : limitée à certains SPN.
  • Resource-based Constrained Delegation (RBCD) : gérée côté cible, plus flexible et sécurisée (Windows Server 2012+).
Windows Server : Questions avancées des professionnels - Part 2

9. Qu’est-ce que DFS-R par rapport à FRS ?

  • FRS (File Replication Service) : obsolète depuis Server 2008 R2.
  • DFS-R (Distributed File System Replication) : réplication multi-maître plus rapide et efficace.
    Avantages :
  • Compression différentielle (RDC).
  • Résilience améliorée.
    Commandes utiles :
dfsrdiag backlog
dfsrdiag replicationstate

Migration FRS → DFS-R :

dfsrmig /setglobalstate 3

10. Comment planifier une montée de niveau fonctionnel de domaine/forêt ?

Les Domain Functional Level (DFL) et Forest Functional Level (FFL) déterminent les fonctionnalités AD disponibles.
Étapes :

  1. Vérifier la version de tous les DC (winver, dsquery server -o rdn).
  2. Assurer qu’aucun DC ancien n’existe.
  3. Monter le niveau via : Set-ADForestMode -Identity "msinfra.fr" -ForestMode Windows2016Forest
  4. Vérifier avec Get-ADForest.
    Pas de retour arrière possible sans restauration complète.

11. Comment auditer les modifications sensibles dans Active Directory ?

Trois axes :

  1. Audit natif via GPO :
    Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy → Directory Service Changes.
  2. Event Viewer :
    Événements 4728–4732 (ajout/suppression d’utilisateurs de groupes d’administration).
  3. Outils tiers :
    – ADAudit Plus,
    – Quest Change Auditor,
    – Microsoft Defender for Identity (analyse comportementale).

12. Qu’est-ce que Storage Spaces et Storage Spaces Direct (S2D) ?

  • Storage Spaces : agrège plusieurs disques physiques en un pool, puis crée des volumes virtuels avec redondance (mirroring, parity).
  • Storage Spaces Direct (Windows Server Datacenter uniquement) : technologie d’hyper-convergence, combinant stockage + compute dans un cluster.
    Fonctionne sans SAN, avec communication SMB3 entre nœuds.

13. Comment mettre en place un cluster de basculement avec Storage Replica ?

  • Créer un Failover Cluster avec un quorum (Disk, File Share, Cloud witness).
  • Activer Storage Replica pour la réplication synchrone ou asynchrone entre volumes : New-SRPartnership -SourceComputerName FS01 -SourceRGName RG01 -SourceVolumeName D: -DestinationComputerName FS02 -DestinationRGName RG02 -DestinationVolumeName E:
  • Utilisé pour la haute disponibilité des fichiers, Hyper-V ou applications critiques.

14. Comment migrer un serveur vers une version supérieure sans interruption ?

  • Vérifier compatibilité des rôles et applications (Get-WindowsFeature).
  • Faire une sauvegarde complète (VSS).
  • Procéder à une mise à niveau sur place (in-place upgrade) ou une migration parallèle (nouveau serveur, transfert de rôles).
    Exemple pour AD DS :
adprep /forestprep
adprep /domainprep

Puis promotion du nouveau DC, transfert des rôles FSMO, décommission de l’ancien.
Pour Hyper-V : utiliser Live Migration pour zéro downtime.

Conclusion

Maîtriser ces concepts, c’est aller au-delà de la simple administration : c’est devenir architecte de ton environnement Windows.
La compréhension fine des réplications, des délégations et des mécanismes de sécurité te permet d’anticiper les pannes, d’automatiser les tâches et de concevoir des infrastructures à la fois performantes et résilientes.
Ces connaissances sont le socle de toute certification avancée (AZ-800/801, AZ-104, voire AZ-305) et le tremplin vers des rôles d’ingénierie et d’architecture hybride.

0 Shares
Tags:
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

    Alors tu en pense quoi de cette article ? Dis-moi tous..