Admin Windows Server [PDF]
Université Lumière de Bujumbura Faculté d’Informatique de Gestion Bac3 Cours : Administration réseaux sous Windows serve
19 1 10MB
Papiere empfehlen
![Admin Windows Server [PDF]](https://vdoc.tips/img/200x200/admin-windows-server.jpg)
- Author / Uploaded
- Manu Ruger
Datei wird geladen, bitte warten...
Zitiervorschau
Université Lumière de Bujumbura Faculté d’Informatique de Gestion Bac3 Cours : Administration réseaux sous Windows server Msc : NKESHIMANA Egide
CHAP I: Généralités sur le Windows Server CHAP II : Gestion des annuaires (Active directory Domain Service) CHAP III : Installation et Configuration d'un serveur DNS CHAP IV : Installation et Configuration d'un serveur DHCP CHAP V : Gestion de comptes d'utilisateur et les stratégies de groupes CHAP VI : Gestion des sauvegardes et Restaurations CHAP VII : Partage et sécurité CHAP VIII : Gestion des réseaux TCP/IP (SNMP)
CHAP I: Généralités sur le Windows Server I.1.Introduction Un administrateur de réseau, ou par parataxe administrateur réseau, est une personne chargée de la gestion de réseaux informatiques, c'est-à-dire de gérer les comptes et les matériels informatiques d'une organisation (entreprise par exemple). Cela peut concerner notamment des concentrateurs, commutateurs, routeurs, modems, pare-feu, proxy, connectivité Internet, les réseaux privés virtuels (VPN). L'administrateur de réseaux est souvent assisté d'un ingénieur architecte informatique qui conçoit une architecture de réseau (voir aussi DMZ, DNS, LAN, NAT, SAN, WAN). L'administration de réseau est une discipline de l‟informatique qui peut éventuellement s'étendre à la téléphonie. L'administrateur de réseau est parfois administrateur de système ; il gère alors également les postes de travail (PC, Macintosh), imprimantes et serveurs de l'entreprise. Le rôle d‟un administrateur réseau consiste à : Mettre en place et maintenir l‟infrastructure du réseau (organisation,. . . ). Installer et maintenir les services nécessaires au fonctionnement du réseau. Assurer la sécurité des données internes au réseau (particulièrement face aux attaques extérieures). S‟assurer que les utilisateurs “n‟outrepassent” pas leurs droits. Gérer les “logins” (i.e. noms d‟utilisateurs, mot de passe, droits d‟accès, permissions particulières, . . . ). Gérer les systèmes de fichiers partagés et les maintenir. L‟administrateur réseau est responsable de ce qui peut se passer à partir du réseau administré.
I.2. Présentation de Microsoft Des présentations de Microsoft sont bien évidemment disponibles sur le Net mais il est quand même important de savoir situer la technologie étudiée dans les nombreux domaines où Microsoft se place. Tout d'abord, l'entreprise a été fondée en 1975 par Bill Gates et Paul Allen. Si Bill Gates est connu du grand public, Paul Allen l'est beaucoup moins. Il est avant tout un informaticien passionné par la programmation. C'est notamment lui qui négociera le système d'exploitation QDOS, père de MSDOS qui fera la fortune de Microsoft. Lors d'une rencontre, les deux cofondateurs ont posé pour une photo souvenir semblable à celle qui avait été prise 32 ans auparavant.
Depuis MS-DOS et les premières versions de Windows, Microsoft a beaucoup élargi ses domaines d'activités. Au niveau des systèmes d'exploitation, la version Windows Client a évolué pour passer de Windows 1.0 à Windows 12 aujourd'hui. Le client de Microsoft reste l'incontestable leader sur ce marché en rassemblant 90% des utilisateurs d'ordinateurs (Source Gartner 2015). Dans un même temps, la version serveur s'est améliorée afin d'apporter de plus en plus de fonctionnalités et de services aux entreprises soucieuses de mettre en place des systèmes d'information organisés et uniformisés. Les OS Microsoft étaient aussi Mobile. Bien avant les derniers Windows Phone, Windows Mobile et Windows Embeded (embarqué) étaient très présents sur le marché des PDA et autres outils comme des scanners de code barre, caisses enregistreuses... Du côté logiciel, Microsoft propose également une large panoplie d'outils. La suite Microsoft Office est de loin la plus connue. Aujourd'hui présente sur la quasi-totalité des plateformes, la suite Office de Microsoft est également implémentée dans le cloud via Office 365 qui a récemment dépassé son concurrent principal Google Apps. Office n'est bien évidemment pas le seul outil que propose Microsoft. On retrouve également le navigateur Internet Explorer, les outils de
développement comme Visual Studio, les applications serveur comme SharePoint ou la messagerie Exchange. Plus récemment, c'est dans le domaine du multimédia que la société s'est investie. Les produits comme la Xbox, la table surface ou écran surface, lunettes à réalité augmentée n'ont pas encore une place prédominante sur le marché mais font souvent l'actualité des articles IT. Enfin, Microsoft s'est inscrit récemment comme un acteur incontournable du Cloud Computing. Leader sur le Marché du SaaS avec Office 365 et second sur le PaaS derrière Amazon, Microsoft a su prendre le virage du dématérialisé pour proposer aux entreprises les meilleurs environnements de production sans les contraintes de gestion. I.3.Windows Server 2012 Microsoft Windows Serveur 2012, apporte avec lui son lot de nouveautés dans l'administration des services essentiellement destinés aux entreprises. Il faut dans un premier temps comprendre que les versions des systèmes d'exploitation serveur suivent les versions des clients. Il est donc logique de retrouver des similitudes dans les interfaces de gestion par exemple. De plus, il est tout à fait possible d'utiliser un système serveur en tant que client. Des services supplémentaires peuvent être installés afin de créer un environnement de travail convivial pour tous les types d'utilisateurs. Même si dans un premier temps l'intérêt peut paraître limité, il faut savoir que c'est plus courant que l'on ne se l'imagine. En effet, dans les entreprises qui font de la virtualisation de postes de travail, la version serveur est souvent celle utilisée car elle permet de consolider les ressources consommées par les utilisateurs. Cela s'explique car la version serveur permet à plusieurs utilisateurs d'utiliser en même temps un seul ordinateur physique. Les services proposés aux clients du serveur sont, pour une grande partie, primordiaux au bon fonctionnement de l'architecture ou de l'entreprise. Il conviendra donc d'apprendre à les rendre hautement disponibles. Prenons un premier exemple simple : un serveur de partage de fichiers. Ce serveur permet à l'ensemble des collaborateurs de disposer d'un espace d'enregistrement sécurisé et de partage des fichiers sur lesquels ils travaillent. On comprend facilement que si les collaborateurs ne peuvent plus s'échanger leurs documents de travail facilement mais doivent utiliser une clé USB, les temps de réalisation des tâches peuvent s'allonger considérablement.
La stabilité et la sécurité d'un tel environnement sont très importantes. Au fil des versions serveurs, ces deux points se sont bien améliorés. On notera par exemple l'arrivée du filtrage sortant du parefeu Windows dans la version 2008. I.4. Les versions de Windows Serveur 2012 On distingue principalement 4 versions de Windows Serveur 2012 : •
Windows Server 2012 R2 Foundation
•
Windows Server 2012 R2 Essentials
•
Windows Server 2012 R2 Standard
•
Windows Server 2012 R2 Datacenter
Si l'on souhaite comparer correctement ces versions, il est préférable de faire 2 groupes: Foundation-Essentials d'un côté et Standard-Datacenter de l'autre. En effet, beaucoup plus de limitations sont présentes pour les versions Foundation-Essentials comme le nombre d'utilisateurs (respectivement 15 et 25), la virtualisation non supportée ou encore le mode core inexistant. Alors que pour les versions Standard-Datacenter, toutes les limitations pré-citées disparaissent. Il existe également 3 autres versions de Windows Serveur 2012 qui ont chacune des spécificités: •
Microsoft Hyper-V Server 2012 R2
•
Windows Storage Server 2012 R2 Standard
•
Windows Storage Server 2012 R2 Workgroup
Microsoft Hyper-V Server 2012 R2 est une version spécialement dédiée à la virtualisation. Elle reprend la quasi totalité des fonctionnalités du rôle Hyper-V présent sur les versions Standard et Datacenter. Cependant, les autres fonctionnalités sont désactivées et l'administration se fait dans un premier temps sans interface graphique. Les versions Microsoft Storage Server 2012 R2 (Standard et Workgroup) sont des systèmes optimisés pour le stockage des données NAS ou iSCSI à travers un réseau local ou étendu. NAS : Network Attached Storage est comparable à un serveur de fichiers. Son objectif premier est de mettre à disposition des espaces de stockage (dossiers) sur un réseau local. iSCSI : Internet Small Computer System Interface partage également un espace de stockage sur un réseau local ou étendu (WAN). A la différence du NAS, l'iSCSI va mettre à disposition un disque dur sur le réseau et non un dossier
I.5. L’ interface de Windows Server 2012 Une des nouveautés la plus remarquée et décriée de Windows Serveur 2012 est son interface utilisateur. Comme dit précédemment, les versions serveurs suivent les versions clientes de Windows, c'est donc avec une interface Metro UI et sans le menu Démarrer qu'est arrivé Windows Serveur 2012. Laissons ici de côté les opinions sur la disparition de ce célèbre menu Démarrer des versions de Windows ("réapparu" avec la version Windows 10) pour nous concentrer sur l'utilisation serveur de cette interface. Il y a comme un air de famille non ? Contrairement à ce que l'on pourrait penser, cette interface n'est pas moins efficace que la précédente. Toutes les applications et consoles d'administration sont répertoriées de la même manière qu'avec le menu Démarrer dans la partie Apps accessible avec la petite flèche en bas de l'écran de démarrage (Start Screen). Il y a même un changement majeur dans cette version : la recherche ! Presque catastrophique dans les précédentes versions, elle est devenue rapide, pertinante et facile d'accès. Sur le Start Screen, on retrouve les principaux outils sous forme de tuile. La tuile Outils d'administration est particulièrement pratique car elle rassemble l'ensemble des consoles utiles au paramétrage, au diagnostic et à l'analyse du serveur : •
Observateur d'événements
•
Analyseur de performances
•
La console de services
•
et bien d'autres ...
La tuile la plus utilisée reste probablement celle qui permet de revenir au bureau Windows ! C'est également sur le Start Screen qu'il est possible de verrouiller la session ou de se déconnecter en cliquant sur son compte utilisateur en haut à droite. Autre nouveauté dans l'interface; l'apparition des Charms. Il y a beaucoup de traduction française de ce volet d'action ou volet des paramètres ou encore barre de charmes. Selon la traduction officielle Microsoft, on devrait dire Icônes ou Talismans (dans Visual Studio).
Ce volet Charms est accessible en plaçant la souris en bas à droite de l'écran ou avec le raccourci Windows + C. On retrouve ici trois icônes : •
Recherche
•
Start Screen • Paramètres
Intéressons-nous ici plus particulièrement au menu des paramètres qui propose des raccourcis vers : •
Le panneau de configuration
•
Les options de personnalisation du serveur. Options limitées si la fonctionnalité Expérience bureau n'est pas installée.
•
Les informations sur le système
•
Le centre d'aide
Dans la partie basse du menu, des icônes de paramètres sont disponibles comme le réseau, le son (si activé), les notifications et les options d'arrêt/redémarrage du serveur. La partie Paramètres du volet Charms est accessible directement via le raccourci Windows + I.
Passons maintenant au menu Démarrer ou plutôt aux raccourcis accessibles via un clic droit sur le bouton Windows.
Ce menu n'a pas la classe de son défunt parent mais a le mérite de proposer les raccourcis vers les interfaces d'administration les plus utilisées sous Windows Serveur, en particulier : •
Système : pour accéder à l'ensemble des informations du serveur, changer son nom, entrer la clé de licence ou encore activer le bureau à distance
•
Gestion de l'ordinateur : permet entre autres de configurer les périphériques, les disques durs, les utilisateurs du serveur
•
Command prompt : affiche l'interface de commande originale de Windows
Pour terminer cette partie présentation de l'interface de Windows Serveur 2012, voici une liste des raccourcis clavier : Combinaison
Description
ou Ctrl +
Ouvre l'écran de démarrage (Start Screen)
Echap + C
Ouvre le volet Charms
+ E
Ouvre l'explorateur de fichiers
+ F
Ouvre la recherche de fichiers
+ I
Ouvre le volet des paramètres
+ L
Verrouille la session
+ Q
Ouvre la recherche de paramètres et/ou de fichiers
+ R
Ouvre la fenêtre de lancement d'application
+ U
Affiche les options d'ergonomie
+ W
Ouvre la recherche de paramètres
+ X
Ouvre le menu des raccourcis du bouton Windows en bas à gauche de l'écran
Ctrl + Shift + Echap
Affiche le Gestionaire de tâches
I.6. Les Etapes d'installation de Windows Server 2012 L'installation d'un Windows Serveur dans ces récentes versions est assez simple et rapide. Elle se déroule en 5 étapes principales.
Pour l'installation, vous devez avoir en votre possession 5 informations : •
Les informations régionales : heure, type de clavier et langue. Il est possible d'installer un
serveur en anglais sur l'heure Paris avec un type de clavier Azerty. •
L'édition à installer : Standard, Datacenter... L'installateur ne laissera peut-être pas le choix de l'édition si le média d'installation n'en comporte pas plusieurs.
•
La clé d'activation. Dans certains cas (en fonction du média utilisé), cette partie peut être ignorée mais la clé sera quand même demandée après l'installation. • Le type d'installation : Mise à niveau ou Personnalisée
•
L'allocation de l'espace disque.
Le premier écran permet la configuration de la langue, l'heure et le type de clavier. Dans le cas où le serveur serait utilisé par plusieurs personnes dans différents pays et avec des claviers différents, une configuration avancée (une fois le serveur installé) permet d'ajouter plusieurs claviers sur un
même serveur. La personne qui souhaitera utiliser le serveur pourra choisir son clavier directement dans la barre des tâches.
Cette partie du panneau de configuration permet d'ajouter des langages et sélectionner celui par défaut. Le langage tout en haut de la liste sera celui par défaut du serveur. Des options sont également disponibles pour les langages : •
Téléchargement du pack de langues. Quand une langue est ajoutée, le serveur ne passe pas directement dans cette nouvelle langue. Seules les options de clavier sont disponibles. Pour une grande majorité des langues, le pack est disponible en téléchargement dans les options. A la fin du téléchargement, le serveur pourra passer d'une langue à l'autre.
•
Services de texte. Pour le français, plusieurs configurations sont possibles. L'option Accents Majuscule permet au correcteur de spécifier un mot incorrect s'il prend un accent sur la première lettre qui est en majuscule. Exemple : commencer une phrase par éventuellement. Il est également possible de forcer le correcteur orthographique dans la version traditionelle ou nouvelle. La version traditionnelle respecte les règles d'orthographe en vigueur avant la réforme de 1990.
•
La prochaine étape est le choix de la version du serveur. Lors de l'installation d'une version Standard ou Datacenter, 2 choix sont possibles: •
Serveur Core : cette option pour les versions Standard et Datacenter est décrite un peu plus loin dans la suite du cours.
•
Serveur avec Interface Graphique Utilisateur (GUI): correspond à l'installation classique de Windows Serveur avec l'interface étudiée précédemment.
Le choix du type d'installation dépend de plusieurs facteurs : •
Une version de Windows Serveur est-elle déjà présente sur l'ordinateur ?
•
Les fichiers et les applications du serveur doivent-ils être conservés ?
•
L'ordinateur est-il nouveau ?
•
L'ordinateur doit-il être remis à zéro ?
Si l'ordinateur est neuf ou a besoin d'une nouvelle installation pour une remise à zéro, il faut choisir l'option "Personnalisée". S'il faut migrer les fichiers et les applications de l'ordinateur, l'option "Mise à niveau" est préférable. Si un sytème d'exploitation est déjà présent sur le serveur, que l'un ou l'autre des types d'installation est choisi, une sauvegarde de l'ensemble des données est très fortement recommandée.
Dans le cas d'une Mise à niveau, toutes les versions antérieures à Windows Serveur 2012 ne peuvent pas être migrées. Il existe ce que Microsoft appelle des chemins de migration. Voici un tableau synthétique des migrations possibles : Sytème en cours d'exécution
Version(s) accessible(s)
Windows Serveur 2008 R2 Datacenter avec
Windows Serveur 2012 R2 Datacenter
SP1 Windows Serveur 2008 R2 Entreprise avec
Windows Serveur 2012 R2 Standard ou Datacenter
SP1 Windows Serveur 2008 R2 Standard avec Windows Serveur 2012 R2 Standard ou Datacenter SP1 Windows Serveur 2012 Datacenter
Windows Serveur 2012 R2 Datacenter
Windows Serveur 2012 Standard
Windows Serveur 2012 R2 Standard
Windows
Serveur
2008
Entreprise
Entreprise avec SP2
ou Windows Server 2012 Standard, Windows Server 2012 Datacenter
De manière générale, jusqu'a 2 versions précédentes peuvent être migrées vers la version actuelle de Windows Serveur. Exemple : si la version actuelle est 2012, les versions 2008 et 2008 R2 pourraient être migrées. Si la version actuelle est 2012 R2, seules les versions 2008 R2 et 2012 pourront être migrées directement. Certaines versions avec moins d'options (standard) peuvent être migrées vers des versions plus complètes si besoin mais ce changement entraîne une conversion de licence. Enfin, un Windows Serveur 2003 ne peut pas être migré vers une version 2012 ou supérieure. Une migration préalable vers une version 2008 est obligatoire. Cependant, un changement de serveur avec migration des services plutôt qu'une migration du sytème d'exploitation est une alternative tout à fait viable. Une dernière chose importante est à prendre en compte lors d'une migration. Les rôles et services proposés par le serveur à migrer peuvent avoir des prérequis de configuration ou de mise à jour avant ou après la migration. D'autres peuvent tout simplement ne pas supporter une migration de système d'exploitation de ce type.
Le dernier écran de configuration apparaîtra lors d'une installation personnalisée. Normalement, tous les disques directement attachés à l'ordinateur apparaîtront. Il faut choisir un disque ou une partition respectant les prérequis minimums d'installation. En général, on considère que 50Go est une valeur correcte pour la partition du système. Dans certains cas, le disque dur souhaité pour l'installation peut ne pas apparaître. Cela se produit lorsque les disques sont liés à une carte contrôleur de disques présente dans le serveur ou lorsqu'un RAID est mis en place.
RAID : Redundant Array of Independent Disks. Système de stockage permettant de mutualiser les disques durs. Cette technologie est expliquée dans la seconde partie de ce cours. Pour que les disques soient pris en compte, il faut ajouter les drivers de la carte RAID dans la clé USB d'installation et charger le driver avec l'option prévue à cet effet. L'installation va ensuite se dérouler. Elle prendra environ 15 minutes. Ce temps d'installation dépend beaucoup des performances de l'ordinateur et du média utilisé.
Pendant l'installation, l'ordinateur peut être amené à redémarrer plusieurs fois. La dernière étape consiste à entrer le mot de passe du compte Administrateur local du serveur. Le mot de passe doit respecter plusieurs règles de complexité : •
Le mot de passe doit contenir au minimum 8 caractères
•
Le mot de passe ne peut contenir le nom du compte utilisateur
•
Le mot de passe doit contenir au moins 3 caractères des catégories suivantes : o
Lettre majuscule
o
Lettre miniscule
o
Numéro de base 10
o
Un caractère non alphanumérique (!, #, €...)
I.7. Prérequis et méthodes de déploiement L‟ordinateur sur lequel sera installé le système d'exploitation serveur de Windows doit respecter un minimum de caractéristiques matérielles. Les ordinateurs étant aujourd'hui de plus en plus puissants, ces prérequis ne sont plus vraiment des contraintes. On distinguera 3 catégories de prérequis pour l'installation d'un Windows Serveur 2012 R2 :
•
Minimum : Sans ce minimum, le système ne s'installera pas ou l'expérience utilisateur sera fortement dégradée.
•
Recommandé : Avec ces recommandations, le serveur tournera correctement.
•
Maximum : C'est les limites de Windows Serveur.
Type
Minimum
Recommandé Maximum
Processeur 1,4 GHz 64 bits
2,0 GHz
640 processeurs logiques
Mémoire
512 Mo
4 Go
4 To
Disque
32 Go
80 Go
MBR : 2 To/disque (64 To)
GPT : 18 Eo (exaoctets)
Autres
Super
VGA
(800x600).
Ecran,
clavier, souris et une carte réseau Microsoft a quelques fois été critiqué pour la consomation massive des ressources matérielles que demandaient les systèmes Windows. On remarque aujourd'hui que ce n'est plus le cas. Les minimums n'ont pas changé depuis la version 2008. Les versions depuis 2008 ont d'ailleurs des prérequis moins importants que la version 2003 (64bits) qui demandait par exemple 1Go de RAM minimum. Jusqu'à la version 2008 R2, Microsoft proposait toujours 2 versions de ses sytèmes d'exploitation : 32 et 64 bits. La principale différence réside dans la capacité du système à gérer la mémoire RAM de l'ordinateur. Si le serveur disposait de plus de 4Go de RAM, il fallait utiliser la version 64bits.
Au début, ces 2 versions (32 et 64 bits) ont causé quelques problèmes de stabilité pour les applications. Dans la théorie, le principe était : "Qui peut le plus peut le moins". Or, certaines applications 32bits supportaient mal le 64bits. Aujourd'hui la question ne se pose plus.
Microsoft continue de publier des versions 32 bits de son sytème client (Windows 10 32 bits) pour conserver une compatibilité avec les ordinateurs d'un autre temps même s'il est estimé qu'il ne reste que 70 millions d'ordinateurs exécutant une version 32 bits de Windows. Le maximum de mémoire indiqué est celui des versions Standard, Datacenter et Hyper-V de Windows Serveur. Pour les autres versions, la limite est de 32 ou 64Go.
Pour Windows 10, la limite est de 2To sauf pour la version Home qui est limitée à 128Go. En ce qui concerne les maximums pour les disques, les notions de GPT et MBR sont abordées dans la seconde partie. Pour information, 1 exaoctet (Eo) correspond à 1 000 000 de teraoctet (To). Lorsque du matériel est vendu aux entreprises ou aux particuliers, il peut être certifié par Microsoft. Avec ce logo, l'acheteur a la garantie que le matériel est conforme aux normes de Microsoft et aura, en théorie, moins de problèmes avec celui-ci. Heureusement, la quasi totalité des ordinateurs non certifiés supportent très bien Windows Serveur et/ou Windows Client (7, 8, 10).
Lorsque des nouvelles versions de Windows sont en préparation, les serveurs/ordinateurs peuvent également afficher un logo spécifiant qu'ils sont certifiés pour la prochaine version.
Méthodes d'installation Le déploiement des systèmes d'exploitation est une problématique toujours d'actualité en entreprise. En effet, s'il est aisé d'utiliser un CD ou une clé USB pour installer son ordinateur personnel, cette méthode, bien qu'efficace, devient laborieuse lorsque le nombre d'ordinateurs augmente. Cette problématique est vraie pour les ordinateurs clients mais aussi pour les serveurs. Les services proposés par un serveur se sont multipliés et par conséquent les serveurs également. De plus, une
règle que l'on peut comparer à une coutume veut qu'un serveur ne propose qu'un seul service. Même si des services peuvent être mutualisés sur un seul serveur, le fait de dédier un serveur à un service permet d'apporter de la stabilité et de la sécurité. Par exemple, un serveur, hébergeant plusieurs services (partage de fichiers et DHCP), tombe en panne à cause d'un disque défectueux. Les utilisateurs n'ont ni accès à leurs fichiers, ni au réseau. En séparant les services, ils auraient pu continuer de travailler sur internet, boîte mail... pendant que les administrateurs restaurent le serveur de fichiers. Ceci entraîne donc des déploiements massifs de systèmes d'exploitation serveur dans l'entreprise. Cette tâche n'est pas des plus plaisante car elle est chronophage pour les administrateurs. Il faut donc que le déploiement soit au maximum automatisé et personnalisé. Pour cela, plusieurs méthodes sont possibles. Certaines de ces méthodes sont mises en place par Microsoft mais il existe également beaucoup d'outils et logiciels souvent propriétaires qui permettent de créer des tâches de déploiement automatisées et personnalisables. L'objectif ici va donc être de voir comment on peut apporter l'image système Windows Serveur sur l'ordinateur cible. Sachez que ces méthodes sont également disponibles pour le déploiement des Windows clients (7, 8, 10).
Il y a 5 moyens de déployer Windows Serveur sur un ordinateur:
•
Le système est déjà installé sur le matériel. Ce n'est pas le plus courant pour les serveurs mais très répandu pour les ordinateurs personnels. En entreprise, on préfèrera toujours réinstaller un sytème paramétré pour les besoins de l'entreprise.
•
Le CD/DVD est la méthode la plus "ancienne" mais qui peut encore être possible dans certains cas. On lui préfèrera largement la clé USB.
•
La clé USB a remplacé le CD/DVD que ce soit pour le déploiement, pour l'installation de logiciels ou pour le partage de données. Elle est beaucoup plus simple à utiliser et plus rapide que le CD. Aujourd'hui, beaucoup d'ordinateurs ne sont même plus livrés avec un lecteur CD/DVD.
•
L'image disque ou le clônage de disque est une méthode très rapide et très efficace pour le déploiement de systèmes d'exploitation.
•
Le déploiement par le réseau est une solution viable sur le long terme et dans des environnements hétérogènes. Cette méthode permet un déploiement massif (contrairement à la clé USB) et personnalisable mais plus lent que l'image disque.
I.7. Activation de Windows Plusieurs types de licences et plusieurs manières d'activer une version de Windows existent. Ici, on se contentera de parler des moyens d'activation des licences. On n'entrera pas dans le domaine complexe de l'achat, du prix et du renouvellement de celles-ci. A l'installation ou après, Windows demande une clé d'activation et saura le faire rappeler si la clé n'a pas été correctement validée. L'objectif est de valider que la version de Windows est bien authentique. Si le système n'est pas correctement activé, plusieurs limites sont mises en place automatiquement : •
Un avertissement est affiché sur le bureau
•
Lors de la connexion, la fenêtre d'activation s'affiche
•
Le système s'arrête toutes les heures
•
Seules les mises à jour de sécurité peuvent être installées
La vérification de l'authenticité d'un Windows se fait en 2 étapes : •
L'Activation •
La Validation
L'Activation va créer une association entre la clé de licence et la configuration matérielle de l'ordinateur. La plupart des licences n'autorisent une activation que sur un seul ordinateur. C'est donc l'Activation qui va permettre à Microsoft de s'assurer que cette clé n'est pas utilisée ailleurs. La Validation est le processus en ligne de vérification. L'association réalisée précédemment est envoyée à Microsoft qui validera l'authenticité du système d'exploitation.
Pour obtenir plus d'informations sur la licence utilisée, il y a la commande : slmgr -dli
Plus généralement, la commande slmgr permet de gérer en ligne de commande tout ce qui concerne la licence du système. On distinguera 3 types de licence : •
Boîte
•
OEM
•
Volume
Les licences de types "boîte" sont celles que l'on achète sans ordinateur. La boîte contient la licence et les droits d'utilisation. Cette version ne peut être installée que sur un seul ordinateur à la fois et supporte les changements de matériel. Les licences OEM (Original Equipment Manufacturer) sont liées à un ordinateur et sa configuration matérielle. Un changement de matériel important (carte mère) entraîne une obligation de rachat de licence. Cependant, contrairement à la version Boîte, les licences OEM sont 2 à 3 fois moins cher. Enfin, les licences en Volume sont réservées aux entreprises pour faciliter les déploiements de postes de travail et de serveurs avec la même clé d'activation. Afin de simplifier l'activation des licences en entreprise, plusieurs méthodes existent : •
Multiple Activation Keys (MAK) activation
•
Key Management Service (KMS) activation
•
Active Directory-based activation
La clé MAK représente une seule clé qui pourra être utilisée sur plusieurs ordinateurs différents. Chaque clé MAK permet un nombre d'activations limité établi par le contrat de licence avec Microsoft. Le pool contenant les clés est hébergé par Microsoft. Chaque ordinateur qui utilise la clé entraîne une décrémentation du nombre d'activations possible avec celle-ci.
Le service KMS est un Rôle de Windows Serveur 2012. Il permet la gestion centralisée de l'Activation des licences dans le réseau de l'entreprise. Les clients n'ont plus besoin de se connecter directement à Microsoft pour l'Activation de la clé. Le service KMS et la clé MAK peuvent être utilisés en simultané.
L'activation par l'intermédiaire d'Active Directory va permettre d'extrêmement simplifier l'Activation des clients. En effet, chaque ordinateur qui rejoindra l'Active Directory sera
automatiquement activé. Un ordinateur doit être en contact avec le serveur active directory au moins une fois tous les 180 jours pour rester authentique.
Seuls les ordinateurs Windows Serveur 2012, Windows 8 ou version supérieure sont compatibles avec ce mode d'activation. Il est également possible de gérer les licences de la suite Office à partir de sa version 2013. Enfin, l'outil Volume Activation Management Tool (VAMT) est la console de gestion des services d'activation de Microsoft (KMS ou via Active Directory). Il permettra notamment de : •
Ajouter et supprimer des ordinateurs
•
Suivre l'état d'activation
•
Gérer les clés
I.8. Le Gestionnaire de Serveur Le Gestionnaire de Server (Server Manager en anglais) est la console principale d'administration du serveur. C'est à partir de cette console que l'on peut configurer le serveur, l'administrer et également accéder aux autres consoles de gestion. Il donne une vision d'ensemble de l'état de santé du serveur et de ses Rôles.
Le Dashboard : (Tableau de bord) est la page principale du Gestionnaire de Serveur et donne accès à l'ensemble des fonctionnalités. L'encart 1 : est en quelque sorte le message de bienvenue avec les raccourcis de configuration classés par étapes. Il peut être caché lorsque le serveur est prêt à être lancé en production. L'encart 2 : est une des nouveautés de Windows Serveur 2012. C'est un résumé de l'état de santé de tous les Rôles du serveur et des groupes de serveurs. Cela permet en un instant d'avoir accès aux informations importantes : •
Les événements : pour les services ou les serveurs, tout ce qui se passe est enregistré sous forme d'événement. Seuls les événements critiques sont remontés dans cette interface.
•
Les services : affichent les services qui ont des problèmes de démarrage et permet de lancer un démarrage manuel.
•
Performance : remonte les informations de surcharge du serveur ou des groupes de serveurs
•
Résultats BPA : Best Practices Analyser (BPA ou Analyseur des Bonnes Pratiques). C'est un outil disponible pour les serveurs ou les Rôles qui va analyser les configurations pour déterminer si celles-ci peuvent poser un problème et proposer une correction si c'est le cas.
3. Dans la partie haute droite: on retrouve deux menus, Gérer et Outils (pour Manage et Tools).
Le menu Gérer permet l'ajout ou la suppression des Rôles et Fonctionnalités. Il est également possible d'ajouter des serveurs et de créer des Groupes de Serveurs. Ajouter un serveur ne va pas créer un nouveau serveur mais va ajouter un serveur existant au Gestionnaire de Serveur afin qu'il puisse être administré par celui-ci. Lorsque l'on a plusieurs serveurs qui fournissent le même service, on peut les rassembler dans un Groupe de Serveurs afin d'en simplifier la gestion. L'application d'une configuration pourra ainsi être réalisée via le Gestionnaire de Serveur pour tous les serveurs appartenant aux même groupe. Enfin, deux options sont disponibles pour la configuration de l'interface : l'intervalle de temps de rafraîchissement de la page et la désactivation du lancement automatique de la console.
Le menu Outils donne accès à toutes les consoles d'administration du serveur. Ce menu est dynamique en fonction des Rôles ajoutés au serveur. De plus, ces consoles permettent également de gérer les autres serveurs même si le Rôle n'est pas installé localement. Par exemple, on peut gérer le serveur DHCP depuis le serveur de partage de fichiers. Pour cela, il faut avoir préalablement installé la console de gestion du DHCP. 4.
Dans le menu à gauche du tableau de bord : on retrouve le Serveur Local et les Groupes
de Serveurs (encart 4). Par défaut, un Groupe de Serveur est créé : Tous les Serveurs. Ce groupe rassemble l'ensemble des serveurs géré par le serveur local. Il permet en une page de savoir quels sont les problèmes sur l'infrastructure. Sur la page Serveur Local, il y a plusieurs parties : Propriétés, Evénements, Services, BPA, Performance et Rôles et Fonctionnalités. Excepté pour la partie Propriétés, les autres donnent, en une page, un état de santé détaillé du serveur local.
La partie Propriétés donne la possibilité de visualiser les configurations basiques du serveur et d'accéder aux interfaces de modifications de ces configurations. On notera notamment la possibilité d'accéder aux éléments suivants :
5.
•
Nom et Domaine du serveur
•
Administration à distance
•
Configuration IP
•
Gestion des mises à jours Enfin, dans le menu à droite de la fenêtre du tableau de bord , on retrouve les Rôles
installés sur le serveur. Certains Rôles peuvent être gérés directement depuis cette interface, d'autres présentent juste leur état de santé et doivent être gérés via une autre console. I.9. Installer Windows Server 2012 sous VirtualBox (avec l’ISO MS) Ce point est dédié à la création d‟une machine virtuelle Windows Server 2012 RC sous VirtualBox; a) Prérequis 1.
Téléchargez le logiciel (gratuit) de virtualisation Oracle VirtualBox.
2.
Lancez l‟exécutable pour installer le logiciel
3.
Téléchargez l‟ISO de Windows Server 2012 (en version RC au moment de l‟écriture de ce post)
4.
nb) Création de la machine virtuelle
5.
Ouvrez VirtualBox; cliquez sur « New ».
6.
Cliquez sur « Suivant ».
7.
Saisissez un nom, choisissez « Microsoft Windows » et « Windows 8 (64 bit) » dans les listes déroulantes. Cliquez sur « Suivant ».
8.
Sélectionnez la quantité de RAM à allouer au serveur; je la configure ici à 3 Go sur mon PC physique équipé de 8 Go. Cliquez sur « Suivant ».
9.
Conservez l‟option « Créer un nouveau disque dur » sélectionnée. Cliquez sur « Suivant ».
10. Conservez l‟option « VDI » sélectionnée. Cliquez sur « Suivant ».
11. Sélectionnez « Taille fixe ». Cliquez sur « Suivant ».
12. Utilisez l‟icône dossier pour modifier le chemin de stockage du VDI, fixez la taille à 32 GO (Taille minimum recommandée par Microsoft). Cliquez sur « Suivant ».
13. Cliquez sur « Suivant ».
14. Le disque se crée.
15. Sélectionnez votre machine virtuelle dans la liste puis cliquez sur « Configuration ».
16. Cliquez sur « Système » dans le menu de gauche et configurez comme ci-dessous.
17. Cliquez sur l‟onglet « Processeur » et configurez comme ci-dessous.
18. Cliquez sur l‟onglet « Acceleration » et configurez comme ci-dessous. Note : Le support de support de VT-x ou d’AMD-V doit être autorisé au niveau du BIOS.
19. Suivez les étapes ci-dessous pour charger l‟ISO. Sélectionnez l‟ISO téléchargé à l‟étaoe 3.
20. Cliquez sur « OK » en bas de la fenêtre pour valider les modifications. 21. Sélectionnez votre machine virtuelle et cliquez sur « Démarrer ».
22. Windows démarre.
c) Configuration de Windows 23. Choisissez vos préférences. Cliquez sur « Next ».
24. Cliquez sur « Install now ».
25. Choisissez la version de Windows que vous souhaitez installer (avec GUI dans mon cas). Cliquez sur « Next ».
26. Cochez « I accept … ». Cliquez sur « Next ».
27. Choisissez l‟installation « Custom ».
28. Cliquez sur « Next ».
29. L‟installation débute.
30. Saisissez un mot de passe pour le compte administrateur. Cliquez sur « Finish ».
31. Loguez vous, Windows Server 2012 est à vous ! Enjoy !
Rôles et Fonctionnalités Sur un Windows Serveur, on distingue 2 types de "service" : •
Les Rôles
•
Les Fonctionnalités Les rôles vont représenter le ou les services principaux que va fournir votre serveur aux clients. Quand on parle de client, ce n'est pas forcément le système d'exploitation client de Windows
(Windows 7,8,10...) mais tous les périphériques (ordinateurs, téléphones, tablettes...) qui consommeront le service délivré par le serveur.
Il y a 17 rôles disponibles sur Windows Serveur 2012. On peut citer en exemples Hyper-V (l'hypervisor de Microsoft), le DHCP, Active Directory (Domain Services, Certificates Services) ou encore le rôle DNS. Ces Rôles peuvent également avoir des Services de rôles. C'est le cas par exemple des services de fichiers et de stockage. Il est possible d'activer, à la demande, les différents services qu'offre ce rôle : iSCSI, NFS, DFS...
NFS : Network File System est un système de partage de fichiers utilisé principalement par
DFS : Distributed File System est un service de partage de fichiers rassemblant plusieurs serveurs afin de fournir une infrastructure de partage uniforme et redondante. Cette technologie sera abordée les ordinateurs Linux et UNIX.
plus en détails dans la suite du cours.
Les Fonctionnalités de Windows Serveur peuvent être comparées à des logiciels/outils qui vont être utilisés par les Rôles du serveur. Par exemple, certains rôles peuvent avoir besoin du Framework .NET 3.5 pour fonctionner correctement. Les consoles d'administration des Rôles sont également des Fonctionnalités qui sont ajoutées automatiquement lors de l'ajout d'un rôle. Une Fonctionnalité n'est pas forcément obligatoire pour un rôle mais peut lui apporter une plus value comme le Failover Clustering qui va permettre à un rôle (Hyper-V par exemple) de devenir hautement disponible. Sachez enfin que les Fonctionnalités et les Rôles peuvent être des prérequis à l'installation d'outils non natifs de Windows Serveur comme SharePoint...
Il est tout à fait possible d'installer plusieurs Rôles et Fonctionnalités en même temps mais mieux vaut vérifier que ce soit possible avant de lancer l'installation. De plus, certains Rôles ne peuvent pas coexister sur un même serveur. Une recherche sur TechNet est vivement conseillée avant toute installation.
TechNet représente plusieurs sites internet de Microsoft (Bibliothèque, Wiki, Blogs, Forums) où tout le monde peut trouver les informations qu'il recherche sur n'importe quel produit Miccrosoft. On l'appelle aussi la Bible Microsoft.
Enfin, les fichiers d'installation de quelques Fonctionnalités ne sont plus directement intégrés au serveur lors de l'installation mais restent présents sur l'iso d'installation. Vous devrez, pour ces Fonctionnalités, spécifier le chemin d'accès aux fichiers d'installation, c'est le cas pour le Framework .NET 3.5. Par défaut, le chemin des fichiers d'installation est D:\Sources\SxS\ CHAP II : GESTION DES ANNUAIRES (Active directory et LDAP) Toutes les entreprises travaillant avec des serveurs en environnement Microsoft utilisent les services de domaines Active Directory disponibles sous Windows Server. Mais, qu'est-ce qu'un Active Directory au fait ? L‟Annuaire Active Directory est un service d‟annuaire de Microsoft intégré aux versions serveur de Windows fonctionnant en TCP/IP permettant de référencer et d‟organiser des objets comme des comptes utilisateurs, des noms de partages, des autorisations à l‟aide de groupes de domaine, etc.
II.1 Intérêts d’un annuaire L‟intérêt principal de l‟Active Directory dans les entreprises est centré sur les quatre points essentiels.
- Administration centralisée et simplifiée : la gestion des objets, notamment des comptes utilisateurs et ordinateurs est simplifiée, car tout est centralisé dans l‟annuaire Active Directory. De plus, on peut s‟appuyer sur cet annuaire pour de nombreuses tâches annexes comme le déploiement de stratégies de groupe sur ces objets.
- Unifier l’authentification : un utilisateur authentifié sur une machine, elle-même authentifiée, pourra accéder aux ressources stockées sur d‟autres serveurs ou ordinateurs enregistrés dans l‟annuaire (à condition d‟avoir les autorisations nécessaires). Ainsi, une authentification permettra d‟accéder à tout un système d‟information par la suite, surtout que de nombreuses applications sont capables de s‟appuyer sur l‟Active Directory pour l‟authentification. Un seul compte peut permettre un accès à tout le système d‟information, ce qui est fortement intéressant pour les collaborateurs. - Identifier les objets sur le réseau : chaque objet enregistré dans l‟annuaire est unique, ce qui permet d‟identifier facilement un objet sur le réseau et de le retrouver ensuite dans l‟annuaire. - Référencer les utilisateurs et les ordinateurs : l‟annuaire s‟apparente à une énorme base de données qui référence les utilisateurs, les groupes et les ordinateurs d‟une entreprise. On s‟appuie sur cette base de données pour réaliser de nombreuses opérations : authentification, identification, stratégie de groupe, déploiement de logiciels, etc.
Les informations peuvent ainsi être centralisées dans un annuaire de référence afin de faciliter l‟administration du système d‟information. Il permet aux administrateurs réseaux de gérer centralement les ordinateurs interconnectés, de définir des stratégies pour un ensemble ou groupe d'utilisateurs, et de déployer centralement de nouvelles applications à une multitude d'ordinateurs.
II.2 La structure de l’Active Directory II.2.1. Les classes et les attributs Au sein de l‟annuaire Active Directory, il y a différents types d‟objets, comme par exemple les utilisateurs, les ordinateurs, les serveurs, les unités d‟organisation ou encore les groupes. En fait, ces objets correspondent à des classes, c‟est-à-dire des objets disposant des mêmes attributs. De ce fait, un objet ordinateur sera une instance d‟un objet de la classe « Ordinateur » avec des valeurs spécifiques à l‟objet concerné. Certains objets peuvent être des containers d‟autres objets, ainsi, les groupes permettront de contenir plusieurs objets de types utilisateurs afin de les regrouper et de simplifier l‟administration. Par ailleurs, les unités d‟organisation sont des containers d‟objets afin de faciliter l‟organisation de l‟annuaire et permettre une organisation avec plusieurs niveaux. Sans les unités d‟organisations, l‟annuaire ne pourrait pas être trié correctement et l‟administration serait moins efficace. Comparez les unités d‟organisations à des dossiers qui permettent de ranger les objets à l‟intérieur, si cela est plus compréhensible pour vous.
II.2.2. Le schéma Par défaut, tout annuaire Active Directory dispose de classes prédéfinies ayant chacune une liste d‟attributs bien spécifique, et propre à tout annuaire, cela est défini grâce à un schéma.
Le schéma contient la définition de toutes les classes et de tous les attributs disponibles et autorisés au sein de votre annuaire. Il est à noter que le schéma est évolutif, le modèle de base n‟est pas figé et peut évoluer selon vos besoins, voir même pour répondre aux prérequis de certaines applications. Par exemple, l‟application de messagerie Microsoft Exchange effectue des modifications au schéma lors de son installation. Les modifications du schéma doivent être réalisées avec précaution, car l‟impact est important et se ressentira sur toute la classe d‟objets concernée. Pour preuve, le schéma est protégé et les modifications contrôlées, puisque seuls les membres du groupe « Administrateurs du schéma » peuvent, par défaut, effectuer des modifications.
Console pour gérer le schéma de l'annuaire Active Directory
II.2.3. Les partitions d’annuaire La base de données Active Directory est divisée de façon logique en trois partitions de répertoire (appelé « Naming Context »). Ces trois partitions sont la partition de schéma, la partition de configuration, et la partition de domaine. • La partition de schéma : cette partition contient l'ensemble des définitions des classes et attributs d‟objets, qu‟il est possible de créer au sein de l'annuaire Active Directory. Cette partition est unique au sein d‟une forêt. • La partition de configuration : cette partition contient la topologie de la forêt (informations sur les domaines, les liens entre les contrôleurs de domaines, les sites, etc.). Cette partition est unique au sein d‟une forêt. • La partition de domaine : cette partition contient les informations de tous les objets d'un domaine (ordinateur, groupe, utilisateur, etc.). Cette partition est unique au sein d‟un domaine, il y aura donc autant de partitions de domaine qu‟il y a de domaines.
CHAP III. CONTROLEUR DE DOMAINE ET DOMAINE Dans ce chapitre, nous allons aborder les notions de contrôleur de domaine et de domaine, avec notamment la différence entre un groupe de travail et un domaine afin de bien comprendre l‟évolution entre les deux modes.
III.1. Groupe de travail et domaine Pour continuer l‟apprentissage de l‟Active Directory, il est intéressant de voir ce que représente le passage du mode « Groupe de travail » au mode « Domaine ». Pour rappel, toutes les machines sous Windows sont par défaut dans un groupe de travail nommé « WORKGROUP », et qui permet de mettre en relation des machines d‟un même groupe de travail, notamment pour le partage de fichiers, mais il n‟y a pas de notions d‟annuaire, ni de centralisation avec ce mode de fonctionnement.
III.1.1. Modèle « Groupe de travail » - Une base d’utilisateurs par machine : appelée « base SAM », cette base est unique sur chaque machine et non partagée, ainsi, chaque machine contient sa propre base d‟utilisateurs indépendante les unes des autres. - Très vite inadapté dès que le nombre de postes et d’utilisateurs augmente, car cela devient lourd en administration et les besoins différents. - Création des comptes utilisateurs en nombre, car chaque utilisateur doit disposer d‟un compte sur chaque machine, les comptes étant propres à chaque machine. - Simplicité de mise en œuvre et ne nécessite pas de compétences particulières en comparaison à la gestion d‟un annuaire Active Directory.
III.1.2. Modèle « Domaine » - Base d’utilisateurs, de groupes et d’ordinateurs centralisée. Un seul compte utilisateur est nécessaire pour accéder à l‟ensemble des machines du domaine. - L’annuaire contient toutes les informations relatives aux objets, tout est centralisé sur le contrôleur de domaine, il n‟y a pas d‟éparpillement sur les machines au niveau des comptes utilisateurs. - Ouverture de session unique par utilisateur, notamment pour l‟accès aux ressources situées sur un autre ordinateur ou serveur. - Chaque contrôleur de domaine contient une copie de l’annuaire, qui est maintenue à jour et qui permet d‟assurer la disponibilité du service et des données qu‟il contient. Les contrôleurs de domaine se répliquent entre eux pour assurer cela. - Administration et gestion de la sécurité centralisée.
III.2. Les contrôleurs de domaine III.2.1. Qu’est-ce qu’un contrôleur de domaine ? Lorsque l‟on crée un domaine, le serveur depuis lequel on effectue cette création est promu au rôle de « contrôleur de domaine » du domaine créé. Il devient contrôleur du domaine, ce qui implique qu‟il sera au cœur des requêtes à destination de ce domaine. De ce fait, il devra vérifier les identifications des objets, traiter les demandes d‟authentification, veiller à l‟application des stratégies de groupe ou encore stocker une copie de l‟annuaire Active Directory. Un contrôleur de domaine est indispensable au bon fonctionnement du domaine, si l‟on éteint le contrôleur de domaine ou qu‟il est corrompu, le domaine devient inutilisable. De plus, lorsque vous créez le premier contrôleur de domaine dans votre organisation, vous créez également le premier domaine, la première forêt, ainsi que le premier site. Nous aborderons la notion de forêt et de site dans un autre chapitre. Gardez à l‟esprit qu‟un contrôleur de domaine est un serveur qui contient une copie de l‟annuaire Active Directory.
III.2.1.1. Le fichier de base de données NTDS.dit Sur chaque contrôleur de domaine, on trouve une copie de la base de données de l‟annuaire Active Directory. Cette copie est symbolisée par un fichier « NTDS.dit » qui contient l‟ensemble des données de l‟annuaire. À noter qu‟il est possible de réaliser des captures instantanées de ce fichier afin de le consulter en mode « hors ligne » avec des outils spécifiques.
III.2.1.2. La réplication des contrôleurs de domaine De nos jours, il est inévitable d‟avoir au minimum deux contrôleurs de domaine pour assurer la disponibilité et la continuité de service des services d‟annuaire. De plus, cela permet d‟assurer la pérennité de la base d‟annuaire qui est très précieuse. À partir du moment où une entreprise crée un domaine, même si ce domaine est unique, il est important de mettre en place au minimum deux contrôleurs de domaine. Sur les anciennes versions de Windows Server, notamment Windows Server 2000 et Windows Server 2003, le mécanisme FRS (File Replication Service) était utilisé pour la réplication. Depuis Windows Server 2008, FRS est mis de côté pour laisser la place à DFSR (Distributed File System Replication), qui est plus fiable et plus performant. Ainsi, les contrôleurs de domaine répliquent les informations entre eux à intervalle régulier, afin de disposer d‟un annuaire Active Directory identique. Sans rentrer dans les détails, un numéro de version est géré par les contrôleurs de domaine, ce qui permet à un contrôleur de domaine de savoir s‟il est à jour ou non par rapport à la version la plus récente de l‟annuaire. Sur le schéma ci-dessous, on trouve deux contrôleurs de domaine, présent au sein d‟un même domaine et qui réplique entre eux des informations. Des postes de travail client sont également présents et intégrés dans ce domaine, ils contactent les contrôleurs de domaine pour effectuer différentes actions (authentification d‟un utilisateur, demande d‟accès à une ressource...). Comme on peut le voir sur le schéma ci-dessous, lorsqu‟il y a plusieurs contrôleurs de domaine, les requêtes sont réparties.
Par ailleurs, les contrôleurs de domaine répliquent le dossier partagé « SYSVOL » qui est utilisé pour distribuer les stratégies de groupe et les scripts de connexion.
III.3. Domaine, arbre et forêt Intéressons-nous à la structure globale d‟une architecture Active Directory, où l‟on trouvera potentiellement plusieurs domaines, des arbres et une forêt.
III.3.1. Symbolisation d‟un domaine Lorsque vous verrez des schémas d‟architecture Active Directory, vous verrez les domaines représentés par des triangles. Ainsi, notre domaine « ulbu.edu.bi » pourrait être schématisé ainsi :
Ulbu.edu.bi Au sein du domaine schématisé ci-dessous, on retrouvera tout un ensemble d’Unités d’Organisation remplies d’objets de différentes classes : utilisateurs, ordinateurs, groupes, contrôleurs de domaine, etc.
De nombreuses entreprises ont plusieurs succursales, ce qui implique plusieurs sites sur différents emplacements géographiques. Selon l‟importance de ces sites, on pourra envisager de créer un sous-domaine au domaine principal, voir même plusieurs sous-domaines selon le nombre de succursales. Voyons un exemple. On part du domaine de base « ulbu.edu.bi », auquel on ajoute deux sous-domaines : « buja.ulbu.edu.bi » et « goma.ulbu.edu.bi» puisque nous avons deux succursales, une à Bujumbura, l‟autre à Goma. Voici la représentation de cette arborescence :
Ulbu.edu.b
Buja.ulbu.edu.bi
Goma.ulbu.edu.bi.
Sur le cas ci-dessus, les domaines «buja.ulbu.edu.bi» et «goma.ulbu.edu.bi» sont des sousdomaines du domaine racine «ulbu.edu.bi». On appel généralement ces domaines, « des domaines enfants ».
III.3.2. La notion d’arbre La notion d‟arbre doit vous faire penser à un ensemble avec différentes branches. Lorsqu‟un domaine principal contient plusieurs sous-domaines on parle alors d‟arbre, où chaque sousdomaine au domaine racine représente une branche de l‟arbre. Un arbre est un regroupement hiérarchique de plusieurs domaines. Par exemple, la schématisation des domaines utilisés précédemment représente un arbre :
Ulbu.edu.b
Buja.ulbu.edu.bi
Goma.ulbu.edu.bi
Les domaines d’un même arbre partagent un espace de nom contigu et hiérarchique, comme c’est le cas avec l’exemple du domaine « ulbu.edu.bi ».
III.3.3. La notion de forêt Une forêt est un regroupement d‟une ou plusieurs arborescences de domaine, autrement dit d‟un ou plusieurs arbres. Ces arborescences de domaine sont indépendantes et distinctes bien qu‟elles soient dans la même forêt. L‟exemple que nous utilisons jusqu‟à maintenant avec le domaine principal et les deux sous domaines représente une forêt. Seulement, cette forêt ne contient qu‟un seul arbre. Imaginons maintenant que nous rachetons la société « Learn-Online » et que nous décidons de créer un domaine racine « learn-online.local », ainsi que trois sous-domaines pour les deux succursales situées à Paris et Rennes, et un troisième sous-domaine pour un environnement de développement situé à Rennes. On obtiendra : paris.learn-online.local, rennes.learnonline.local et dev.rennes.learn-online.local. On obtiendra un arbre avec la racine « learnonline.local ». Voici l‟arbre obtenu :
Pour simplifier l‟administration, les accès et unifier le système d‟information, on peut décider de créer cet arbre « Learn-Online » dans la même forêt que celle où se situe l‟arbre « ITConnect ». On peut alors affirmer que les différentes arborescences d‟une forêt ne partagent pas le même espace de nom et la même structure. Ainsi, on obtiendra une jolie forêt :
Mais alors, une forêt pour quoi faire ? Vous devez vous dire, c‟est bien joli de créer une forêt, de regrouper les domaines entre eux, mais alors qu‟est-ce que ça apporte ? - Tous les arbres d‟une forêt partagent un schéma d‟annuaire commun - Tous les domaines d‟une forêt partagent un « Catalogue Global » commun (nous verrons plus tard ce qu‟est un catalogue global) - Les domaines d‟une forêt fonctionnent de façon indépendante, mais la forêt facilite les communications entre les domaines, c‟est-à-dire dans toute l‟architecture. - Création de relations entre les différents domaines de la forêt - Simplification de l‟administration et flexibilité. Un utilisateur du domaine « paris.itconnect.local » pourra accéder à des ressources situées dans le domaine « rennes.learnonline.local » ou se connecter sur une machine du domaine « paris.learn-online.local », si les Un système de noms de domaine (DNS) dispose d‟une base de données de noms distribuée. III.4. Différents types d’Active directory Cinq rôles permettent de répondre à des besoins différents, mais ils sont capables de fonctionner ensemble et de se « répartir les tâches », car ils sont conçus pour assumer un rôle bien spécifique.
III.4.1 ADDS – Active Directory Domain Services Comme son nom l‟indique, ADDS permet la mise en place des services de domaine Active Directory, autrement dit la mise en œuvre d‟un domaine et d‟un annuaire Active Directory. Ce rôle permet de gérer au sein d‟un annuaire les utilisateurs, les ordinateurs, les groupes, etc. afin de proposer l‟ouverture de session via des mécanismes d‟authentification et le contrôle d‟accès aux ressources. III.4.2.ADCS - Active Directory Certificate Services Ce rôle apporte une couche sécurité supplémentaire au sein du système d‟information puisqu‟il permet de gérer et de créer des clés ainsi que des certificats. Ce rôle est compatible avec de nombreuses applications, ce qui offre un intérêt supplémentaire à l‟utiliser pour augmenter la sécurité de manière générale. ADCS est composé de différents modules qui permettent d‟effectuer des demandes de certificats de diverses façons : par le web, par le réseau, etc. III.4.3. ADFS - Active Directory Federation Services Depuis Windows Server 2008, un rôle nommé « ADFS » est disponible. Il s‟agit d‟un service de fédération qui permet de simplifier l‟accès à des applications, que l‟on se trouve ou non sur le même réseau.
Principalement, ADFS permet l‟intégration d‟un mécanisme SSO (Single Sign-On) c‟est-à-dire l‟authentification unique. Je m‟explique. On se connecte sur le portail ADFS avec ses identifiants, et si l‟authentification réussit on obtient directement l‟accès à l‟application cible sans devoir se ré authentifier. Ainsi, les demandes d‟authentification pour accéder aux applications sont centralisées et des jetons d‟accès sont distribués aux clients, si l‟accès est autorisé. III.4.4. ADRMS - Active Directory Rights Management Services Il permet de gérer finement les autorisations sur les fichiers des utilisateurs. Il ne se limite pas aux simples autorisations comme « accès en lecture » ou « accès en lecture et écriture », ce sont plutôt des droits comme : « J’autorise les utilisateurs à sauvegarder le fichier, mais je n’autorise pas l’impression du fichier ». ADRMS est une application « client – serveur », cela implique qu‟ADRMS s‟intègre dans les applications pour créer de l‟interaction. De ce fait, les applications doivent être compatibles, ce qui est le cas des versions de Microsoft Office Entreprise, Professional Plus et Integral. Finalement, ADRMS augmente la sécurité de vos fichiers au niveau des accès, ce qui permet de mieux protéger l‟information. III.4.5. ADLDS - Active Directory Lightweight Directory Services Historiquement appelé « ADAM » pour un Active Directory en mode application, le rôle ADLDS se rapproche du mode ADDS classique à la différence qu‟il n‟implique pas la création d‟un domaine, mais fonctionne directement en mode instance, où plusieurs instances d‟ADLDS peuvent être exécutées sur le serveur. L‟intérêt est de pouvoir créer un annuaire autonome qui permettra de créer une base d‟utilisateurs, pouvant être utilisé dans le cadre d‟un processus d‟authentification auprès de l‟annuaire LDAP. Par contre, ces utilisateurs ne peuvent pas être utilisés pour mettre en place du contrôle d‟accès, car il n‟y a pas cette notion de sécurité due à l‟absence de contrôleur de domaine. III.4.6.ADRMS - Active Directory Rights Management Services . Il permet de gérer finement les autorisations sur les fichiers des utilisateurs. Il ne se limite pas aux simples autorisations comme « accès en lecture » ou « accès en lecture et écriture », ce sont plutôt des droits comme : « J’autorise les utilisateurs à sauvegarder le fichier, mais je n’autorise pas l’impression du fichier ». ADRMS est une application « client – serveur », cela implique qu‟ADRMS s‟intègre dans les applications pour créer de l‟interaction. De ce fait, les applications doivent être compatibles, ce qui est le cas des versions de Microsoft Office Entreprise, Professional Plus et Integral. Finalement, ADRMS augmente la sécurité de vos fichiers au niveau des accès, ce qui permet de mieux protéger l‟information. III.4.7. ADLDS - Active Directory Lightweight Directory Services Historiquement appelé « ADAM » pour un Active Directory en mode application, le rôle ADLDS se rapproche du mode ADDS classique à la différence qu‟il n‟implique pas la création d‟un domaine, mais
fonctionne directement en mode instance, où plusieurs instances d‟ADLDS peuvent être exécutées sur le serveur. L‟intérêt est de pouvoir créer un annuaire autonome qui permettra de créer une base d‟utilisateurs, pouvant être utilisé dans le cadre d‟un processus d‟authentification auprès de l‟annuaire LDAP. Par contre, ces utilisateurs ne peuvent pas être utilisés pour mettre en place du contrôle d‟accès, car il n‟y a pas cette notion de sécurité due à l‟absence de contrôleur de domaine.
III.8. Installer Active Directory Domain Services (ADDS) sur Windows Server 2012 Nous allons voir dans ce point comment installer ADDS (Active Directory Domain Services) sur un serveur Windows Server 2012, afin de pouvoir l‟utiliser comme contrôleur de domaine. a) Installation 1. Lancer le « Server Manager.
2. Cliquez sur « Add roles and features ».
3. Cliquez sur « Next ».
4. Laissez le choix « Role-based or feature-based installation » sélectionné. Cliquez sur « Next ».
5. Laissez le premier choix coché, votre serveur (que je n‟ai pas renommé …) étant sélectionné. Cliquez sur « Next ».
6. Sélectionnez le rôle « Active Directory Domain Services » dans la liste. Cliquez sur « Next ».
7. La liste des features qui vont être installées s‟affiche. Cliquez sur « Add features ».
8. Cliquez sur « Next ».
9. La liste des features s‟affiche. Cliquez sur « Next ».
10. Une page informative s‟affiche. Cliquez sur « Next ».
11. Cliquez sur « Restart the destination server automatically if required », cliquez sur « Yes » dans la popup, puis cliquez sur « Install » pour démarrer l‟installation.
12. L‟installation débute.
13. L‟installation s‟achève. Cliquez sur « Close ».
A noter qu‟un message vous indique que la configuration est requise; c‟est ce que nous allons voir juste après.
b) Configuration 14. En haut de la fenêtre du Server manager cliquez sur l‟icône « Notifictions », puis cliquez sur le lien « Promote this server to a domain controller ».
15. La fenêtre de configuration s‟ouvre. Cliquez sur « Add a new forest », saisissez le nom du domaine racine que vous souhaitez créer (ici spasipe.local). Ciquez sur « Next ».
16. Sélectionnez le niveau fonctionnel de la forêt et du domaine racine. Conservez « „Windows Server 2012 Release Candidate » sélectionné pour ces 2 choix. Saisissez un mot de passe pour le DSRM. Cliquez sur « Next ».
17. Cliquez sur « Next » sans vous soucier du message d‟avertissement.
18. « SPASIPE » est prérempli comme nom « NetBios » (à rappprocher du domaine « spasipe.local » configuré précedemment); cà convient, cliquez sur « Next ».
19. Modifiez si besoin les chemins des répertoires (base de données, log et sysvol) et cliquez sur « Next ».
20. Dans l‟optique de rejouer cette installation, il vous est possible d‟exporter la configuration sous forme d‟un script PowerShell en cliquant sur « View script ». Cliquez sur « Next ».
22. La configuration d‟ADDS se lance; les warning de l‟étape précédente sont de nouveau afffichés, et au final un message vous indique que le serveur va redémarrer. Cliquez sur « Close ».
23. Le serveur reboot; votre domaine est désormais disponible.
III.9. Gérer les groupes dans une infrastructure Active Directory sous Windows Server 2012 Lorsque vous créez une infrastructure Active Directory, vous avez la possibilité de créer Les groupes d'utilisateurs avec une étendue et un type spécifique. Les groupes permettent de :
simplifier la gestion des droits sur les dossiers présents sur une partition utilisant le système de fichiers NTFS gérer les autorisations sur les partages réseau faire du filtrage pour l'application de vos objets de stratégies de groupe envoyer du courrier (e-mails) à une série d'utilisateurs en les ciblant via le groupe dans lequel ils sont
III.9.1. Créer un nouveau groupe Pour créer un nouveau groupe sur votre infrastructure Active Directory, faites un clic droit "Nouveau" sur l'unité d'organisation (OU) ou le conteneur (CN) où vous souhaitez le créer. Comme vous pouvez le voir, vous pouvez choisir une étendue et un type de groupe. Pour les étendues de groupe, vous pouvez choisir entre :
domaine local : - ces groupes peuvent contenir des objets (utilisateurs, groupes, ...) de n'importe quel domaine - ces groupes ne peuvent être utilisés que pour définir des autorisations sur des ressources présentes dans le même domaine que ce groupe globale (ou "internationale" dans la documentation française de Microsoft) : - ces groupes peuvent contenir uniquement des objets (utilisateurs, groupes, ...) présents dans le même domaine que le groupe lui-même - ces groupes peuvent être utilisés pour définir des autorisations sur des ressources présentes dans d'autres domaines de la même forêt universelle : - ces groupes peuvent contenir des objets (utilisateurs, groupes, ...) de n'importe quel domaine de la même forêt - ces groupes sont utilisés pour définir des autorisations sur des ressources présentes dans la même forêt que ce groupe
Pour le type de groupe, vous avez le choix entre :
sécurité : ce type de groupe possède un identificateur de sécurité (SID) et permet donc, par exemple, de définir des autorisations sur diverses ressources et/ou des droits NTFS sur des dossiers et des fichiers distribution : ce type de groupe ne peut être utilisé qu'avec des solutions de messagerie, comme Microsoft Exchange Server, par exemple. Cela permet par exemple d'envoyer des e-mails à une liste d'utilisateurs.
Pour vous montrer la différence entre un groupe de sécurité et un groupe de distribution, nous allons créer des 2 groupes :
MySecurityGroup : qui est un groupe de type "Sécurité" MyDistribGroup : qui est un groupe de type "Distribution"
Les 2 nouveaux groupes apparaissent.
III.9.2. Groupe de distribution Les groupes de distribution sont utilisés pour l'envoi de courriers (via Microsoft Exchange, par exemple). Attention : les groupes de distribution ne possèdent pas d'identificateur de sécurité (SID) et ne peuvent pas servir pour attribuer des droits NTFS sur des dossiers, ...
III.9.3. Groupe de sécurité Les groupes de sécurité possèdent les mêmes fonctionnalités que les groupes de distribution, mais ils possèdent également un SID. Ce qui n'est pas le cas pour les groupes de distribution.
Grâce aux groupes de sécurité, vous pourrez, par exemple, gérer les droits NTFS sur des dossiers. Pour cela, faites un clic droit sur un dossier et allez dans l'onglet "Sécurité". Ensuite, cliquez sur Modifier.
Cliquez sur le bouton : Ajouter.
Si vous cherchez les groupes disponibles dans votre domaine Active Directory, vous verrez que seul le groupe de sécurité s'affichera. Ce qui prouve que les groupes de distributions ne peuvent pas être utilisés pour gérer les droits NTFS sur des dossiers.
III.9.4.Changer l'étendue d'un groupe Lorsque vous créez un groupe, vous pouvez choisir entre 3 étendues : Domaine local, globale et universelle. Néanmoins, bien qu'il soit possible de modifier l'étendue après sa création, vous ne pouvez pas toujours changer d'une étendue vers une autre (en une seule fois). Par exemple, lorsque le groupe a une étendue de "Globale", son étendue ne peut pas devenir "Domaine local". Ceci dit, la solution qui fonctionne toujours consiste à passer par l'étendue "Universelle" et d'appliquer les changements pour que toutes les étendues soient déverrouillées.
Pour le moment, l'étendue de ce groupe est "Globale", mais nous allons la changer en "Universelle". Cliquez sur "Appliquer".
Maintenant que l'étendue de ce groupe est "Universelle", vous pouvez choisir n'importe quelle étendue de groupe.
Choisissons par exemple "Domaine local", puis nous cliquons sur "Appliquer".
Maintenant que l'étendue est "Domaine local", l'étendue "Globale" est grisée.
Pas problème, repassons par l'étendue "Universelle" et cliquons sur "Appliquer".
Les différentes étendues de groupes sont à nouveau disponibles.
Nous remettons l'étendue "Globale" que nous avions choisie au début et nous cliquons sur "Appliquer".
L'étendue "Domaine local" redevient grisée.
III.9.5. Ajouter des utilisateurs dans un groupe Si vous affichez les propriétés d'un groupe, vous verrez qu'il peut bien évidemment contenir des membres, mais aussi appartenir eux-mêmes à d'autres groupes. Pour ajouter un utilisateur à un groupe, allez dans l'onglet "Membres" et cliquez sur le bouton "Ajouter".
Indiquez le nom de l'utilisateur à ajouter ou cherchez-le en cliquant sur le bouton "Avancé".
Notre utilisateur "InformatiUser" fait maintenant partie de notre groupe de sécurité "MySecurityGroup".
Comme expliqué précédemment, un groupe peut aussi faire partie d'un autre groupe Active Directory. Pour cela, allez dans l'onglet "Membre de" et cliquez sur : Ajouter.
Indiquez le nom du groupe dans lequel vous souhaitez ajouter le groupe en cours de modification.
Comme vous pouvez le voir, notre groupe "MySecurityGroup" se trouve maintenant dans le groupe "MyDistribGroup". Attention : n'utilisez pas trop ce genre d'imbrication de groupes, car en ajoutant un groupe dans un autre, il est possible que les utilisateurs d'un groupe enfant reçoivent des droits qui étaient prévus uniquement aux membres du groupe parent. L'imbrication de groupes peut donc poser un problème de sécurité dans certains cas. Donc, avant d'imbriquer des groupes dans d'autres groupes, assurez-vous que cela n'influera pas négativement sur votre infrastructure système.
Pour ajouter un utilisateur dans un groupe, vous pouvez aussi faire un clic droit "Ajouter à un groupe" sur l'utilisateur souhaité.
Indiquez le nom du groupe dans lequel vous voulez ajouter cet utilisateur.
Le message "L'opération Ajouter au groupe est terminée" apparait.
Comme vous pouvez le voir, l'utilisateur souhaité a bien été ajouté dans le groupe souhaité.
III.9.6. Déléguer la gestion d'un groupe Dans les grandes entreprises, lorsque vous possédez de nombreux utilisateurs et que ceux-ci sont peut-être répartis sur différents sites géographiques, il peut être intéressant de déléguer la gestion d'un groupe à un administrateur local (par exemple). Pour cela, dans les propriétés du groupe souhaité, allez dans l'onglet "Géré par" et cliquez sur "Modifier".
Indiquez par exemple, le nom de votre administrateur IT local. Dans notre cas, son compte est : IT_Manager.
Si nécessaire, vous pouvez même l'autoriser à gérer la liste des membres de ce groupe en cochant la case : Le gestionnaire peut mettre à jour la liste des membres.
III.9.8.Les principales classes Avant de s‟intéresser aux attributs, nous allons rapidement voir les principales classes d‟objets, puisque ce sont ces classes qui contiennent les attributs que nous verrons après. Nom
Description Les ordinateurs clients intégrés au
Ordinateur
domaine, mais aussi les serveurs et les contrôleurs de domaine Enregistrer
Contact
des
contacts,
sans
autorisation d‟authentification Regrouper des objets au sein d‟un groupe, notamment pour simplifier l‟administration
Groupe
(attribution
de
droits à un service « informatique » qui correspond à un groupe nommé « informatique », par exemple)
Unité d’organisation
Imprimante
Dossier pour créer une arborescence et organiser les objets. Ressource de type « imprimante » Comptes utilisateurs qui permettent de s‟authentifier sur le domaine, et
Utilisateur
accéder
aux
ressources,
aux
ordinateurs
Le tableau ci-dessus regroupe les classes d‟objets les plus utilisées et les plus courantes. Je tiens à préciser tout de même que par défaut l'Active Directory intègre déjà des containers (Users, Builtin, etc) et qui, à la différence des unités d'organisation natives, ne peuvent pas se voir appliquer des stratégies de groupe (GPO) et qu'il n'est pas possible de créer une délégation sur ces containers. C'est petite précision étant dite, intéressons-nous aux attributs. III.9.9. Les identifiants uniques : DistinguishedName et GUID Chaque objet dispose d’identifiants uniques qui sont représentés par deux attributs : le DistinguishedName et le GUID. A. Le DistinguishedName Cet identifiant unique également appelé « DN » représente le chemin LDAP qui permet de trouver l‟objet dans l‟annuaire Active Directory. Voici un autre exemple : - Domaine : ugl.edu.bi - Unité d’organisation où se trouve l’objet : informatique - Nom de l’objet : egide Le DN de cet objet utilisateur sera : cn=egide,ou=informatique,dc=ugl.edu.bi=bi Dans ce DN, on trouve un chemin qui permet de retrouver l‟objet, différents éléments sont utilisés : Identification de l’élément
cn
Description CommonName – Nom commun – Nom de l‟objet final ciblé
OrganizationalUnit
ou
–
Unité
d‟organisation Composant de domaine – Utilisé pour indiquer le domaine cible, avec
dc
un élément « dc » par partie du domaine
Le DN peut être très long si l‟arborescence de l‟annuaire est importante et que l‟objet se trouve à la fin de cette arborescence. De plus, le DN peut changer régulièrement si l‟objet est déplacé, ou si une unité d‟organisation dont il dépend est renommée puisqu‟il contient de manière nominative les objets. B. Le GUID Le GUID (Globally Unique IDentifier) est un identificateur global unique qui permet d‟identifier un objet d‟un annuaire Active Directory. Il correspond à l‟attribut « ObjectGUID » dans le schéma Active Directory. Il est attribué à l’objet dès sa création et ne change jamais, même si l’objet est déplacé ou modifié. Le GUID suit un objet de la création jusqu‟à la suppression. Codé sur 128 bits, le GUID d‟un objet est unique au sein d’une forêt et il est généré par un algorithme qui garantit son unicité. Des informations aléatoires, d‟autres non, comme l‟heure de création de l‟objet . III. Les attributs indispensables Après avoir vu les attributs ObjectGUID et DistinguishedName, continuons notre quête des attributs avec ce tableau qui récapitule les attributs que l‟on manipule le plus souvent. Nom de l’attribut dans le schéma
Nom dans
de la
l’attribut console
Active Directory
« Nom d‟ouverture de sAMAccountName
session
de
l‟utilisateur »
session
Valeur que devra utiliser l‟objet
pour
s‟authentifier
sur
le
domaine
« Nom d‟ouverture de UserPrincipalName
Description
de
l‟utilisateur » concaténé au nom du
Nom
complet
l‟utilisateur domaine
de
avec
le
inclus.
domaine sous la forme
Également appelé UPN
« @it-connect.local » description
Description
mail
Adresse de messagerie
Description de l‟objet Adresse de messagerie attribuée à l‟objet Égal à « 1 » s‟il s‟agit
adminCount
-
d‟un compte de type « Administrateur », égal à « 0 » s‟il ne l‟est pas Nom complet qui sera
DisplayName
Nom complet
affiché
pour
cet
utilisateur givenName
Prénom
Prénom de l‟utilisateur Nombre d‟ouverture de
logonCount
-
session réalisée par cet objet Date
accountExpires
à
laquelle
le
Date d‟expiration du
compte ne sera plus
compte
utilisable
(peut
être
vide) Identifiant de sécurité ObjectSID
-
unique
qui
permet
d‟identifier un objet
pwdLastSet
-
userAccountControl
-
Dernière fois que le mot de passe fût modifié État du compte – Une dizaine
de
codes
différents sont possibles
CHAP IV : Installation et Configuration d'un serveur DNS IV.1. La structure du serveur DNS Un système de noms de domaine (DNS) dispose d‟une base de données de noms distribuée. •
Les noms de la base de données DNS établissent une arborescence logique, connue comme l'espace de nommage.
•
Chaque nœud ou domaine de l‟espace de nommage dispose d‟un nom et peut contenir des sous-domaines.
•
Les domaines et sous-domaines se regroupent par zones pour permettre l‟administration distribuée de l‟espace de nommage (les zones détaillées ci-dessous).
•
Le nom du domaine identifie la position de celui-ci sur l‟arborescence logique du DNS, en séparant chaque branche de l‟arbre par un point, possédant un nom unique de 63 caractères au plus.
Sur la figure suivante, sont affichés divers domaines, où se trouve Mondomaine, et un hôte appelé host, à l‟intérieur du domaine mondomaine.com. Si quelqu‟un désire contacter avec ce host, il
devra alors utiliser le nom complet host.mondomaine.com. On parle alors de nom totalement qualifié ou FQDN (Fully Qualified Domain Name).
IV.2. Étapes de l’installation : 1. Renommer le serveur 2. Configurer un adressage IP statique 3. Installer les services de Contrôleur de Domaines 4. Configurer le serveur DNS 5. Configurer l‟interface d‟écoute du serveur DNS 6. Configurer le DNS forwarding 7. Changez la configuration IP du serveur en remplaçant le serveur DNS configuré par luimême 1. Renommer Accédez Cliquez
le a sur
serveur la le
console nom
de du
serveur
gestion pour
du
serveur
le
modifier
Cliquez sur « Change », modifiez le nom de l‟ordinateur, puis cliquez sur « OK »
Après avoir confirmé, redémarrez le système pour la prise en compte de la modification
Suite au redémarrage, vous constaterez que le nom du serveur a changé 2. Configurer
un
Revenez Cliquez
adressage
dans sur
le
la lien
IP
statique
console vers
la
de
gestion
configuration
du
du
serveur
port
Ethernet
Cliquez
droit
sur
l‟adaptateur
réseau,
et
accédez
aux
propriétés
Sélectionnez le protocole IPv4, accédez au propriétés et insérez les informations réseaux pour le serveur
Cliquez sur OK pour confirmer 3. Installer les services
de
Contrôleur
de
Domaines
Toujours dans la console de gestion, accédez a « Manage » puis « Add Roles and Features » Suivez
les
instructions suivants
Choisissez « Role-Based or feature-based installation » pour ajouter des rôles et fonctionnalités
Sélectionnez
votre serveur
dans
Sélectionnez
le
« Active
service
le
pool
Directory
de
Domain
serveurs
:
Services »
Confirmez
Puis
l‟installation
sélectionnez
aussi
de
le
ces fonctionnalités
serveur
DNS
l‟installation
Confirmez
Cliquez
sur
de
« Next »
ces fonctionnalités
pour
continuer
Laissez
par
défaut
et
continuez
avec
Lisez les informations sur ADDS comme ci-dessous et cliquez sur « Next »
« Next »
Cliquez
L‟installation
sur
« Install »
progresse,
pour
patientez
lancer
un
l‟installation
moment
Il faut maintenant élever le serveur en contrôleur de domaine, cliquez sur « Promote this server to
a
domain
controller »
Sélectionnez « Add a new forest » et donnez un nom a votre domaine (exemples : mylab.local ou
monentreprise.local),
cliquez
sur
« Next »
pour
continuer
Insérez le mot de passe pour accéder au mode de restauration de l‟Active Directory, veuillez bien garder ce mot de passe en cas d‟incident dans le futur, ceci pourrait bien vous sauver la
vie Laissez
tel
quel
et
cliquez
sur
« Next »
Entrez le nom Netbios du nom de domaine, système devrait déjà générer un nom par rapport
a
votre nom
de
domaine Laissez
par
défaut et
cliquez
sur
« Next » Révisez sur « Next »
Le
serveur
Lorsque
tout
va est
et
confirmez
effectuer OK,
les
vous
vos
dernieres aurez
paramétrages, puis
verifications
possibilité
de
cliquez
des
lancer
pre-requis l‟installation
Attention ! Le serveur redémarrera automatiquement sans donner d’avertissement, veuillez sauvegarder
tout
processus
en
cours
sur
le
serveur
s’il
y
en
a.
L‟avertissement
L‟installation
se
trouve
est
en
en
bas
de
cette
cours,
fenêtre
avant
veuillez
l‟installation
patienter.
Après redémarrage, vous pouvez désormais vous authentifier avec votre identifiant administrateur du domaine « MONDOMAINE\Administrateur »
4. Configurer
Revenez Sous
le
maintenant le
dans menu
serveur
la
console Tools,
de
DNS
gestion
cliquez
du sur
serveur DNS
La console de gestion du serveur DNS s‟affiche, nous allons créer une zone inversée (elle n‟est pas créée automatiquement), cette zone vous permettra de résoudre des noms à partir l’adresse
de
IP
Déployez dans le menu le serveur DNS, puis faites un clic droit sur « Reverse Lookup Zones » puis « New Zone »
L‟assistant
de
création
de
nouvelle
zone
s‟affiche,
cliquez
sur
« Next »
Choisissez le type de zone, choisissez « Primary zone » et cochez l‟option pour intégrer la zone DNS dans l‟Active Directory, cliquez sur « Next »
Laissez par défaut sur « To all DNS servers running on domain controllers in this domain »
Sélectionnez
Tapez
les
« IPv4
3
premiers
Reverse
octets
Lookup
de
votre
Zone »
adressage
IP
Choisissez le mode de mise a jour automatique des données de la zone DNS
Cliquez sur « Finish » pour terminer
Deployez dans le menu lateral, Serveur > Forward Lookup Zones > mondomaine.local Double cliquez sur l‟entrée qui correspond au serveur
Cochez l‟option pour créer automatiquement un pointeur (PTR) dans la zone de recherche inversée
5. Configurer l’interface d’écoute du serveur DNS Toujours dans la console de gestion DNS, faites un clic droit sur le serveur puis accédez aux propriétés
Sous l‟onglet « Interfaces », sélectionnez « Only the following IP adresses » pour seulement sélectionner l‟adresse IP au format IPv4
6. Configurer
le
DNS forwarding
Toujours dans les propriétés du serveur DNS, accédez a l‟onglet « Forwarders » Créez, si cela n‟est pas fait, une entrée contenant l‟adresse de serveurs DNS externe.
7. Changez la configuration IP du serveur en remplaçant le serveur DNS configuré par luimême
Voila, nous avons installé un serveur contrôleur de domaine Active Directory et configuré un serveur DNS sous Windows Server 2012.
CHAP IV : Installation et Configuration d'un serveur DHCP IV. 1. Présentation Le DHCP (Dynamic Host Configuration Protocol) : Un serveur DHCP délivre des adresses IP de façon automatique aux ordinateurs se connectant au réseau. En plus d'une adresse IP le serveur DHCP vous informe de la configuration réseau tel que la passerelle par défaut et le masque de sousréseau. Dans un réseau informatique, les machines sont identifiées avec une adresse IP. Cette adresse IP peut être soit configurée manuellement en intervenant physiquement sur la machine et en configurant les paramètres IP de la machine ce qui dans la cadre d‟une entreprise de grande taille est difficile à maintenir soit il peuvent être configurés automatiquement. C‟est donc dans cette deuxième option qu‟intervient le serveur DHCP. Le serveur DHCP (Dynamic Host Configuration Protocol) permet donc d‟attribuer automatiquement des adresses IP aux machine du réseau. Il possède une base d‟adresses qui est configurée et qu‟il peut distribuer et ensuite en fonction des demandes qui lui parviennent, il va pouvoir attribuer une adresse à la machine. Le serveur DHCP va pouvoir configurer plusieurs paramètres et non pas uniquement l‟adresse IP. Il va pouvoir renseigner entre autres le netmask, la passerelle par défaut ainsi que différentes options comme par exemple l‟adresse des serveurs DNS ou le nom du domaine. IV. 2. Fonctionnement du protocole DHCP Le principe de fonctionnement de DHCP se base sur une relation client-serveur. Lorsqu‟une machine a besoin d‟obtenir une adresse IP, elle va d‟abord envoyer un message de type broadcast pour savoir est-ce qu‟il y‟a un serveur DHCP sur le réseau et quel est son adresse (DHCP Discover). Si un serveur DHCP est présent il va donc recevoir le message de la machine. Il va a se moment la regarder si dans sa base d‟adresse il a une adresse qu‟i peut proposer à la machine. SI oui il envoie une réponse directement à la machine avec l‟adresse IP qu‟il lui propose (DHCP Offer). Le machine reçoit le message et répond au serveur DHCP en indiquant si elle accepte cette adresse IP que lui propose le serveur DHCP. Si oui elle envoie donc une requête au serveur en lui indiquant qu‟elle veut utiliser cette adresse. (DHCP Request).
Le serveur DHCP reçoit la requête de la machine et finalement renvoie à son tour un message indiquant que tout est ok et que l‟adresse lui est assignée (DHCP Ack).
Le serveur DHCP devra être autorisé dans l‟Active Directory si celui est joint à un domaine pour qu‟il puisse avoir l‟autorisation de donner des adresses à des machines clientes.
IV.3. Terminologie pour le serveur DHCP Étendue : Une étendue est la plage consécutive complète des adresses IP probables d‟un réseau. Les étendues désignent généralement un sous-réseau physique unique de votre réseau auquel sont offerts les services DHCP. Les étendues constituent également pour le serveur le principal moyen de gérer la distribution et l‟attribution d‟adresses IP et de tout autre paramètre de configuration associé aux clients du réseau. Étendue globale : Une étendue globale est un regroupement administratif des étendues pouvant être utilisé pour prendre en charge plusieurs sous-réseaux logiques IP sur le même sous-réseau physique.
Les étendues globales contiennent uniquement une liste d‟étendues membres ou d‟étendues enfants qui peuvent être activées ensemble. Les étendues globales ne sont pas utilisées pour configurer d‟autres détails concernant l‟utilisation des étendues. Pour configurer la plupart des propriétés utilisées dans une étendue globale, vous devez configurer individuellement les propriétés des étendues membres. Plage d’exclusion : Une plage d’exclusion est une séquence limitée d‟adresses IP dans une étendue, exclue des offres de service DHCP. Les plages d‟exclusion permettent de s‟assurer que toutes les adresses de ces plages ne sont pas offertes par le serveur aux clients DHCP de votre réseau. Pool d’adresses : Une fois que vous avez défini une étendue DHCP et appliqué des plages d‟exclusion, les adresses restantes forment le pool d’adresses disponible dans l‟étendue. Les adresses de pool peuvent faire l‟objet d‟une affectation dynamique par le serveur aux clients DHCP de votre réseau. Bail : Un bail est un intervalle de temps, spécifié par un serveur DHCP, pendant lequel un ordinateur client peut utiliser une adresse IP affectée. Lorsqu‟un bail est accordé à un client, le bail est actif. Avant l‟expiration du bail, le client doit renouveler le bail de l‟adresse auprès du serveur. Un bail devient inactif lorsqu‟il arrive à expiration ou lorsqu‟il est supprimé du serveur. La durée d‟un bail détermine sa date d‟expiration et la fréquence avec laquelle le client doit le renouveler auprès du serveur. Réservation : Utilisez une réservation pour créer une affectation de bail d‟adresse permanente par le serveur DHCP. Les réservations permettent de s‟assurer qu‟un périphérique matériel précis du sousréseau peut toujours utiliser la même adresse IP. Types d’options : Les types d’options sont d‟autres paramètres de configuration client qu‟un serveur DHCP peut affecter lors du service de baux aux clients DHCP. Par exemple, certaines options régulièrement utilisées comprennent des adresses IP pour les passerelles par défaut (routeurs), les serveurs WINS et les serveurs DNS. Généralement, ces types d‟options sont activés et configurés pour chaque étendue. La console DHCP vous permet également de configurer les types d‟options par défaut utilisés par toutes les étendues ajoutées et configurées sur le serveur. La plupart des options sont prédéfinies via la RFC 2132, mais vous pouvez utiliser la console DHCP pour définir et ajouter des types d‟options personnalisés si nécessaire. Classes d’options : Une classe d’options est un moyen pour le serveur de continuer à gérer les types d‟options proposés aux clients. Lorsqu‟une classe d‟options est ajoutée au serveur, les clients
de cette classe peuvent être fournis en types d‟options spécifiques à la classe pour leur configuration. Pour Microsoft® Windows® 2000 et Windows XP, les ordinateurs clients peuvent également spécifier un ID de classe lorsqu‟il communique avec le serveur. Pour des clients DHCP plus récents qui ne prennent pas en charge le processus d‟ID de classe, le serveur peut être configuré avec les classes par défaut à utiliser lors du placement des clients dans une classe. Les classes d‟options peuvent être de deux types : les classes de fournisseurs et les classes d‟utilisateurs. IV.4. Installation et configuration du service DHCP Nous allons commencer par attribuer une adresse IP statique à notre ordinateur en modifiant le protocole IPV4 de notre carte réseau et lui attribuer les valeurs suivantes :
Note : L'adresse 192.168.42.254 n'est d'autre que celle de mon routeur donc veillé à bien changer cette valeur par celle de votre propre routeur. Retourner dans le panneau de configuration Windows Server 2012. Cliquer sur "Gérer" puis "Ajouter des rôles et des fonctionnalités". Cliquer sur suivant jusqu‟à tomber sur le "Pool de serveur".
Sélectionnez votre ordinateur (ici « srvpedago-01 ») puis sélectionner "Serveur DHCP" et enfin "Ajouter les fonctionnalités". Attendez la fin de l'installation et cliquer sur "Terminer la configuration DHCP" Vérifiez que vous avez les bonnes fonctionnalités prêtent à être installer comme ci-dessous :
Validez l'installation. Vous devriez voir apparaître cette fenêtre :
Validez l'autorisation et le résumé avant de fermer la fenêtre. Retour au panneau de configuraiton. Dans le volet gauche séléctionnez "DHCP". Cliquer droit sur votre serveur puis "Gestionnaire DHCP" comme ci-dessous :
Ensuite cliquer sur "IPv4" puis "Nouvelle étendue" Configurez ensuite votre nouvelle étendue
comme ceci :
Note : N'oubliez pas de remplacer l'adresse IP par celle de votre routeur
Inutile d'ajouter des exclusions pour le moment. Valider simplement la plage d'adresse ainsi que la durée du bail.
Cliquer sur suivant
Ajouter votre routeur (ici 192.168.42.254) et valider
Valider la page sans modifications.
Valider et terminer la configuration de votre nouvelle étendue. Retour sur le "Gestionnaire DHCP" Cliquer sur "Options d'étendue", cliquer droit sur "Server DNS" puis "Propriétés". Ajoutez ensuite votre nouvelle adresse (ici 192.168.42.254) et valider comme ci-dessous :
Voilà, votre serveur DHCP est maintenant pleinement configuré et fonctionnel.
CHAP V : GESTION DE COMPTES D'UTILISATEUR ET GROUPES
LES STRATEGIES DE
V.1. Création des utilisateurs, groupes et unités d’organisation Avant de commencer, il est nécessaire d‟installer un Active Directory. Notre exemple est réalisé sur un Windows serveur 2012. Nous allons créer les utilisateurs, groupes dans lesquels vont être membres ces utilisateurs et unité organisationnelle dans l‟annuaire. Cela dans la mise en place des premiers postes de travail dans une entreprise. Nous avons élaboré un schéma simpliste pour représenter notre entreprise, c‟est-à-dire un contrôleur de domaine et une station de travail.
Création Nous allons commencer à peupler notre Active Directory. Pour ce faire nous devons lancer la console Utilisateurs et ordinateurs Active Directory. On peut la lancer depuis le Gestionnaire de serveur puis sous la rubrique AD DS. Un clic droite sur notre serveur puis on choisit Utilisateurs et ordinateurs Active Directory.
On arrive sur la console.
Unité organisationnelle Nous allons créé une unité organisationnelle afin d‟y mettre l‟ensemble des utilisateurs et groupes mise en place pour ces utilisateurs dans le cadre de notre entreprise. On
se place dans l‟arbre à la hauteur de notre domaine ogelin.local. Selon la créateur du domaine, vous pouvez avoir un ogelin.ad. On fait un clic droite dans la fenêtre de droite, puis Nouveau et on choisit Unité d’organisation.
Une fois cette étape faite, nous devons choisir le nom de notre unité.
L‟option supplémentaire Protéger le conteneur contre une suppression accidentelle est apparu avec Windows serveur 2012. Cette option n‟est pas présente dans Windows serveur 2008. Nouvel utilisateur Nous allons créer une unité organisationnelle MpolFamily. Lorsque cela est fait, nous pouvons créer les premiers utilisateurs de notre entreprise avec un bouton droite ensuite Nouveau puis Utilisateur.
Avec notre nouvel utilisateur, nous allons commencer à peupler notre unité. On répète le même schéma pour tous les nouveaux utilisateurs. Dans notre exemple, nous allons créer un utilisateur qui s‟appelle Nicola.
On a repris pour simplifier le prénom nicola pour le nom d‟ouverture de session. On voit que Nicola a deux moyens pour ouvrir une session. Nous avons l‟UMP, c‟est-à-dire la forme d‟adresse email, [email protected] ou par l‟intermédiaire d‟une authentification Windows NT ou 2000 avec le nom du domaine backslash suivi du prénom, OGELIN\nicola. Après avoir presser sur le bouton Suivant, on doit saisir un mot de passe complexe. Complexe veut dire que le mot de passe doit contenir au moins 7 caractères avec au moins 3 des éléments suivants : •
une majuscule
•
une minuscule
•
un nombre
•
un symbole
L‟option L’utilisateur doit changer le mot de passe à la prochaine ouverture de session forcera Nicola à changer le mot de passe transmis et entré ci-dessus à la première connexion sur le domaine. Après avoir entré le mot de passe, nous obtenons un résumé des informations de l‟utilisateur Nicola.
On clique sur Terminer et l‟utilisateur est créé.
S‟il on affiche les propriétés nouvellement créé avec un clique droite puis Propriétés ou en double cliquant dessus, on voit que l‟on a beaucoup plus d‟informations que dans l‟assistant. On peut alors remplir le bureau, le numéro de téléphone, etc. de l‟utilisateur.
On peut notamment faire démarrer un programme à l‟ouverture de session ou permettre de le contrôle à distance. On va pouvoir mettre plusieurs utilisateurs dans un groupe. On répète la même opération en complétant le profil pour chaque utilisateur. Nouveau groupe Bouton de droite puis Nouveau et Groupe.
On rappelle brièvement les choix possible dans l‟encadré Étendue du groupe et Type de groupe. Les informations redonnées ici sont présentes sur technet. Il est fortement recommandé d‟utiliser les groupes globaux ou les groupes universels plutôt que les groupes de domaines locaux lorsque vous spécifiez des autorisations sur des objets d‟annuaire qui sont répliqués vers le catalogue global. Étendue du groupe Domaine local : Les membres des groupes de domaines locaux incluent d‟autres groupes et comptes issus de domaines Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 et Windows Server 2008 R2. Les membres de ces groupes ne peuvent recevoir des autorisations qu‟au sein d‟un domaine. Les groupes avec une étendue de domaine local vous permettent de définir et de gérer l‟accès aux ressources dans un seul domaine. Vous pouvez simplifier cette tâche d‟administration de routine en créant un groupe avec une étendue de domaine local et en lui affectant l‟autorisation d‟accéder à l‟imprimante. Placez les cinq comptes d‟utilisateurs dans un groupe avec une étendue globale et ajoutez ce groupe au groupe avec une étendue de domaine local. Pour octroyer l‟accès à une nouvelle imprimante aux cinq utilisateurs, affectez au groupe une autorisation d‟étendue de domaine local pour accéder à la nouvelle imprimante. Tous les membres du groupe à étendue globale reçoivent automatiquement l‟accès à la nouvelle imprimante. Globale :Les membres des groupes globaux peuvent inclure d‟autres groupes et comptes provenant uniquement du domaine où le groupe est défini. Les membres de ces groupes peuvent recevoir des
autorisations dans n‟importe quel domaine de la forêt. Utilisez les groupes à étendue globale pour gérer des objets d‟annuaire qui nécessitent une maintenance quotidienne, tels que les comptes d‟utilisateurs et d‟ordinateurs. Étant donné que les groupes à étendue globale ne sont pas répliqués à l‟extérieur de leur propre domaine, vous pouvez modifier fréquemment les comptes dans un groupe à étendue globale sans causer de trafic de réplication vers le catalogue global. Universelle : Les membres des groupes universels peuvent inclure d‟autres groupes et comptes provenant des domaines de la forêt ou de l‟arborescence de domaine. Les membres de ces groupes peuvent recevoir des autorisations dans n‟importe quel domaine de la forêt ou de l‟arborescence de domaine. Utilisez les groupes à étendue universelle pour consolider les groupes qui s‟étendent sur plusieurs domaines. Pour ce faire, ajoutez les comptes aux groupes à étendue globale et insérez ces groupes dans des groupes à étendue universelle. Lorsque vous utilisez cette stratégie, les changements d‟appartenance dans les groupes à étendue globale n‟affectent pas les groupes à étendue universelle. Par exemple, dans un réseau composé de deux domaines, Europe et UnitedStates, et un groupe à étendue globale intitulé GLAccounting dans chaque domaine, créez un groupe à étendue universelle intitulé UAccounting qui possède les deux groupes GLAccounting comme membres, UnitedStates\GLAccounting et Europe\GLAccounting. Vous pouvez ensuite utiliser le groupe UAccounting n‟importe où dans l‟entreprise. Tout changement affectant l‟appartenance des groupes individuels GLAccounting n‟entraîne pas la réplication du groupe UAccounting. Ne modifiez pas fréquemment l‟appartenance d‟un groupe à étendue universelle. Tout changement apporté à l‟appartenance de ce type de groupe entraîne la réplication de l‟appartenance entière du groupe vers chaque catalogue global de la forêt. Type de groupe On trouve deux types de groupes : distribution et sécurité. On utilise les groupes de distribution pour créer des listes de distribution électronique et ceux de sécurité pour affecter des autorisations à des ressources partagées. Les groupes de distribution ne sont pas sécurisés, ce qui signifie qu‟ils ne peuvent pas être répertoriés dans les listes de contrôle d‟accès discrétionnaire (DACL). Les groupes de sécurité permettent : •
Assigner des droits d‟utilisateurs à des groupes de sécurité dans AD DS.
•
Affecter des autorisations aux groupes de sécurité sur des ressources.
Dans notre cas, nous avons une groupe d‟utilisateur. Nous allons choisir l‟étendu du groupe Globale car nous avons un assez fréquent aux informations et le type de groupe Sécurité afin d‟accéder à des partages.
Dans ce groupe commerciaux, nous allons ajouter des utilisateurs. Dans les propriétés ou en double cliquant sur le groupe voulu, nous pouvons nous rendre l‟onglet Membres et ajouter les membres que l‟on souhaite. On clique sur Ajouter… puis sur Avancé… et on recherche nos utilisateurs. On peut également taper directement le nom dans les noms des objets à sélectionner puis Vérifier les noms. Nous pouvons ajouter par exemple une utilisatrice qui s‟appelle Nathalia.
On utilisera ces groupes créés pour donner des droits sur des fichiers, imprimantes, base de données, etc. On pourra appliquer une stratégie de groupes à MpolFamily afin de conditionner l‟environnement de travail des personnes faisant partis de cette unité organisationnelle.
V.2. Connexion à un serveur (Machine cliente sur un serveur) Pour joindre des ordinateurs exécutant Windows Server 2008 R2 (version finale) et Windows 7 (version
finale)
1. Ouvrez une session sur Administrateur local.
au
l‟ordinateur
domaine
avec
le
:
compte
Cliquez sur Démarrer, cliquez avec le bouton droit sur Ordinateur, puis cliquez sur Propriétés. La boîte de dialogue Système s‟ouvre. 2. Dans Paramètres de nom d‟ordinateur, de domaine et de groupe de travail, cliquez sur Modifier les paramètres. La boîte de dialogue Propriétés système s‟ouvre. 3. Cliquez sur Modifier. La boîte de dialogue Modification du nom ou du domaine de l‟ordinateur s‟ouvre. 4. Dans Nom de l‟ordinateur, dans Membre de, sélectionnez Domaine, puis tapez le nom du domaine auquel joindre l‟ordinateur. Par exemple, si le nom de domaine est exemple.com, tapez exemple.com. 5. Cliquez sur OK. La boîte de dialogue Sécurité Windows s‟ouvre. 6. Dans Modification du nom ou du domaine de l‟ordinateur, dans Nom d‟utilisateur, tapez le nom d‟utilisateur. Dans Mot de passe, tapez le mot de passe, puis cliquez sur OK. 7. La boîte de dialogue Modification du nom ou du domaine de l‟ordinateur s‟ouvre et vous souhaite la bienvenue dans le domaine. 8. Cliquez sur OK. 9. La boîte de dialogue Modification du nom ou du domaine de l‟ordinateur affiche un message indiquant que vous devez redémarrer l‟ordinateur pour appliquer les modifications. Cliquez sur OK. 10. Dans la boîte de dialogue Propriétés système, sous l‟onglet Nom de l‟ordinateur, cliquez sur Fermer. 11. La boîte de dialogue Microsoft Windows s‟ouvre et affiche un message indiquant de nouveau que vous devez redémarrer l‟ordinateur pour appliquer les modifications. 12. Cliquez sur Redémarrer maintenant.
CHAP VII : Partage et sécurité VI.1. Serveur de fichiers Un des rôles les plus courants pour un serveur Windows est le serveur de fichiers. Grâce à ce rôle, on va pouvoir mettre à disposition en toute sécurité des fichiers sur le réseau. On pourra gérer des droits d’accès (lecture, écriture, modification…). Fournir ce type de rôle dans un réseau permet de centraliser le point de stockage des fichiers, facilitant ainsi la sauvegarde, la restauration, et permettant à plusieurs personnes de travailler ensemble sur un même fichier. Pour qu‟un fichier soit accessible sur votre réseau, un protocole doit être utilisé. Sous Linux, il s‟agit majoritairement du NFS (Network File System). Sous Windows, il est possible d‟utiliser ce protocole, mais il n‟est pas aussi intégré au système que l‟est le protocole SMB, aussi appelé CIFS. SMB pour Server Message Block et CIFS pour Common Internet File System. Ce protocole se caractérise par un client natif intégré à Microsoft Windows et un serveur que vous allez installer et configurer. Il se base sur NTFS pour la gestion des droits d‟accès et les partages sont accessibles via un chemin universel (UNC - Universal Naming Convention) du type\\serveur\partage. Si SMB peut vous faire penser à SAMBA (souvent rencontré sous Linux), c‟est totalement normal, SAMBA est une implémentation open source du protocole propriétaire SMB de Microsoft. Vous pourrez donc partager vos fichiers via SMB et y avoir accès sur vos clients Linux. VI.2. Installation du rôle Serveur de fichiers Sur votre gestionnaire de serveurs, vous avez sûrement observé la présence d‟un rôle dont nous n‟avions pas parlé, alors qu‟il était déjà installé : Le rôle Serveur de fichiers et de stockage :
Rôle Serveur de fichiers et de stockage installé par défaut En effet, pour stocker des fichiers, il convient de gérer le stockage. Le mieux étant de mettre en œuvre un disque dédié à cet effet (ou plusieurs). Il est proposé donc de créer deux disques de 10 Gio sur votre machine virtuelle. Pour cela, éteignez votre machine virtuelle et rendez-vous sur le menu de VirtualBox dans l‟option “Machine”, puis sélectionnez “Paramètres”. Au passage, vous avez vu que Windows vous demande un motif pour l‟arrêt de votre serveur :
Motif d‟arrêt et redémarrage d‟un serveur Cela permet d‟identifier la raison de l‟arrêt. En effet, si vous arrêtez votre serveur, ses rôles, fonctionnalités et services deviennent indisponibles. Il convient alors de s‟assurer que cela est dû à une maintenance programmée ou à un événement non planifié. Cela permettra d‟identifier clairement cet arrêt comme étant programmé et légitime, et donc de basculer ce temps d'indisponibilité dans les temps de maintenance. Vous en saurez plus dans le cours Supervision. Je vous propose donc de choisir le motif “Système d’exploitation : reconfiguration (planifiée)”. Rendez-vous dans la section “Stockage”, et sur votre contrôleur ajoutez deux nouveaux disques :
Ajout de deux disques virtuels à votre serveur Redémarrez votre serveur et rendez-vous à nouveau dans l‟espace Serveur de fichiers et de stockage, vous devriez voir les deux disques nouvellement installés :
Deux nouveaux disques Hormis la première étape, les deux suivantes se font dans la partie “Pool de stockage” :
Création
d‟un
pool
de
stockage
et
d‟un
disque
virtuel.
Le pool est fin prêt Sélectionnez ensuite votre pool de stockage et créez un disque virtuel. Pour le cas de Gift S.A., je vous propose de partir sur un miroir simple qui utilisera les deux disques pour stocker les données (les fichiers seront écrits en simultané sur les deux disques, la perte d‟un disque est transparente !).
Création d‟un disque virtuel Ensuite, vous devrez choisir le mode d‟approvisionnement de l‟espace. Pour cela, deux options existent, fin ("thin" en anglais) et fixe. Dans ce dernier cas, fixe, l‟espace total du volume est proposé ; dans le cas de l‟approvisionnement fin, vous fixez la taille. L‟avantage est qu‟il est possible de fournir un espace réduit puis de pouvoir l‟augmenter par la suite. Il est également possible d‟afficher plus d’espace que réellement disponible physiquement.
Approvisionnement de l‟espace disque Finalisez la création de ce disque, et créez le volume qui accueillera vos données et se présentera avec une lettre de lecteur, ainsi qu‟un système de fichiers (NTFS par défaut).
Pour ma part, j‟ai mis en œuvre un disque virtuel en miroir en approvisionnement fin de 1 To (oui, à partir de mes deux disques de 10 Gio).
Nouveau disque de données de 1 To en miroir sur les deux disques physiques de 10 Gio.
Volume associé au disque virtuel de 1 Tio L'approvisionnement fin est pratique pour anticiper les besoins. Il autorise une certaine souplesse dans l‟approvisionnement d‟espace. Sachez que vous aurez de toute façon une alerte dès que vous aurez atteint 70 % de l‟espace physique réel. Il vous faudra à ce moment-là ajouter de nouveaux disques physiques afin de fournir le stockage nécessaire. Je vous propose donc de rester raisonnable, avec 10 Gio de disque virtuel en miroir :
Volume de données avec 10 Gio en miroir sur les deux disques physiques Je vous propose d‟en rester là pour la gestion du stockage, le fonctionnement étant globalement le même que sous Linux.
VI.3. Partager un dossier par l’explorateur de fichier Cette solution est souvent utilisée et marche pour l‟ensemble des versions de Windows serveur et bureau.
1.
Ouvrir l‟explorateur et aller à l‟emplacement du fichier à partager.
2.
Faire un Propriétés
clic 1.
3.
Aller sur avancé
l‟onglet 2.
4.
Cocher la case Autorisations 2.
droit
sur
le
Partage
Partager
ce
dossier1
et
1
cliquer
dossier
puis
1
cliquer
sur
sur
et
cliquer
Partage
sur
5.
Configurer les autorisations de partage en fonction des besoins 1 puis cliquer sur Appliquer 2 et
OK
6.
3.
Cliquer de nouveau sur Appliquer 1 et OK 2 pour fermer la fenêtre Partage avancé.
7.
Le les
dossier propriétés.
est
partagé
et
le
chemin
1
visible dans
8.
Tester le partage directement depuis le serveur entrant l‟adresse ci-dessus dans l‟explorateur Windows.
Partager
VI.4. Création de partage avec le gestionnaire de serveur Maintenant que vous avez votre support pour vos données, il vous faut un dossier pour stocker les différents fichiers. Rendez-vous dans la partie “Volumes”, puis dans l‟encart “Ressources partagées” :
Ressources partagées Vous retrouvez bien votre volume de 10 Gio, mais il vous est demandé d‟installer des rôles et fonctionnalités supplémentaires. Très exactement, en suivant le lien proposé, vous aurez à installer les services permettant d‟aller plus loin dans la fourniture de fichiers en réseaux :
Services du rôle Serveur de fichiers Maintenant que votre rôle est complètement installé, vous avez la possibilité de créer un nouveau partage :
Nouveau partage sur le volume E:\
Vous avez le choix entre 5 propositions via l‟assistant de création de partages : •
SMB simple : le plus simple, vous fournissez un partage sur votre réseau via SMB ;
•
SMB avancé : permet d‟aller plus loin que le précédent en gérant des quotas et des droits avancés ;
•
SMB Applications : utilisé pour Hyper-V et les bases de données ou autres serveurs ;
•
NFS simple : identique à SMB simple mais via NFS (avec donc une meilleure compatibilité avec Linux) ;
•
NFS avancé : idem SMB avancé.
Je vous propose de rester sur SMB simple. Il vous est ensuite demandé le chemin d‟accès (E: pour l‟exemple) et le nom du partage (ce qui se trouvera après serveur\ dans le chemin UNC suivant : \\serveur\partage ). Je vous propose de l'appeler “Sensible”.
Choix du mode de partage Vous remarquez alors que Windows créera ce répertoire dans un répertoire “Shares” qui accueillera tous chemin
les
partages
de
ce
volume.
De
UNC est affiché\\SRVDHCPPAR01\Sensible.
même, l‟accès
via
un
Je vous le redis, pour être sûr que vous vous en rappeliez dans votre pratique pro, le nommage du serveur est vraiment important . Enfin, il vous sera proposé de configurer les paramètres de votre partage avec une option cochée par défaut : Autoriser la mise en cache du partage. Il s‟agit là d‟une nouvelle fonctionnalité depuis Windows Server 2012, qui permet de synchroniser le partage sur un poste et de vous fournir un accès à vos données, même si le serveur n‟est plus accessible. L‟activation de l‟énumération basée sur l‟accès permet de n‟afficher dans l‟explorer Windows que les partages auxquels l‟utilisateur a accès. C‟est une option intéressante qui permet de masquer un partage sensible aux utilisateurs ne disposant d‟aucun droit sur les données en question, je vous propose d‟activer cette option.
Paramètres de partage Enfin, la dernière et peut-être la plus importante, la possibilité de chiffrer l‟accès aux données.
Il ne s‟agit que du chiffrement de l‟accès au données et non du chiffrement des données ellesmêmes. Ensuite, vous devez choisir des utilisateurs (ou mieux, des groupes) qui pourront disposer d‟accès spécifiques en fonction de leurs besoins, par exemple pour le “Principal” utilisateur authentifié, les
droits peuvent être Lecture seule :
Autorisations pour Sensible Une fois que vous avez terminé avec l‟affectation des droits (qui est beaucoup plus simple, couplée à un Active Directory), vous pouvez valider. Vous avez alors un récapitulatif des paramètres choisis :
Paramètres du partage Et voilà, votre partage est disponible via \\SRVDHCPPAR01\Sensible (à modifier avec le nom de votre serveur). Accédez à votre partage Pour cela, rien de plus simple sous Windows, un client SMB est intégré à l‟explorer, il suffit d‟entrer le chemin UNC du partage dans la barre d‟adresse et Windows vous en affiche le contenu :
Accès au partage Sensible Par défaut, l‟administrateur n‟est pas obligatoirement libre de gérer les fichiers, il peut ne pas avoir accès aux données de “Sensible” s‟il n‟en a pas le besoin. Il pourra tout de même effectuer ses tâches d‟administration sans pouvoir voir le contenu des données !
Accès refusé pour l‟administrateur local sur le dossier “Sensible”
Il ne vous reste plus qu‟à autoriser les flux sur votre pare-feu pour fournir l‟accès à votre serveur de fichiers. Vous utilisez le protocole SMB, il faut donc ouvrir le port 445/TCP à destination de votre serveur sur votre réseau. En résumé Le serveur de fichiers est un rôle par défaut qui n‟est pas complètement installé, il faut
•
terminer l‟ajout de certaines fonctionnalités afin de pouvoir mettre en place un partage ; Il existe deux grands types de protocoles disponibles, SMB et NFS, l‟un propriétaire
•
Microsoft, l‟autre plutôt orienté vers le monde Unix, avec notamment une implémentation sous Linux et Mac OS ; • •
Il est possible de chiffrer l’accès aux données via SMB ; Windows Server met en œuvre une virtualisation des disques afin de faciliter la sécurisation en miroir ou la parité, pour garantir la fiabilité d‟un partage.
CHAP VII : Gestion des sauvegardes et Restaurations VII.1. Présentation Il est possible de sauvegarder les éléments qui se trouvent sur un serveur tournant sous Windows Serveur. Cette fonctionnalité est très utile pour les entreprises en possédant un (voir plusieurs) et qui abritent desus des applications métiers, des machines virtuelles Hyper-V, des dossiers partagées, etc... En effet, en cas de problèmes, il est possible de récupérer les données grâce aux sauvegardes qui auront été effectuées. Nous allons commencer par installer la fonctionnalité sur le serveur. VII.2. Installation de la fonctionnalité Sur votre serveur, ouvrez le "Gestionnaire de serveur" puis dans la partie supérieure droite de la fenêtre, cliquez sur "Gérer" > "Ajouter des rôles et des fonctionnalités". Dans l "Assistant Ajout de rôles et fonctionnalités", vous avez un certain nombre d'étapes proposées: •
"Avant de commencer" : vous n'avez aucune action à effectuer sur cette page si ce n'est de cliquer sur "Suivant".
•
"Type d'installation" : Sélectionnez "Installation basée sur un rôle ou une fonctionnalité".
•
"Sélection du serveur" : Choisissez sur quel serveur vous souhaitez installer l'utilitaire de sauvegarde (Autrement dit, choisissez le serveur que vous voulez sauvegarder).
•
"Rôles de serveurs" : Faîtes "suivant" en ne cochant/décochant aucuns rôles.
•
"Fonctionnalités" : Ici, vous devrez descendre dans les fonctionnalités proposées et cocher "Sauvegarde Windows Serveur". Cliquez ensuite sur "Suivant".
•
"Confirmation" : Cliquez sur "Installer".
•
"Résultats" : Cliquez sur "Fermer".
La Fonctionnalité étant à présent installée, cliquez sur Outils dans le Gestionnaire de serveur (à droite de "Gérer") puis sélectionnez "Sauvegarde Windows Serveur" dans la liste. Une nouvelle fenêtre s'ouvrira, nous amenant à la partie suivante. VII.3. Configuration de la sauvegarde Vous voilà dans l'assistant permettant de configurer les sauvegardes ou de récupérer des données. Dans le bandeau de gauche, cliquez sur "Sauvegarde locale". Vous aurez alors le bandeau "Actions" qui s'affichera à droite.
Dans celui-ci vous avez plusieurs options: •
"Planification de sauvegarde..." : Comme son nom l'indique, cette option de permettra de programmer les sauvegardes. Nous y reviendrons rapidement.
•
"Sauvegarde Unique..." : Encore une fois, comme son l'indique, celle-ci nous permet de faire une sauvegarde à l'instant T.
•
"Récupérer..." : Permettant de récupérer des données, cette option sera détaillée dans la partie suivante.
Planification de la sauvegarde Cliquez sur son nom pour lancer l'assistant. Après un temps de chargement, l'"Assistant Planification de sauvegarde" se lance avec plusieurs étapes: •
"Mise en route" : Celle-ci vous explique ce que vous pouvez faire avec.
•
"Sélectionnez la configuration de sauvegarde" : 2 choix s'offrent à vous: o
"Serveur complet" : Sauvegarde toutes les données et applications présentes sur le serveur ainsi que l'état du système. Faîtes "suivant et vous aurez alors accès à "Spécifier l'heure de la sauvegarde".
o
"Personnalisée" : Choisissez ce que vous voulez sauvegarder. Faîtes "suivant" et vous aurez accès à une étape supplémentaire "Sélectionner les éléments à sauvegarder" avant "Spécifier l'heure de la sauvegarde".
•
"Sélectionner les éléments à sauvegarder" : Cette étape à lieu uniquement si vous avez choisi "Personnalisée" à l'étape précédente. Vous pouvez ajouter les éléments à sauvegarder en cliquant sur "Ajouter des éléments". Vous n'avez alors qu'à cocher les éléments de l'arborescence qui s'ouvre et faire "OK" puis "suivant".
•
"Spécifier l'heure de la sauvegarde" : c'est ici que vous choisissez l'heure de sauvegarde. Vous pouvez choisir d'effectuer une sauvegarde par jour ou plusieurs. Le mieux est de choisir un horaire dans la soirée car la sauvegarde pourra se faire tranquillement dans la nuit.
•
"Spécifier le type de destination" : Vous avez ici le choix entre 3 options. Une description se trouve sous chacune d'entres elles. Je vous conseille quand même de choisir la première avec un disque de sauvegarde par jour. Comme ça les sauvegardes sont réparties sur plusieurs disques et si l'un d'entre eux venait à lâcher, vous aurez les sauvegardes des autres disques. Quelle que soit l'option que vous choisissez, vous devrez spécifier la destination de l'élément qui contiendra la sauvegarde. Je vais ici choisir la première option avec le disque dédié.
•
"Sélectionner le disque de destination" : Vous pouvez choisir ici le disque sur lequel la sauvegarde devra être stockée. Si rien n'apparait dans le cadre, cliquez alors sur "Afficher tous les disques disponibles.." et sélectionnez celui que vous désirez. Une fois que le disque est choisi, vous pouvez alors cliquez sur "suivant" puis "oui".
•
"Confirmation" : Vous avez alors un résumé des paramètres choisis. Si tout est bon, cliquez sur "Terminé", sinon revenez en arrière pour modifier les étapes. Enfin, cliquez sur "Terminer".
Sauvegarde unique Cette option permet de faire une sauvegarde à l'instant T. Elle s'effectue donc dès que vous l'avez paramétrée. Elle aussi possède quelques étapes: •
"Options de sauvegarde" : Pouvez choisir d'utiliser les mêmes paramètres que la sauvegarde planifiée (éléments à sauvegarder, destination), ou d'en utiliser d'autres. Si vous choisissez la seconde option, vous aurez les étapes "Sélectionnez la configuration de sauvegarde" + Sélectionner les éléments à sauvegarder" + "Spécifier le type de destination" + "Sélectionner le disque de destination" vues dans la partie précédente.
•
"Confirmation" : Vous avez alors un résumé des paramètres choisis. Si tout est bon, cliquez sur "Sauvegarde". Celle-ci se lancera alors.
Rapport de Sauvegarde Quel que soit le type de sauvegarde que vous choisissez, vous aurez un historique des sauvegardes dans la partie centrale de l'application. Vous saurez alors si la sauvegarde s'est correctement déroulée ou non. Si vous double-cliquez sur une sauvegarde, vous aurez plus d'informations et une description de l'erreur si celle-ci à échouée.
VII.4. Récupération de contenu Lorsque vous lancer l"Assistant Récupération", Il va comme les autres, vous proposer gentiment quelques étapes: •
"Mise en route" : Vous devez ici sélectionnez où se trouve votre sauvegarde entre "Ce serveur" et "Un autre emplacement". Comme j'ai choisit de faire la sauvegarde sur un disque externe, je choisis "Un autre emplacement" puis clique sur "suivant".
•
"Spécifiez un type d'emplacement" : on a le choix entre "Lecteurs locaux" ou "Dossier partagé distant". Je choisis la première option puis clique sur "suivant".
•
"Sélectionner un emplacement de sauvegarde" : on choisi ici dans le bandeau déroulant le disque contenant notre sauvegarde". Cliquez ensuite sur "suivant".
•
"Sélectionner un serveur" : Choisissez le serveur dont vous souhaiter récupérer des données puis faîtes "suivant".
•
"Sélectionner une date de sauvegarde" : Vous pouvez choisir le date de la sauvegarde que vous voulez récupérer.
•
"Sélectionner le type de récupération" : Différentes options s'offrent à vous selon le type de données que vous voulez récupérer. Encore une fois, une description claire se trouve sous chaque option. Selon certaines options, vous aurez en plus les étapes "Sélectionner les
éléments à récupérer" et "Spécifier les options de récupérations", cette dernière vous permet de choisir où est-ce que vous voulez stocker les éléments récupérés. •
"Confirmation" : Cette étape récapitule les réglages que vous avez choisis et propose enfin de récupérer vos données en cliquant sur "Récupérer".
•
"Staut" : Vous informe de l'avancement de la récupération. Une fois celle ci terminée, vos données ont été récupérées.
Conclusion Vous savez à présent sauvegarder les données présentes sur le serveur et les récupérer en cas de besoin. Encore une fois ces options sont bien pratiques pour les entreprises possédant un ou plusieurs serveurs et qui stockent des données dessus
CHAP VIII : Gestion des réseaux TCP/IP (SNMP) VIII.1. Présentation du service SNMP Simple Network Management Protocol (abrégé SNMP), en français « protocole simple de gestion de réseau », est un protocole de communication qui permet aux administrateurs réseau de gérer les équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels à distance. Il permet l‟interrogation d‟équipement informatique pour en effectuer la supervision et le diagnostic. Ce protocole est utilisé par les logiciels de supervision comme : Centreon est un outil de supervision/monitoring au même titre que Observium, Nagios ou vFogLight, avec plus ou moins de fonctionnalités. C'est-à-dire que cet outil permet de connaître en temps réel l'état des serveurs supervisés. PRTG (Paessler Router Traffic Grapher) est un logiciel qui permet grâce à l'analyse de trames SNMP de créer des graphiques sur le trafic réseau. PRTG est aussi capable de faire du sniffing. LoriotPro est un logiciel de surveillance, d'administration et de gestion des réseaux, des systèmes d'informations et de l'équipement informatique (matériel, logiciels, périphériques, etc). L'application dispose d'outils particuliers pour détecter les ordinateurs connectés au réseau, via leur adresse IP (carte topologique disponible grâce aux routeurs et au PING), et contrôler l'activité des systèmes par le biais du protocole SNMP et d'un compilateur de MIB intégré, entre autres. Multi Router Traffic Grapher (MRTG) est un logiciel développé sous licence GNU/GPL à l'initiative de Tobi Oetiker. Ce logiciel permet de surveiller et mesurer le trafic réseau. Il utilise le protocole SNMP pour interroger des équipements réseaux tels que des routeurs, commutateurs, ou bien encore serveurs, disposant d'une MIB. MRTG a été développé en Perl , et peut être lancé sous Windows, Linux, MacOS et NetWare. ZABBIX est un logiciel libre permettant de surveiller l'état de divers services réseau, serveurs et autres matériels réseau et produisant des graphiques dynamiques de consommation des ressources. C'est un logiciel open source créé par Alexei Vladishev. agios (anciennement appelé Netsaint) est une application permettant la surveillance système et réseau. Elle surveille les hôtes et services spécifiés, alertant lorsque les systèmes ont des dysfonctionnements et quand ils repassent en fonctionnement normal. C'est un logiciel libre sous licence GPL.
Pour lancer l'installation, ouvir le Panneau de Configuration Windows puis sélectionner Programmes et fonctionnalités.
Choisir alors l'option : Activer ou désactiver des fonctionnalités Windows
Procédezr à la sélection du serveur sur lequel vous souhaitez installer l'agent SNMP
Sélectionnez l'option Fonctionnalités puis Service SNMP
Le programme s'installe ensuite
VIII.2. Configuration du service Windows Agent SNMP L'étape suivant consiste à configurer le service SNMP que l'on vient d'ajouter.
Ouvrir la fenêtre Services dans le Panneau de Configuration, option Outils d'administrations
Sélectionner le Service SNMP Dans l'onglet général, conserver les valeurs par défaut
Dans l'onglet Agent, vérifier que dans Service les cases sont toutes cochées, ajoutez l'information Contact et Emplacement (lieu où se trouve la machine). Contact sera disponible en tant que variable SNMP "syscontact" et Emplacement sera disponible en tant que variable SNMP "syslocation". Ce sont des objets SNMP standard décrits dans le RFC1213 (fichier de MIB).
L'onglet Sécurité permet de définir les communautés SNMP et les managers SNMP autorisés à accéder au serveur Windows avec des requêtes SNMP. Les communauté SNMP (snmp community) sont utilisé comme pour contrôler les accès aux agents. Les valeurs assignées dans l'agent et dans le manager SNMP (LoriotPro) doivent être identiques pour que le manager puisse faire des requêtes SNMP à l'agent. Dans l'exemple ci-dessous, la valeur public a été assignée pour les requêtes de lecture seule (requête SNMP GET) et la valeur private a été assignée pour les requêtes de lecture et écriture (requête SNMP GET et SET). Remarque: contrairement à notre exemple, évitez d'utiliser les valeurs public et private qui sont des valeurs très communes et très connues et qui n'offrent aucune sécurité de controle d'accès au agent. Ajouter ensuite les adresses IP des manager SNMP comme LoriotPro qui seront autorisés à faire des requêtes sur le serveurs WINDOWS.
Evitez de laisser l'option Accepter de n'importe quel Hôte cela vous apprtera un niveau de sécurité plus élevé contre l'intrusion et la découverte.
L'onglet Interruption fait référence au terme angalis TRAP. Les Trap sont envoyé par l'agent SNMP vers le manager SNMP à son initiative. Les TRAP Windows sont en Version 1 de SNMP. IL faut définir à ce stade les manager SNMP vers lesquels les TRAP devront être envoyés. Ajouter les dans la liste. La communauté SNMP des Trap doit être définie préalablement, elle permet au manager SNMP de filtrer éventuellement en entrée les TRAP à prendre en compte. Ce filtrage est disponible ave LoriotPro.
La configuration est términé, redémarrer le service SNMP pour prndre en compte vos modifications. Vérification du fonctionnement Pour vérifier le fonctionnement de votre agent SNMP, ajouter le serveur dans l'annuaire LoriotPro.
Ensuite vous pouvez vérifier que l'agent répond bien aux requêtes SNMP avec un SNMP Walk. Sélectionner le serveur dans l'annuaire puis Tools puis SNMP Walker.
Un agent correctement configuré doit répondre sur les MIB suivantes: •
RFC1213
•
IF-MIB
•
SNMPv2-MIB
•
LENTREPRISE-MIB
Pour tester l'envoi des TRAP, il est possible d'utiliser l'outil Advanced Query puis de faire une requête sur le sysname par exemple en indiquent volontairement une communauté erronée. Une autre option consite à faire un stop du service SNMP. Un Trap Cold Start doit apparaitre dans l'écran de réception des Trap de LoriotPro.
EXEMPLE DE SERVEUR D’APPLICATION Avec RemoteApp, les utilisateurs peuvent accéder à des applications virtuelles qui s‟exécutent dans un centre de calcul ou dans une machine virtuelle dans le cloud. Mais elles se comportent comme si elles étaient exécutées en local. INTRODUCTION Le serveur TSE, Terminal server ou en français : service de bureau à distance, est un rôle de Windows server permettant à de multiples clients de se connecter sur une ou plusieurs sessions en même temps sur un même serveur et de publier des collections d‟applications à distance « RemoteApp » à ses utilisateurs via une interface web ou directement via une connexion « RemoteApp » de Windows. Ce service nécessite qu‟Active Directory soit installé sur un autre serveur du réseau. Avec Windows Server 2012, nous pouvons diffuser des applications qui peuvent être utilisées par des machines clientes. C‟est le système « RemoteApp ». Cette solution est incluse au service de Bureau à distance et permet de faire tourner des applications lourdes sur le serveur depuis des ordinateurs clients. Les applications tournent sur le serveur et le client reçoit en réalité qu‟un « stream » de l‟application. Ceci permet d'économiser de l'argent dans une entreprise en achetant un gros serveur et des clients légers pour les employés. Ce tutoriel, vous apprendra à installer un serveur TSE et ses solutions de « RemoteApp » et de bureau à distance. INSTALLATION & CONFIGURATION Pour commencer, ouvrez le gestionnaire de serveur et cliquez sur "Ajouter des rôles et des fonctionnalités". Ensuite, sélectionnez "Installation basée sur un rôle ou une fonctionnalité". Cochez la case "Services Bureau à distance".
Dans notre cas, nous cocherons ces différents services de rôles : • Accès Bureau à distance par le Web :
o Il permet aux utilisateurs d‟accéder aux connexions « RemoteApp » par le biais du navigateur web : https://{srv-nom.domaine.extension}/RDWeb o Ou bien via le menu démarrer dans le panneau de configuration dans le service de « Connexions distantes » et ensuite dans « Configurer une nouvelle connexion avec les connexions RemoteApp et Bureau à distance ». • Gestionnaire de licences des services Bureau à distance : o Il permet de manipuler les licences nécessaires des programmes installés. • Hôte de session Bureau à distance : o Il permet d‟héberger les programmes « RemoteApp » ou des bureaux à distances d‟une collection de sessions. (La limite est d‟une collection par serveur TSE). • Passerelle des services Bureau à distance : o Il permet aux utilisateurs d'accéder aux programmes "RemoteApp", des bureaux virtuels depuis l'extérieur via une connexion sécurisée d‟entreprise ou via internet. • Service Broker pour les connexions Bureau à distance : o Il permet la répartition la charge et la gestion de multiples serveurs TSE. o Ce service est uniquement nécessaire si vous voulez faire plusieurs serveur TSE. Si la case "Accès Bureau à distance par le Web" est cochée, Windows Server installera le serveur web IIS (s'il n'est pas déjà installé). Ce dernier sera configuré automatiquement.
Le service NPS sera aussi installé automatiquement. Vous laissez tout par défaut et continuez l‟installation. Il permet de modifier les stratégies d'accès réseau, néanmoins il ne nous intéressera pas dans ce tutoriel. Mais, laissez cette case cochée.
Il ne vous restera plus qu‟à confirmer l‟installation et redémmarer le serveur. Pour la prochaine étape, encore dans le gestionnaire de serveur, cliquez sur "Ajouter des rôles et des fonctionnalités" et sélectionnez "Installation des services Bureau à distance". Cocher « Déploiement standard » permet le choix manuel des serveurs où vous désirez déployer vos services. Dans cette démonstration tout sera installé sur le même serveur.
Ensuite «Déploiement de bureaux basés sur une session». Ce déploiement permet d'utiliser les «RemoteApp» directement sur le serveur. Les applications tournent sur le serveur dans une session utilisateur et non dans une machine virtuelle. Il est plus lourd de faire tourner les applications sur des ordinateurs virtuels que sur des sessions d‟utilisateurs.
Continuez en gardant les informations par défaut. Choisissez aussi sur quel serveur vous désirez installer vos services. Un serveur de licences vous permet de publier vos applications payantes dans lequel vous insèrerez les codes des licences officielles. Pour l‟installer, rendez-vous dans le « Gestionnaire de serveur » > « Services Bureau à distance » > « Vue d‟ensemble » et cliquez sur « gestionnaire de licence …» ( de Bureau à distance).
Sélectionnez votre serveur, confirmez et le gestionnaire de licences sera déployé. Pour l‟ouvrir allez dans « Outil » > « Terminal Server » > « Gestionnaire de licence des services Bureau à distance ».
Ensuite Activez le en faisant un clic droit sur le nom du serveur puis cliquez sur « Activer le serveur ».
Renseignez les informations qui vous seront demandées lors de l‟activation, si vous n‟avez pas les licences pour disposerez d‟une période d‟essaie de 120 jours. Par exemple on peut voir que la licence de Windows serveur 2012 est activée sur les utilisateurs actuels du serveur TSE. A ce niveau toutes les installations sont terminées, nous allons rajouter alors une collection « RemoteApp » assignez à un groupe d‟utilisateur existant que nous appellerons Groupe-Test. Dans cette collection nous mettrons des programmes de bureautique comme Excel, Office ,un client pour se connecter à l‟ERP de l‟entreprise, voir même des logiciels industriels. Pour créer une collection, allez dans « Services Bureau à distance » > « Collection » > « TÂCHES » > « Créer une collection de session » ou bien un lien s‟affichera de maniére explicite sur Gestionnaire de serveur.
Nommez cette collection, assignez la au serveur de votre choix et au groupe de votre choix et laissez le reste par défaut. Maintenant rajoutons des applications. Allez dans votre nouvelle collection, dans le moniteur « PROGRAMMES REMOTEAPP », cliquez sur « TÂCHES » > « Publier des programmes RemoteApp »
Selectionnez le programme à diffuser.
Confirmez et votre application sera ajoutée à la liste de « RemoteApp ». UTILISATION DES "REMOTEAPP" Une fois tout installé et configuré, connectez-vous à l‟adresse sur l‟un de vos ordinateurs clients: https://{srv-nom.domaine.extension}/RDWeb. Si la page affiche une erreur de certificat, c‟est que ce dernier n‟a pas été signé par une autorité reconnu
et
est
donc
auto-signé.
(Je
vous
invite
à
vous
renseigner
sur
https://technet.microsoft.com/frfr/windowsserver/dd448615.aspx) Vous pouvez néanmoins installer le certificat auto-signé, l‟acceptation d‟un certificat est indispensable pour vous connecter au « RemoteApp » via l‟explorateur Windows.
- Pour Internet exploreur il vous suffit de faire un clic droit dans l‟icône de sécurité dans la barre d‟url pour qu‟on vous propose d‟installer le certificat. - Pour Firefox allez dans les « informations sur la page » > « Sécurité » > « Afficher le certificat » > « Détails » > « Exporter »
Une fois le certificat exporté sur le bureau par exemple, ajoutez lui l‟extension « .cer », cliquez dessus, installez le en le plaçant dans votre magasin de certificats parmi les « Autorités de certification racines de confiance »
A ce stade, vous n‟aurez plus d‟erreur de certificat, vous pourrez vous connecter depuis l‟explorateur en plus du naviguateur.
Retournons sur la page des « RemoteApp » et connectez vous.
Si tout fonctionne correctement vous pourrez désormais lancer vos applications publiées via cette interface web.
Et vous accéderez à cette page, pour forcer la mise à jour des « RemoteApp ». sSi vous ne les voyez pas toutes affiché, allez dans « Détails » et cliquez sur « Mettre à jour ».
Vous pouvez maintenant afficher vos ressources et créer un raccourcis du dossier sur votre bureau.
L‟ouverture des applications est identiques à celle de l‟interface web, mais, il est toujours plus simple pour les utilisateurs en entreprise d‟avoir leur raccourcis à porté sur leur bureau.
Si vous avez des problémes lors de la connection via votre explorateur, c‟est que vos certificats ne sont pas corrects et je vous invite à revenir plus haut à l‟explication des certificats. GESTION DES UTILISATEURS Le serveur TSE permet d‟ouvrir plusieurs sessions utilisateur sur un même serveur, des clients légers d‟entreprise basés sur des OS légers peuvent donc ce connecter à un espace de travail sur le serveur avec les outils nécessaires au bon déroulement de leur travail. Pour la sécurité du serveur, pensez à créer une GPO que vous appliquerez aux groupes assignez au collection de session;par exemple dans ma démonstration le « Groupe-test » par exemple, la GPO aura pour but de confiner les utilisateurs à une utilisation simple du serveur et autoriser la connection bureau à distance. Il suffit simplement d'assignée un groupe à la collection pour que ces utilisateurs puissent se connecter. Il est possible d‟administrer les ordinateurs clients du serveur TSE via le gestionnaire de serveur, dans le service bureau à distance en allant dans la collection de sessions. Vous pouvez prendre le contrôle des machines à distance ou juste les monitorer, déconnecter ou fermer des sessions et envoyez des messages systéme aux utilisateurs. Vous pouvez prendre le contrôle des machines à distance ou juste les monitorer, déconnecter ou fermer des sessions et envoyez des messages systémes aux utilisateurs.
Pour modifier les paramétres de la collection allez dans les propriétés de la collection en cliquant sur « TÂCHES » , vous pourrez modifier la collection, soumettre un autre groupe au serveur TSE, mais aussi ajouter d'autre paramétre comme des limites de temps de session, les paramétres d'encryptage de sécurité, de répartition de charge du serveur broker etc ...