Windows-Server on Aperture Zone

Active Directory : krbtgt, de la théorie à la pratique

Wed, 01 Apr 2026 00:00:00 +0000

Dans la première partie de cet article, on a posé les bases : ce qu’est le compte krbtgt, pourquoi le Golden Ticket est une menace sérieuse, et une architecture Ansible théorique pour automatiser les rotations. Si vous n’avez pas lu cette partie, je vous encourage à commencer par là.

Ici on passe aux choses sérieuses. Le playbook de la partie 1 était volontairement simplifié pour illustrer le concept. En environnement de production réel, les choses se compliquent — le script interactif qui refuse d’être piloté, le fichier XML qui n’est pas trouvé, le double-hop Kerberos qui bloque tout, la forêt racine qui n’est pas celle qu’on croit. Autant d’obstacles que j’ai rencontrés et résolus, que je vous documente ici.

Migration Server 2022 : forêt multi-domaines

Fri, 27 Mar 2026 00:00:00 +0000

Dans un article précédent, j’avais décrit la montée en niveau fonctionnel 2016 et l’audit des approbations entre mes deux domaines. Je terminais sur cette note : “Il va aussi falloir penser à upgrader l’OS de mes autres contrôleurs.”

Voilà. C’est fait.

Le contexte

L’infrastructure repose sur une forêt Active Directory à deux domaines :

Un domaine racine de forêt, dédié aux serveurs et aux hyperviseurs — deux contrôleurs de domaine assurent sa disponibilité. Le premier porte les rôles domaine (PDC Emulator, RID Master, Infrastructure Master), le second les rôles forêt (Schema Master, Domain Naming Master).
Un domaine enfant, dédié aux stations de travail et aux utilisateurs — deux contrôleurs de domaine également. Le premier concentre les rôles FSMO du domaine ainsi que le service DNS et le DHCP principal. Le second assure la continuité : Global Catalog, DNS secondaire, DHCP en failover et Autorité de Certification. Sans ces rôles, un second DC ne serait qu’un réplica passif — autant lui donner une vraie raison d’exister.

Tous tournaient sous Windows Server 2016, dont le support mainstream est terminé depuis 2022 et le support étendu se termine en janvier 2027. Le moment de migrer vers Windows Server 2022 était venu.

Active Directory : krbtgt le compte qui fait peur

Wed, 25 Mar 2026 00:00:00 +0000

Il y a des éléments dans Active Directory qu’on oublie totalement parce qu’ils n’apparaissent jamais dans les opérations courantes. Le compte krbtgt en fait partie. Invisible dans le quotidien, il est pourtant au cœur de toute l’authentification Kerberos de votre domaine — et sa compromission est l’un des scénarios les plus catastrophiques qu’un attaquant puisse déclencher.

Dans cet article, on va explorer ce qu’est vraiment ce compte, pourquoi il faut changer son mot de passe régulièrement, et comment automatiser cette opération proprement avec Ansible.

Active Directory : montée en niveau fonctionnel 2016 et audit des approbations

Mon, 02 Mar 2026 00:00:00 +0000

Il y a des chantiers qu’on reporte depuis des années. Pas parce qu’ils sont impossibles, mais parce qu’il y a toujours un truc qui bloque. Dans mon cas, c’était Exchange 2013 — ce bon vieux serveur mail qui se fichait en travers de toute tentative de modernisation de l’AD. Depuis sa migration vers une solution plus légère, la voie était libre. Voilà donc le récit d’une nuit de boulot bien remplie.