Vous êtes sur la page 1sur 55

Mmoire de fin de cycle Ministre de lEnseignement Suprieur Et de la Recherche Scientifique (MESRS) Institut Suprieur dInformatique et de Gestion des Affaires

(SUPIGA)

MEMOIRE DE FIN DE CYCLE POUR LOBTENTION DU DIPLOME DINGENIEUR DE CONCEPTION INFORMATIQUE de lInstitut Suprieur dInformatique et de Gestion des Affaires

(SUPIGA) Option : Gnie informatique

Thme : Mise en place dun rseau dentreprise sous Windows 2008 server : Cas de lONG GRAADECOM
Prsent et soutenu par:

Amadou Bagayoko

Mmoire de fin de cycle

Ddicace :
Je ddie ce travail : Mes trs chers parents, que nulle ddicace ne peut exprimer mes sincres sentiments, pour leur patience illimite, leur encouragement contenu, leur aide, en tmoignage de mon profond amour et respect pour ses grands sacrifices. Mes chers frres : Sinaly, Aissata, Alima et Mariam pour leur grand amour et leur soutien quils trouvent ici lexpression de ma haute gratitude.

Mmoire de fin de cycle

Remerciements:
Je souhaite adresser mes premiers remerciements Monsieur Sidi Diallo et Monsieur Amadou Traor pour avoir mapporter leur confiance en me proposant ce projet de mmoire de fin de cycle et pour la qualit de leur enseignement durant ma formation. Je remercie galement Monsieur Issa Sidib pour ces conseils, sa disponibilit et surtout ces quelques phrases quil me disait mont permis davoir plus de confiance et de faire plus pour lavancement de mon mmoire. Mes sincres reconnaissances Madame Traor Sada Mounadeh pour mavoir aid moralement pendant les moments difficile. Je remercie Monsieur Allassane Diakit pour ces conseils, ces encouragements et surtout sa disponibilit dtre toujours lcoute des Etudiants. Je remercie toute la promotion 2013 du cycle ingnieur que je souhaite pleins de succs dans leurs vies professionnelles. Mes vifs remerciements sadressent galement tous les corps enseignant de SUPIGA en gnral et ceux de la filire gnie informatique particulirement, sans leurs efforts notre formation nallait pas pu atteindre cette tape. Enfin, je remercie toute ma famille pour son soutien et ses encouragements durant mes annes dtudes. Lducation quelle ma prodigu ma toujours permis de faire face aux difficults, de suivre mes rves et de croire en la russite. Ce rapport vous est ddi ainsi qu tous ceux que jai oublis.

Mmoire de fin de cycle

Table des matires


Introduction ........................................................................................................................................ 5 CHAPITRE I: GNRALITS ......................................................................................................... 6 1. Contexte du Projet de Mmoire ................................................................................................. 7 1.1 Prsentation de lONG GRAADECOM : ................................................................................ 7 1.2 Organigramme de la structure .................................................................................................. 8 3.1 Etude de lexistant .................................................................................................................... 9 3.2 Analyse des besoins de GRAADECOM : .............................................................................. 10 3.3 Solution Technique ................................................................................................................ 11 3.4 Liste de Matriel et logiciel .................................................................................................... 11 4. Larchitecture de la Topologie ancienne. ............................................................................. 13

4.1 Critique de lancienne topologie ............................................................................................ 13 4.2 Proposition dune nouvelle topologie : .................................................................................. 14 4.1.1 Fonctions principales de cette topologie ............................................................................ 15 4.1.2 Fonctions contraintes........................................................................................................... 15 4.1.3 Avantage de ce modle ....................................................................................................... 15 5. Partage du fichier et droit daccs ....................................................................................... 16

5.1 Les Taches effectuer : ........................................................................................................ 17 CHAPITRE II : ................................................................................................................................ 18 1. Le plan dadressage : ................................................................................................................ 19 1.1 Linstallation de Windows 2008 server : .................................................................................. 20 2. Configurations des rles de Services................................................................................... 21 2.1 Installation dActive Directory : .......................................................................................... 22 2.2 Le DNS (Domain Name System) : ...................................................................................... 22 2.3 Le DHCP (Dynamic Host Configuration Protocol) ............................................................... 23 3. La Configuration des Routeurs : .............................................................................................. 23

Partie III : la scurit ........................................................................................................................ 24 1. Introduction : ............................................................................................................................ 25 1.1 Installation et configuration initiale dISA serveur 2004 : ..................................................... 25 1.1.1 Installation et Configuration initiale dISA server 2004 : ................................................... 26 2. 3. 4. La Configuration Initiale : .................................................................................................... 26 Lassistant modle rseau......................................................................................................... 26 Paramtrage du pare-feu........................................................................................................... 30 Introduction: ................................................................................................................................. 30
3

Mmoire de fin de cycle 5. Les lments de stratgie: ........................................................................................................ 30 5.1 La cration des Rgles du Pare-feu ....................................................................................... 33 5.2 Ordre d'application des rgles ............................................................................................... 34 5.3 Les rgles de stratgie systme .............................................................................................. 35 6. Exemple de configuration ........................................................................................................ 37 6.1 Interdire compltement l'accs MSN Messenger .............................................................. 39 7. 8. Mise en place dun serveur VPN : ........................................................................................... 40 Synthse du Mmoire et Conclusion :..................................................................................... 41

Rfrence : ....................................................................................................................................... 43 Annexe : ........................................................................................................................................... 44

Mmoire de fin de cycle

Introduction
La proposition de ce mmoire sexerce dans le cadre dlaboration dun projet de fin dtude. Le projet dans son ensemble consiste mettre en place un rseau dentreprise dune ONG sous Windows 2008 server. Institut Suprieur dInformatique et de Gestion des Affaires (SUPIGA) travers sa formation Cycle dingnieur, forme des ingnieurs polyvalents dans la spcialit Programmation, Rseau Tlcoms, Rseau Informatique, ladministrateur base de donnes, pouvant exercer dans diffrents secteurs dactivits en informatiques. Afin de sengager au mieux dans la vie professionnelle, les tudiants de SUPIGA doivent effectuer un stage dassistant ingnieur, mi-parcours de leur dernire anne d'tudes. Ce stage est cens apporter une exprience de lenvironnement de lentreprise, confirmer les acquis durant la formation tout en apportant et/ou en proposant de nouvelles solutions au sein de leur organisme d'accueil. Tout au long de ce mmoire nous procderons tout dabord une prsentation dtaille de lONG GRAADECOM dans son environnement. Par la suite, nous nous attlerons donner une description de la tche accomplie dans le cadre de ce mmoire, limportance de mon travail dans ce mmoire ainsi que les observations et les conclusions technique tirer.

Mmoire de fin de cycle

CHAPITRE I: GNRALITS

Mmoire de fin de cycle

1. Contexte du Projet de Mmoire

GRAADECOM est un acteur dans le dveloppement communautaire au Mali, dont le sige est bas SIKASSO. GRAADECOM compte aujourd'hui plusieurs agences rparties sur l'tendue du territoire Malien. GRAADECOM doit rpondre des contraintes fortes de scurit et de disponibilit de son systme d'information pour ses clients, mais aussi des contraintes rglementaires majeures. Pour rpondre ces besoins en terme d'infrastructures informatiques, GRAADECOM a fait le choix de standardiser son infrastructure systme et rseau autour d'une architecture Microsoft Windows Serveur 2008 le tout dans un environnement scuris. Disposant plus de 100 utilisateurs, la solution mise en uvre doit tenir compte de l'volutivit du nombre d'utilisateurs. L'entreprise nous a donc confi la charge d'effectuer la refonte de l'infrastructure systme et rseau autour d'un domaine Microsoft Windows Server 2008 Active Directory et la mise en uvre d'une solution de messagerie base sur Microsoft Exchange Server 2007/2010. Il s'agit plus prcisment des prestations ci-dessous : Fournir le matriel et les logiciels ncessaires pour la mise en uvre de la solution Fournir une prestation de mise en uvre Former l'quipe technique de GRAADECOM Fournir un accompagnement post dploiement de trois mois

1.1 Prsentation de lONG GRAADECOM : Le GROUPE DE RECHERCHES DACTIONS ET DASSISTANCE POUR LE DEVELOPPEMENT COMMUNAUTAIRE (GRAADECOM) est une Organisation Non Gouvernement qui intervient dans plusieurs secteurs de dveloppement entre autres : Education, Sant, Hygine et Assainissement, Agriculture, Micro-Finance et hydraulique. Crer en 1997 elle compte aujourdhui plus de 100 agents (permanent s et contractuels). Sont sige principal est bas SIKASSO.
7

Mmoire de fin de cycle

1.2 Organigramme de la structure Lorganigramme est la reprsentation schmatique de lorganisation qui donne une image exacte de la division du travail et indique au premier coup dil quels postes existent dans lorganisation, comment ils sont groups en units et comment lautorit formelle circule entre eux (selon quels canaux sexerce la supervision directe). Lorganigramme cest le squelette de lorganisation selon Van de VEN. Par rapport la dfinition des organes et leurs fonctions, lorganigramme de GRAADECOM se prsente comme suit :

Mmoire de fin de cycle

Assemble Gnrale (AG)

Conseil dAdministration CA

Secrtaire

Coordinateur General CG

Chef de dpartement projet / programme

Chef de dpartement communication et suivi valuation

Chef de dpartement administratif et financier

ADC

ADC

ADC

ADC

ADC (Agent de Dveloppement Communautaire).

3.1 Etude

de lexistant

Le parc informatique de lentreprise


Lentreprise dispose actuellement pour le local de Sikasso : 11 ordinateurs bureautiques 5 portables Une photocopieuse 2 Scanners Un Commutateur de 24 ports et un routeur Wifi
9

Mmoire de fin de cycle

3 imprimantes dont :

1. Une imprimante pour le service comptable 2. Une imprimante pour le Directeur 3. Une imprimante pour le secrtariat. Lentreprise veut que limprimante du secrtariat soit partage entre tous les autres utilisateurs de lentreprise lexception du directeur et les agents de la comptabilit. Limprimante du service comptabilit sera galement partager sur le rseau entre les diffrents membres de la comptabilit selon le niveau de responsabilit. Pour le local de Koutiala : 2 Bureautiques 2 portables Une imprimante Un routeur Wifi sur lequel les 2 ordinateurs sont directement relis. Pour le local de Bamako : 5 Bureautiques 4 portables Une imprimante Un commutateur de 16 ports et routeur wifi. Un scanner Il faut galement compter la prsence circonstancielle dordinateur s portables apports et utiliss par les stagiaires ou les visiteurs au sein du parc informatique. La Structure ne disposant pas de serveurs, cependant elle a un besoin assez pesant de serveurs pour hberger un certain nombre de ressources pour faciliter leur accs pour tous les utilisateurs selon les niveaux de responsabilit. Les matrielles d'interconnexion Les quipements dinterconnexion reprsentent le cur du rseau dans une architecture. S'ils sont mal dimensionns, ils pourront avoir des effets ngatifs sur le trafic du rseau, pouvant entrainer la dtrioration de celui-ci.

3.2

Analyse des besoins de GRAADECOM :

Puisque la structure est en volution et grandissant : Pour faciliter la Mise en place du rseau, on leur a fait la proposition suivante tout en spcifiant ceux dont ils ont besoins. Ces besoins sont : Administration de ses ressources informatiques dans un environnement scuris et centralis
10

Mmoire de fin de cycle

Installation d'un service de messagerie pour faire communiquer tous les employs de l'entreprise Fournir des produits ncessaires son bon fonctionnement

3.3 Solution Technique


Il existe beaucoup de solutions informatiques, mais leur mise en uvre ncessite un savoir faire. Les moyennes entreprises qui disposent souvent seulement d'un consultant externe et dont les collaborateurs sont souvent experts, mais pas ncessairement en informatique, se trouvent face un dfi difficile. Comment exploiter les possibilits d'une solution informatique moderne de manire efficace et rentable sans disposer en interne d'un spcialiste qui puisse se consacrer entirement sa mission ? Avec une intgration tout en un, qui couvre tous les domaines importants de l'informatique, et qui se distingue par : L'intgration troite des composants qui la composent Une utilisation particulirement facile, qui ne requiert pas de connaissances spciales Un potentiel de croissance intrinsque Un rapport prix prestations attrayant Ce dfi peut tre relev sans lombre dune hsitation. Cest dans cette optique que Microsoft Windows 2008 Server a t dvelopp. Cette solution complte permet aux moyennes entreprises de tirer parti des avantages de lintranet et dinternet, rapidement et simplement.

3.4 Liste de Matriel et logiciel


Quantit Dsignation 1 Serveur d'administration Serveur HP Proliant DL380 G6 Format : Rack 2U Microprocesseur : Quad Core Intel Xeon 5540

11

Mmoire de fin de cycle

Mmoire cache : 8 Mo 1.3 Chipset : Intel 5520 Mmoire : 8Go DDR3 ECC Emplacement mmoire: 8 logements DIMM Disque dur: 2 X 146 Go SAS Hot plug Contrleur Raid : Smart Array P410i/256, Raid 0, 1 et 5 Carte rseau : 4 X 10/100/1000 Gigabit NC382i Lecteur optique : Graveur DVD Ports : 04 USB, 01 Srie, 04 RJ45, 01 Ilo 2 3 Serveur HP Proliant DL380 G6 Format : Rack 2U Microprocesseur : Quad Core Intel Xeon 5540 Mmoire cache : 8 Mo 1.3 Chipset : Intel 5520 Mmoire : 8Go DDR3 ECC Emplacement mmoire: 8 logements DIMM Disque dur: 2 X 146 Go SAS Hot plug Contrleur Raid : Smart Array P410i/256, Raid 0, 1 et 5 Carte rseau : 4 X 10/100/1000 Gigabit NC382i Lecteur optique : Graveur DVD Ports : 04 USB, 01 Srie, 04 RJ45, 01 Ilo 2 3 Routeur Types Cisco

Le systme dexploitation qui sera install est Windows 2008 Server Edition Standard.

12

Mmoire de fin de cycle

4. Larchitecture de la Topologie ancienne. Schmas de larchitecture de la topologie ancienne de GRAADECOM

Dans lancienne topologie il nya pas de machine serveur installe dans aucun des sites. Seules quelques machines de la structure sont connectes un commutateur de 24 ports. Ce dernier est connect un router TPlink qui a seulement 4 ports. Cette structure nest valable qu SIKASSO qui est le sige principal de la structure et les autres machines bureautiques sont quipes de carte Wifi pour quils y soient connects linternet. Dans les autres structures il nya pas de connexion. 4.1 Critique de lancienne topologie Le fait que la topologie soit en Etoile prsente un dfaut majeur. Le principal dfaut de cette topologie, c'est que si l'lment central ne fonctionne plus, plus rien ne fonctionne : toute communication est impossible. Cependant, il n'y a pas de risque de collision de donnes ;
13

Mmoire de fin de cycle

Outre la topologie il ny a pas de ressources partages entre les utilisateurs de lentreprise. Certains employs, sils ont besoin dimprimer un fichier, ils sont obligs de prendre leur fichier sur cl pour aller limprimer chez la secrtaire. Les Inconvnients Baisse de rentabilit de la production du personnel Pas de scurit au niveau des donnes Plus de matriels acheter par lentreprise Puisqu il nya pas de cblage digne de ce nom laspect esthtique de la structure sera vilain. Donc cette Structure nest pas du tout rentable pour lentreprise. 4.2 Proposition dune nouvelle topologie : Lobjectif est dexpliquer limportance de lenvironnement client serveur dans un environnement rseau et son importance pour la rentabilit des travailleurs de lentreprise. La nouvelle topologie consiste mettre en place trois (3) sous-rseaux qui seront tous relis entre eux par les routeurs. Dans cette topologie chaque site sera configur en tant que contrleur de domaine sauf que les deux (2) sites distants celui de Koutiala et Bamako seront configurs en contrleur de domaine en lecture seule en raison de leur taille et la distance qui les sparent de ladministrateur. De plus puisque ces sites nont pas assez dutilisateurs pour le moment, donc pas besoin dun administrateur physiquement sur ces sites, ce qui va permettre lentreprise de ce faire une conomie par rapport au besoin des techniciens sur ces sites. Pour un souci conomique et pratique, nous nallons pas rinvestir dans un nouveau serveur DHCP. De plus nous voulons que nos sites distants puissent communiquer entre eux. Pour ce faire les routeurs reliant les sites seront configurs pour faire office dagent relais. Pour que ces trois (3) sites puissent changer des informations nous allons configurer les routeurs qui seront utiliss pour relier les sites. Dans cette topologie nous avons un site principal et deux sites distants.

14

Mmoire de fin de cycle

4.1.1 Fonctions principales de cette topologie Le systme doit permettre de centraliser les donnes Le systme doit assurer la continuit du travail des employs Le systme doit tre scuris 4.1.2 Fonctions contraintes Linstallation du nouveau systme ne doit pas perturber lactivit de lentreprise Le systme ne doit pas dranger les utilisateurs 4.1.3 Avantage de ce modle

Le modle client/serveur est particulirement recommand pour des

rseaux ncessitant un grand niveau de fiabilit, ses principaux atouts sont :

Des ressources centralises

15

Mmoire de fin de cycle

tant donn que le serveur est au centre du rseau, il peut grer des ressources communes tous les utilisateurs, comme par exemple une base de donnes centralise, afin d'viter les problmes de redondance et de contradiction.

Une meilleure scurit

Car le nombre de points d'entre permettant l'accs aux donnes est moins important.

Une administration au niveau serveur

Les clients ayant peu d'importance dans ce modle, ils ont moins besoin d'tre administrs.

Un rseau volutif

Grce cette architecture il est possible de supprimer ou rajouter des clients sans perturber le fonctionnement du rseau et sans modification majeure.

5. Partage du fichier et droit daccs Lentreprise se divise en 4 groupes : 1. Direction 2. Comptabilit 3. Dpartement Projets/programmes 4. Dpartement Communication Suivi-valuation Lentreprise compte parmi ces employs :
Direction

Secrtaire Gnral (Directeur) Secrtaire Comptabilit Responsable Administratif et Financier Comptable Aide Comptable Dpartement Projets/Programmes Charg EPC Charg Agriculture Charg Education Dpartement Communication et Suivi-valuation Coordinateur Projets/Programmes
16

Mmoire de fin de cycle

Chaque charg de Programme gre des Agents de Dveloppement Communautaire (ADC) c'est--dire les agents de terrain.

5.1 Les Taches effectuer : Cration des Comptes pour tous les utilisateurs de lentreprise. Les utilisateurs doivent changer de mot de passe au premier login. Chaque utilisateur doit possder un rpertoire personnel et un profil errant. Les profils et les rpertoires personnels seront sauvegards dans les rpertoires Users_Profils et Users_Personnels sur le serveur Principal. De plus, la compagnie a besoin de 3 autres rpertoires partags ( Projets, Salaires et Programmes) qui seront accessibles pour les utilisateurs selon les besoins suivants: Les permissions doivent tre attribues aux groupes et non aux utilisateurs sauf dans des cas spcifiques tel que le filtrage de permission : Tout le monde peut utiliser les applications du rpertoire Projets sans pouvoir les modifier. Tous les utilisateurs de votre domaine, sauf le directeur, peuvent juste dposer des documents dans Programmes. Ils ne doivent pas tre capables de les modifier ni les supprimer. Le Directeur, quant lui, peut dposer, apporter des modifications et supprimer tous les documents de ce rpertoire. Pour le service de la comptabilit, seul le Responsable Administratif financier possde des droits de modification sur le rpertoire Salaires, tous les autres utilisateurs nont pas le droit de consulter le contenu de ce rpertoire. Chaque utilisateur a le droit de modification sur son rpertoire personnel sans tre capable daccder aux rpertoires des autres utilisateurs. Chaque utilisateur a le droit de modification sur son profil sans tre capable daccder aux profils des autres utilisateurs. Ladministrateur a le full control sur tous les rpertoires sauf le rpertoire Users_Profils. Les rpertoires Users_Profils et Users_Personnels doivent tre cachs.

17

Mmoire de fin de cycle

CHAPITRE II : INSTALLATION DE WINDOWS 2008 SERVER ET DPLOIEMENT DES SERVICES

18

Mmoire de fin de cycle

Cette partie sera consacre la mise en place de Windows 2008 serveur ainsi que les dploiements des services de rles. 1. Le plan dadressage : Puisque lentreprise est en croissant, nous avons choisi une adresse de classe B qui renferme plus dhte par rapport une adresse de classe C. Ladresse IP choisie est la suivante : 172.16.0.0 en slash 16 soit le masque 225.255.0.0 Lentreprise dispose de trois (3) sites donc trois sous rseaux selon les besoins suivants : Pour le LAN de Sikasso 200 htes Pour le LAN de Bamako 100 htes Pour le LAN de Koutiala 50 htes Pour les liaisons serial 2 adresses IP utilisable Pour obtenir les sous rseaux nous avons procd au dcoupage de ladresse IP par la technique VLSM () : le rsultat obtenu se trouve dans le tableau cidessous :
ID Rseaux LAN SIKASSO LAN BAMAKO LAN KOUTIALA Liaison SKO-BKO Liaison SKO-KLA Liaison BKO-KLA Liaison RouterISA_SKO Liaison RouterISA_BKO Liaison Router ISA_KLA Adresse sousrseaux 172.16.0.0 Plage de diffusion 172.16.0.255 Plage dadresse 172.16.0.1 172.16.0.254 172.16.1.1 172.16.1.126 172.16.1.129 172.16.1.190 172.16.1.193 172.16.1.194 172.16.1.197 172.16.1.198 172.16.1.201 172.16.1.202 172.16.1.205 172.1.16.206 172.16.1.209 172.16.1.210 172.16.1.213 172.16.1.214 Masque dcimal Nombre dhte utilisable 254

255.255.0.0

172.16.1.0

172.16.1.127

255.255.255.0

126

172.16.1.128

172.16.1.191

255.255.255.128

61

172.16.1.192

172.16.1.195

255.255.255.252

172.16.1.196

172.16.1.199

255.255.255.252

172.16.1.200

172.16.1.203

255.255.255.252

172.16.1.204

172.16.1.207

255.255.255.252

172.16.1.208

172.16.1.211

255.255.255.252

172.16.1.212

172.16.1.215

255.255.255.252

2
19

Mmoire de fin de cycle

1.1 Linstallation de Windows 2008 server :

Pour pouvoir installer le Windows 2008 servers, un certain nombre de contrainte est exig sur le choix du matriel (caractristique du matriel) sur lequel ont doit installer le produit. Pour cela la configuration requise estime pour Windows Server 2008 est prsente ci-dessous. Si votre ordinateur ne possde pas la configuration minimale requise, vous ne pourrez pas installer ce produit correctement. La configuration requise relle varie en fonction de la configuration de votre systme et des applications et fonctionnalits que vous installez. Processeur Les performances du processeur dpendent non seulement de la frquence dhorloge du processeur, mais galement du nombre de curs de processeur et de la taille du cache de processeur. La configuration requise en matire de processeur pour ce produit est la suivante :

Configuration minimale : 1 GHz (pour processeurs x86) ou 1,4 GHz (pour processeurs x64) Configuration recommande : 2 GHz ou plus rapide

Remarques Un processeur Intel Itanium 2 est requis pour Windows Server 2008 pour les systmes Itanium. RAM La configuration requise en matire de mmoire RAM pour ce produit est la suivante :

Configuration minimale : 512 Mo Configuration recommande : 2 Go ou plus Configuration maximale (systmes 32 bits) : 4 Go (pour Windows Server 2008, Standard Edition) ou 64 Go (pour Windows Server 2008, dition Entreprise ou Windows Server 2008, Datacenter Edition) Configuration maximale (systmes 64 bits) : 32 Go (pour Windows Server 2008, Standard Edition) ou 2 To (pour Windows
20

Mmoire de fin de cycle

Server 2008, dition Entreprise, Windows Server 2008, Datacenter Edition ou Windows Server 2008 pour les systmes Itanium) Notre configuration minimale tant requise nous linstallation de notre produit. pouvons procder

Linstallation de Microsoft Windows 2008 server se fait de plusieurs faons. Voir la procdure dinstallation en annexe.

2. Configurations des rles de Services Nous allons configurer notre Windows 2008 server en installant le rle des services suivants : Le service Active Directory (AD) Le service Domaine Name Service (DNS) Le service Dynamics Host Configuration Protocol (DHCP) 1.1 Active Directory Active Directory est un annuaire dentreprise, utilis pour faciliter la gestion des utilisateurs. Il existe plusieurs types dannuaire dactif directory : Les Services de domaine Active Directory (AD DS, Active Directory Domain Services) prsentent de nombreux avantages, notamment le fait de pouvoir grer des installations de toutes tailles, quelles soient composes dun serveur unique avec quelques centaines dobjets, ou de milliers de serveurs avec plusieurs millions dobjets. Active Directory simplifie aussi grandement le processus de recherche des ressources sur un grand rseau. Linterface ADSI (Active Directory Services Interface) et le nouvel ADAM (Active Directory Application Mode) introduit dans Windows Server 2003 R2, permettent aux dveloppeurs de crer des applications pouvant accder aux annuaires, donnant ainsi aux utilisateurs un point daccs unique vers de multiples annuaires, que ceux-ci sappuient sur LDAP, NDS ou NTDS (NT Directory Services). Active Directory combine le concept Internet despace de noms et les services dannuaire du systme dexploitation. Cette combinaison permet dunifier plusieurs espaces de noms dans, par exemple, les environnements logiciels et matriels htrognes des rseaux dentreprise, mme entre systmes dexploitation diffrents. Compte tenu de sa capacit regrouper des annuaires diffrents dans un unique annuaire usage gnral, Active
21

Mmoire de fin de cycle

Directory diminue sensiblement les cots induits par ladministration de plusieurs espaces de noms. Active Directory permet dadministrer, depuis un mme emplacement, toutes les ressources publies : fichiers, priphriques, connexions dhte, bases de donnes, accs web, utilisateurs, autres objets quelconques, services, etc. Active Directory emploie le protocole DNS comme service de localisation, organise les objets des domaines dans une hirarchie dunits organisationnelles (OU, organizational unit) et permet de regrouper plusieurs domaines au sein dune arborescence. Il existe les concepts de contrleur principal de domaine (PDC) et de contrleur secondaire de domaine (BDC). Le rle BDC est dornavant rempli par le contrleur de domaine en lecture seule (RODC, Read-Only Domain Controller). Lactive Directory est bien plus quun simple annuaire. 2.1 Installation dActive Directory : Sur Windows 2008, linstallation de lannuaire peut se lancer de deux faons diffrentes de part son mode de fonctionnement diffrent de ses prdcesseurs qui taient 2000 et 2003. En effet, sur les versions antrieures, il fallait excuter depuis Executer du menu Dmarrer la commande DCPROMO.EXE qui lanait lassistant dinstallation Active Directory. Cette solution est toujours oprationnelle sur 2008 cependant il est possible dsormais de passer au pralable par linterface graphique. DCPROMO reste cependant ncessaire pour configurer lannuaire sous 2008 car le nouvel assistant ninstalle que les fichiers et services ncessaires AD DS mais ne linstalle pas proprement parler. En rsum, ca ne semble pas servir grande chose de prime abord part perdre un peu plus de temps cependant, le fait d'installer le rle vous permettra entre autres d'utiliser des outils comme DCDIAG. De ce fait nous allons lancer le gestionnaire de serveur en cliquant sur licne situ ct de Dmarrer . Nous pouvons galement y accder par un clic droit sur Ordinateur depuis le menu Dmarrer et choisir loption Grer . Linstallation de lActive Directory est prsente en annexe.

2.2 Le DNS (Domain Name System) :


22

Mmoire de fin de cycle

Le DNS assure la rsolution de nom dhte en adresse IP. Le service DNS est essentiel pour le fonctionnement dActive Directory et repose en priorit sur lui pour localiser les ressources sur le rseau et tre localis. Lors de linstallation dAD, lassistant dtecte la prsence du DNS et vous propose le cas chant de linstaller sil nest pas prsent. Une fois le service DNS installer il est ncessaire de le configurer pour quil puisse effectuer la rsolution de nom dhte en adresse IP et vis versa.

2.3 Le DHCP (Dynamic Host Configuration Protocol)


Le DHCP consiste attribuer les adresses IP aux machines clientes de faon automatique. Cela va permettre de simplifier le travail ladministrateur rseau.

3. La Configuration des Routeurs :


Les routeurs sont des quipements qui nous permettent de relier des rseaux diffrents. Nous allons configurer nos routeurs par limplmentation dun protocole de routage dynamique. Les protocoles de routage dynamique sadaptent automatiquement aux modifications, sans quaucune intervention de ladministrateur rseau ne soit ncessaire. Notre choix par rapport au protocole de routage dynamique en gnral et particulirement le protocole de routage configur ici c'est--dire le protocole de routage EIGRP sexplique par rapport notre choix pour la liaison dagrgation et le type de routeur. Le protocole de routage EIGRP est un protocole de routage intrieur vecteur de distance avanc dvelopp par Cisco. En cas de panne de lune des liaisons nos donnes peuvent toujours transiter sur notre rseau du la liaison dagrgation. De plus nous ferons la configuration de telle sorte que les ordinateurs des sites distants puissent accder linternet via le site principal.

23

Mmoire de fin de cycle

Partie III : la scurit

24

Mmoire de fin de cycle

1. Introduction : La scurit au niveau de lentreprise est un facteur in contournable pour les entreprises. Pour scuriser notre environnement notre choix a t port sur le ISA server (Internet and Accelerator Security). Nous allons utiliser la version 2004 pour plusieurs raison : Une nouvelle interface graphique beaucoup plus ergonomique et intuitive. La configuration des rgles du pare-feu a t entirement revue par rapport la version 2000 notamment au niveau de lordre dapplication des rgles. Le paramtrage des rgles de routage/NAT entre les diffrents rseaux connects au serveur ISA a t rvolutionn grce la cration dun assistant de configuration rseau qui permet de se dcharger totalement de cette opration et permet ainsi de se concentrer sur le paramtrage des options lies la scurit. De nouveaux filtres applicatifs ont t ajouts ou modifis. Par exemple le filtre HTTP a t grandement remani afin daugmenter le niveau de scurit des applications web comme IIS, Exchange ou bien encore Outlook. Les possibilits au niveau de la surveillance (ou monitoring) ont t dveloppes en profondeur. Ainsi on pourra visualiser les journaux (logs) et les sessions actives en temps rel, importer et exporter des rapports au format HTML, tester la connectivit rseau, Le serveur VPN est dornavant totalement intgr au serveur ISA et son paramtrage en est dautant plus facilit. La possibilit dimporter et dexporter la configuration du serveur ISA au format XML.

1.1 Installation et configuration initiale dISA serveur 2004 :


Linstallation dISA serveur (Internet and Accelerator Security serveur) exige un certain nombre de contrainte pour pouvoir linstaller. Voici les caractristiques logicielles et matrielles requises pour excuter ISA Server 2004 : processeur Pentium III 550 ou plus performant 256Mo de mmoire vive un nombre de cartes rseaux et/ou modems adquats
25

Mmoire de fin de cycle

une partition ou un volume format avec le systme de fichier NTFS et disposant de 150Mo despace libre (bien entendu, si vous souhaitez activer la mise en cache, il faudra disposer de plus despace). un minium de deux interfaces rseau (carte rseau, modem RNIS, modem ADSL,...) Windows Server 2003 ou Windows 2000 Server SP4 (Attention : Microsoft recommande l'installation du correctif en plus du Service Pack 4) Internet Explorer 6.0 ou suprieur Pour notre cas nous allons installer ISA server 2004 sur Windows 2008 server. 1.1.1 Installation et Configuration initiale dISA server 2004 : Nous allons prsenter linstallation dISA serveur 2004 tout en faisant une comparaison entre les versions 2000 et 2004. Linstallation dISA 2004 serveur est dtails en annexe.

2. La Configuration Initiale :
Une fois l'installation termine, six nouveaux services sont installs et doivent tre dmarrs pour que le serveur fonctionne correctement. Quatre de ces services concernent directement ISA Server : Contrle de Microsoft ISA Server : ce service est le service principal d'ISA 2004. Il se rvle trs utile pour arrter/dmarrer le service parefeu et le service Planificateur de tches Microsoft ISA Server en une seule opration. Pare-feu Microsoft : ce service est le plus important, il gre toutes les connexions faites au serveur, les rgles du pare-feu, les rgles de mise en cache, ... S'il n'est pas dmarr, aucune des fonctionnalits du serveur n'est assure (mise en cache, pare-feu et serveur VPN). Planificateur de tches Microsoft ISA Server : ce service permet de planifier des rapports sur l'activit du serveur. Espace de stockage Microsoft ISA Server : ce service gre notamment le systme de surveillance intgr ISA Server et l'espace mmoire ncessaire la mise en cache.

3. Lassistant modle rseau


Lune des principales amliorations au niveau de l'interface concerne la configuration du NAT et/ou routage entre les diffrents rseaux connects au serveur ISA. En effet, un assistant trs efficace est dsormais
26

Mmoire de fin de cycle

disponible pour mettre en place sans efforts administratifs les topologies rseau classiquement utilises sur un pare-feu. Il suffit de lancer lassistant et en 3 clics de souris, les rgles qui permettent la communication entre les diffrents rseaux relis au serveur sont automatiquement paramtres. Cinq configurations sont prdfinies voir le tableau ci-dessous: Pare-feu de primtre Dans cette configuration, le serveur ISA est un hte bastion, cest--dire un parefeu interconnectant un rseau Priv un rseau public. Cest le scnario classique en entreprise lorsque lon souhaite filtrer laccs Internet. Primtre en trois parties Le serveur ISA possde trois interfaces chacune connecte un sous rseau ou un rseau diffrent : - la premire est connecte au rseau interne de lentreprise - la seconde un rseau priphrique encore appel zone dmilitarise ou DMZ (DeMilitarized Zone) - la dernire un rseau public comme Internet. Pare-feu avant Dans ce scnario, le serveur ISA est configure pour tre le premier pare-feu dun rseau quip de deux parefeu mis dos--dos. Le serveur ISA est lordinateur qui filtre les informations circulant entre le rseau priphrique (DMZ) et le rseau public (ex. : Internet).
27

Mmoire de fin de cycle

Pare-feu arrire Dans ce scnario, le serveur ISA est configure pour tre le second pare-feu dun rseau quip de pare-feu dos--dos. Le serveur ISA est lordinateur qui filtre les informations circulant entre le rseau interne de lEntreprise et le rseau Priphrique (DMZ). Carte rseau unique Dans cette configuration, ISA Server 2004 est paramtr pour assurer uniquement la fonction de mise en cache (serveur de Proxy). Il fonctionne sur le mme rseau que le rseau interne et ne peut faire ni routage, ni serveur VPN, ni pare-feu. On peut galement noter quune configuration rseau peut tre sauvegarde au format XML ce qui permet de pouvoir la restaurer trs rapidement. La possibilit de pouvoir importer/exporter une configuration est d'ailleurs disponible pour tous les types de paramtres du serveur (ensemble de rseaux, rgles de rseaux, rgles de chanage web, stratgies de pare-feu, configuration des clients VPN, rgles de cache, filtres,...).

Chanage de pare-feu et chanage web


Le chanage consiste raccorder plusieurs serveurs ISA entres eux afin d'optimiser au maximum l'utilisation de la bande passante rseau. Cette fonctionnalit peut se rvler trs utile dans le cas d'une entreprise possdant un site principal et plusieurs sites distants comme dans notre cas. Il existe deux types de chanage sous ISA Server 2004 : le chanage web qui s'applique uniquement aux clients du Proxy web le chanage de pare-feu qui s'applique uniquement aux clients Secure NAT et aux clients pare-feu Considrons une entreprise possdant un site principal et deux sites distants comme le cas de notre tude. Admettons que le site principal regroupe
28

Mmoire de fin de cycle

environ 200 machines alors que les succursales en regroupent 50 chacune. Toutes les machines clientes sont configures en tant que clients du Proxy web. Chaque succursale contient un serveur ISA fonctionnant en tant que serveur de proxy. Dans ce cas, il est possible d'acclrer grandement les performances de la navigation web dans les sites distants de la manire suivante : utiliser la connexion Internet locale pour les requtes HTTP destines des sites web franais (c'est--dire des sites appartenant au domaine DNS *.Fr) rediriger toutes les autres requtes vers les serveurs ISA du site principal afin de bnficier du fichier de cache de ce serveur qui doit tre plus consquent et plus jour tant donn le nombre de clients appartenant au site principal.

Le chanage web route (ou redirige) les demandes des clients du Proxy web vers la connexion Internet locale, un autre serveur de Proxy situ en amont ou bien directement vers un serveur HTTP. ISA Server 2004 permet de dfinir des rgles de chanage web trs flexible afin d'optimiser au maximum les performances de la navigation et la charge rseau. On peut par exemple rediriger les requtes destination d'une URL ou d'un ensemble d'URL donn vers un serveur de Proxy spcifique.

29

Mmoire de fin de cycle

Le chanage de pare-feu redirige les demandes des clients SecureNAT et des clients pare-feu vers la connexion Internet locale ou vers un autre serveur ISA situ en amont. Il n'est pas possible de dfinir de rgles prcises en ce qui concerne le chanage de pare-feu.

4.

Paramtrage du pare-feu

Introduction: Nous allons maintenant faire le paramtrage du pare-feu du serveur ISA. Dans la version 2004 du serveur ISA des nouveauts ont t apport : Interface et mthode de cration des rgles d'accs amliores Modification de lordre dapplication des rgles Stratgie systme Remaniement des filtres d'application

5. Les lments de stratgie:


A linstar dISA 2000, on utilise des lments de stratgie dfinis pralablement afin de simplifier et de structurer la cration de rgles d'accs pour le pare-feu mais aussi pour la cration de tous les autres types de rgles existantes (rgles de mise en cache, rgles de stratgie systme,...) Les diffrents types dlments sont : Protocoles Utilisateurs Types de contenus Planifications Objets de rseau
30

Mmoire de fin de cycle

Un certain nombre dlments existent par dfaut ce qui vite ladministrateur de devoir tous les redfinir. On peut crer et visionner les lments de stratgie dans longle bote outils situe dans le menu de la fentre de droite (ce menu saffiche si lon slectionne stratgie de pare-feu dans larborescence). Par dfaut le nombre de protocoles prfinis est impressionnant. Ils sont classs par groupe ce qui facilite grandement les recherches. Ainsi si l'on souhaite paramtrer une rgle pour autoriser ou refuser l'accs aux pages Web il faudra aller chercher dans le conteneur Web qui contient notamment les protocoles HTTP et HTTPS. Cette classification se rvle trs utile l'usage. En effet, cela vite de devoir faire des recherches sur Internet lorsqu'on ne connat pas le numro de port et/ou les plages de ports utilises par une application donne. On peut citer quelques dossiers intressants : VPN et IPSec qui permet d'autoriser l'accs VPN (IKE, IPSec, L2TP, PPTP,...) Terminal distant donne accs aux principaux protocoles d'administration distance (RDP, Telnet, SSH,...) Messagerie instantane qui permet d'autoriser ou d'interdire rapidement l'accs aux principales applications (ICQ, AIM, MSN, IRC...) L'onglet Utilisateurs permet de crer des groupes d'utilisateurs qui seront utiles lors de la cration des rgles du pare-feu. La grande nouveaut ce niveau est la gestion des comptes contenus sur les serveurs RADIUS ou sur les serveurs grant l'authentification via le protocole SecureID en plus des comptes de domaine Active Directory.

31

Mmoire de fin de cycle

Un certain nombre de types de contenus existe par dfaut, ce qui permet de simplifier la cration de rgles sur les contenus. On peut citer documents web, images, audio ou bien encore vido. Les lments de stratgie Types de contenus se rvlent trs utiles pour permettre des utilisateurs de surfer tout en les empchant de tlcharger certains fichiers (comme les vidos par exemple).

Les deux planifications types prsentes par dfaut sont Simplistes et devront tre retouches afin de correspondre Aux horaires de votre entreprise. Il ne faudra pas hsiter ici Crer plusieurs autres planifications comme pause ou repas Qui permettront de paramtrer des rgles d'accs spcifiques Certains moments de la journe. Les objets rseaux sont trs importants pour le paramtrage des diffrentes rgles du serveur ISA. Les ensembles de rseaux et les rseaux sont cres automatiquement lors de la slection d'un modle rseau. Par exemple si vous choisissez le modle pare-feu de primtre les rseaux Interne, Externe, Clients VPN et Clients VPN en quarantaine Seront ajouts. Le rseau hte local est toujours prsent, il reprsente le serveur ISA. Le "rseau" clients VPN en quarantaine contient l'ensemble des clients VPN dont la connexion a t refuse car leurs niveaux de scurit ntaient pas satisfaisant. Cette mise en quarantaine des clients "non scuriss" est une nouveaut de la version 2004 d'ISA server.

32

Mmoire de fin de cycle

Une autre catgorie d'objet de rseau intressante est la possibilit de crer des ensembles d'URL et des ensembles de noms de domaines. Cela va permettre de bloquer ou d'autoriser certains sites ou certaines pages. Si le nombre de sites web auquel nos utilisateurs doivent accder est faible, il est fortement recommand de crer un lment de stratgie nomm sites autoriss ce qui permettra nos utilisateurs daccder uniquement ces sites.

5.1 La cration des Rgles du Pare-feu


La cration des rgles du pare-feu a t modifie. Voici les informations rentrer pour paramtrer une rgle type sur un server ISA 2004. Action Protocole Source/Destination Application Condition -plages horaire -type de contenu

-Refuser -ensemble de -ensemble de site -utilisateurs -autoriser protocole -ensemble de noms - groupes -port particulier de domaine -personnalise -plage dadressages IPs

Cette nouveaut a le mrite de simplifier la configuration et la comprhension car on na beaucoup moins de rgles paramtrer. Par exemple pour autoriser laccs Internet avec ISA Server 2000 il faut
33

Mmoire de fin de cycle

crer deux rgles (une rgle de site et de contenu pour autoriser laccs vers telle ou telle destination et une rgle de protocoles pour autoriser les protocoles HTTP et HTTPS) alors quISA Server 2004 ne ncessite quune seule rgle pour arriver au mme rsultat. Longlet tches contient lensemble des actions ralisables pour paramtrer le pare-feu. On y retrouve les possibilits sappliquant aux rgles d'accs (cration, dition, dsactivation, suppression), mais aussi tous les types de publication (publication dun serveur Web, publication dun serveur web scuris, publication dun serveur de messagerie, publication de serveur). On peut de plus afficher, modifier, importer et exporter les rgles de la stratgie systme. Ces rgles sont dfinies par automatiquement et s'appliquent spcifiquement au serveur ISA qui correspond au "rseau" hte local. Ces rgles permettent par exemple au serveur ISA de joindre un serveur DHCP ou un contrleur de domaine. Les rgles de stratgie systme sont donc essentielles au bon fonctionnement du serveur ISA. Le lien dfinir les prfrences d'IP permet quand lui d'activer le routage IP et de paramtrer le filtre d'options IP. Le filtre d'options IP permet d'autoriser ou de refuser les paquets possdant des options spcifiques. Toutes les oprations d'importation et d'exportation utilisent le format XML.

5.2 Ordre d'application des rgles


Avec la nouvelle version, cette procdure complexe est remplace par un autre systme. Dornavant, chaque rgle possde un numro et lorsquune requte arrive au serveur, cest la rgle qui a le numro le plus faible qui sapplique. Ce systme a le mrite dtre beaucoup plus simple comprendre que lancien et il est dailleurs repris en ce qui concerne lensemble des rgles que lon peut crer avec ISA Server 2004 ( rgles de translation dadresse et de routage, rgles de pare-feu, rgles de cache, ). Voici un exemple de rgles que lon peut paramtrer :

34

Mmoire de fin de cycle

On note la prsence dune rgle spcifique ne portant pas de numro et note : Dernier. Comme vous pouvez le voir sur la capture dcran cidessus, cette rgle bloque tous les protocoles de toutes les sources vers toutes les destinations. Elle est toujours situe la fin et possde donc la priorit la plus basse.

5.3 Les rgles de stratgie systme


La stratgie systme est un ensemble de rgles qui permettent au serveur ISA de joindre certains services rseau frquemment utiliss. Au premier abord, on pourrait considrer ces rgles de stratgie systme comme un trou de scurit. Cependant la plupart de ces rgles autorisent juste la communication entre l'hte local et le rseau interne. En aucun cas, un utilisateur externe ne peut accder au serveur ISA ou bien au rseau de l'entreprise via l'une de ces rgles. Le but de Microsoft avec la stratgie systme est de trouver un bon compromis entre connectivit et scurit. Si la stratgie systme n'existait pas, le serveur ISA ne pourrait communiquer avec aucune autre machine. Ceci empcherait notamment le serveur ISA de raliser les actions suivantes : ouvrir une session sur le domaine rcuprer un bail DHCP rsoudre les noms de domaines pleinement qualifi en adresse IP etc. Le scnario de l'installation distance via une session Terminal Server permet de bien se rendre compte de l'utilit de la stratgie systme du point de vu administratif. En effet, si la stratgie systme n'existait pas, vous pourriez installer ISA 2004 sur une machine distante, mais ds le lancement du service pare-feu, la session Terminal Server serait immdiatement dconnecte car le protocole RDP serait bloqu. Cela obligerait ensuite l'administrateur a se dplacer sur le site distant pour crer une rgle d'accs autorisant le protocole RDP ce qui peut s'avrer contraignant si le site distant est situ 6000 kilomtres !

35

Mmoire de fin de cycle

Extrait des rgles de stratgie systme

Remarque : il ya un assistant spcifique nomm diteur de stratgie


systme. Il permet de dsactiver toutes les rgles de stratgie systme, mais aussi de les configurer. Voir la capture dcran

36

Mmoire de fin de cycle

L'diteur de stratgie systme est accessible partir de l'onglet Tches Conclusion Voici les points essentiels retenir pour crer des rgles d'accs sous ISA Server 2004 : La cration des rgles d'accs fait appel des lments de stratgie Chaque rgle est applique dans un ordre bien prcis Certaines rgles sont prsentent par dfaut (stratgie systme)

6. Exemple de configuration
Autoriser l'accs Internet pour les clients du rseau interne Nous allons maintenant crer une rgle autorisant l'accs Internet (c'est-dire au rseau externe dans cet exemple) pour tous les clients pare-feu du rseau interne via les ports 21, 80,443 et 1863 (le port utilis par MSN Messenger pour la connexion et l'change de messages). Il faut commencer par donner le nom le plus explicite possible la rgle que l'on souhaite crer. On doit ensuite slectionner l'action effectuer (autoriser ou refuser). Si l'on slectionne Refuser, la possibilit de rediriger la requte vers une page web est offerte (cela permet de faire comprendre l'utilisateur que la page a t bloque intentionnellement par le pare-feu et que ce n'est donc pas un problme technique). Il faut choisir le ou les ports de
37

Mmoire de fin de cycle

destination pour le(s)quel(s) la rgle va s'appliquer. Dans notre exemple, tous les protocoles sont prdfinis (ce sont des lments de stratgie prsent par dfaut dans le serveur) et il suffit juste d'ajouter les protocoles nomms FTP, HTTP et HTTPS l'aide du bouton adquat. Il est possible de dfinir quels sont les ports sources l'aide du bouton Ports... Dans notre exemple nous laissons l'option par dfaut qui autorise tous les ports sources (ainsi les clients pourront accder des sites web et des serveurs FTP quel que soit le logiciel client utilis).

L'tape suivante consiste spcifier le rseau source et le rseau de destination. Dans notre exemple, le rseau source correspond Interne (le rseau local de l'entreprise) et le rseau de destination correspond Externe (Internet).

38

Mmoire de fin de cycle

Enfin on slectionne les ensembles d'utilisateurs pour lesquels la rgle entrera en action. Dans notre cas, le groupe nomm Tous les utilisateurs authentifis est retenu. Cependant, tous les groupes de scurit dfinis dans le service d'annuaire Active Directory peuvent tre utilis pour crer une rgle plus fine.

Une fois l'assistant termin, la rgle est inoprante. Pour que qu'elle entre en action il suffit de cliquer sur le bouton Appliquer qui apparat au milieu de l'interface de la console de gestion ISA.

6.1 Interdire compltement l'accs MSN Messenger


A l'instar de Windows Messenger, MSN Messenger est une application de messagerie instantane permettant d'accrotre grandement la productivit des utilisateurs (chat, vidoconfrence, change de fichiers ais,...). Cependant l'utilisation de ce logiciel en entreprise peut entraner quelques drives... Si vous souhaitez empcher certains utilisateurs de l'utiliser, plusieurs solutions sont envisageables : crer deux rgles d'accs interdisant la communication avec le serveur messenger.hotmail.com configurer les clients pare-feu pour empcher MSN Messenger d'accder au rseau configurer le filtre HTTP pour bloquer l'application MSN Messenger en analysant le paramtre adquat Chacune de ces mthodes prsentent des avantages et des inconvnients.

39

Mmoire de fin de cycle

7. Mise en place dun serveur VPN :


Le Virtual Private Networking (VPN) consiste de mettre en place un systme qui permettra aux utilisateurs distants de ce connect sur le site de lentreprise. Son objectif est de faire en sorte que les utilisateurs distant puisse travailler en temps rel et limporte o il se trouve. Pour paramtrer les rseaux privs virtuels sous ISA serveur 2004, on se rend dans la fentre de paramtrage des rseaux directement disponible dans larborescence de la console du serveur ISA. Cette fentre va permettre de mettre en place un serveur VPN en quelques clics. En effet, lorsque lon slectionne une topologie rseau avec lassistant de configuration rseau, les paramtres du VPN sont automatiquement rgls pour une mise en production rapide. Ainsi lorsque lon a choisi la topologie rseau pare-feu de primtre, un serveur VPN est configur afin dcouter les ventuelles requtes faites sur la carte rseau externe en utilisant le protocole PPTP et la mthode dauthentification MS-CHAP V2.0. De plus le serveur VPN assigne les adresses IP aux clients VPN en utilisant un serveur DHCP et accepte un maximum de 5 connexions. Pour rendre le serveur VPN fonctionnel lorsque lon a choisi la topologie rseau pare-feu de primtre, il faut simplement activer le serveur VPN (qui est paramtr automatiquement, mais pas activ) et choisir les groupes et/ou les utilisateurs qui ont le droit de se connecter distance. Dans ISA serveur 2004 il ya une fonctionnalit plus innovante qui permet de ne pas ruin les efforts de ladministrateur. Cette Fonctionnalit est la mise en quarantaine des clients VPN. La fonction de mise en quarantaine permet d'isoler les clients ne rpondant certains critres dans un rseau spcifique nomm clients VPN en quarantaine. Les critres de slections doivent tre dfinis dans un script qui s'excute aprs l'authentification des clients. Ce script n'est pas fourni par Microsoft avec ISA Server et doit donc tre dvelopp par l'administrateur ce qui offre une plus grande flexibilit. On peut notamment crer un script vrifiant si le pare-feu du client est actif et si son antivirus et son systme sont jour.

40

Mmoire de fin de cycle

8. Synthse du Mmoire et Conclusion : En fin de partie de ce mmoire, jai voulu faire un bilan par rapport lensemble de mon travail, sa valeur, ce que jai pu faire, ce qui reste faire. Je donne aussi un petit bilan par rapport aux diffrents modules de ma formation qui mont aid atteindre certains objectifs. Mon sujet Jai trouv le domaine du rseau trs passionnant surtout ladministration sous le Systme Windows 2008 Server et les dfis relever dans un avenir proche. Pour faciliter la communication, il a fallu que je madapte rapidement la mthodologie de travail de mon tuteur. Ce dernier ma apport beaucoup de soutiens au niveau de la mise en place dune architecture rseau trs pratique qui me fut une premire et des outils daide au dveloppement de mon projet. Ladministration sous 2008 serveur ma donn plus de got au mt ier de ladministrateur rseau, rigueur dans mes approches et plus de qualit professionnelles.

Valeur de mon travail


On mesure le bon fonctionnement dun rseau grce la disponibilit de certaines informations et ressources et par la restriction et la protection appliques aux autres. Windows Server 2008 offre ladministrateur rseau des outils et fonctionnalits qui lui permettent de satisfaire les besoins des utilisateurs, tout en protgeant les informations sensibles stockes sur ou passant par le rseau. Les Pourriels , vers et virus sont devenu le quotient des internautes et le cauchemar des administrateurs, Microsoft lanc un logiciel phare Internet and Accelerator server (ISA) concernant la scurit qui a pour but de faciliter le travail des administrateurs rseaux tout en renforant la scurit daccs au niveau de leur rseau grce la scurit des environnements rseaux. Ce qui explique notre choix par rapport la mise en place de notre rseau sous le Windows 2008 server et sa scurisation sous le ISA server. Ce qui reste faire comme perspective : Conception du site web pour la structure Ebergement du site sur le serveur de lentreprise qui est Windows 2008 server. Bilan par rapport ma formation
41

Mmoire de fin de cycle

Contexte du Mmoire Mise en place dun rseau informatique moderne dans un environnement scuris

Module de Formation Windows 2008 server

Contenu Preparation Installation et Configuration Administration du rseau Installation et configuration Paramtrage du Pare-feu Exemple de configuration Implmentation de la mise en cache Installation et Configuration

ISA serveur 2004

Microsoft Exchange 2010

42

Mmoire de fin de cycle

Rfrence :
WWW.developpez.com www.Openclassroom.com Windows server 2008 Volume 1: Charlie Russel & Sharon Crawford

43

Mmoire de fin de cycle

Annexe :

44

Mmoire de fin de cycle

Voici comment installer Windows Server 2008 sur un serveur vierge laide dun DVD standard : 1. Mettez le serveur sous tension et insrez immdiatement le DVD Windows Server 2008 de larchitecture installer. Si le disque dur principal ne possde pas de systme dexploitation amorable, vous tes automatiquement dirig vers le processus dinstallation de Windows Server 2008. Si le disque contient un systme dexploitation amorable, le message Appuyez sur nimporte quelle touche pour dmarrer du CDROM ou du DVD-ROM saffiche. Dans ce cas, appuyez sur une touche. 2. Lorsque lcran Installer Windows de la figure 5-1 apparat, slectionnez la langue et les autres paramtres rgionaux employer avec cette installation.

3. Cliquez sur Suivant pour ouvrir la page de la figure 5-2. Vous pouvez rparer une installation Windows Server 2008 endommage ou afficher des informations supplmentaires avant linstallation.

45

Mmoire de fin de cycle

4. Cliquez sur Installer pour afficher la page Entrez votre cl de produit pour activation de lAssistant Installer Windows, comme le montre la figure 5-3.

Figure 5-3 Page Entrez votre cl de produit pour activation de lAssistant Installer Windows

5. Tapez la cl de produit de cette installation de Windows Server 2008. 6. Laissez coche la case Activer automatiquement Windows quand je serai en ligne, sauf si vous prfrez dcider quand activer le produit. 7. Cliquez sur Suivant pour afficher la page Slectionnez ldition de Windows que vous avez achete de lAssistant Installer Windows, illustre
46

Mmoire de fin de cycle

par la figure 5-4. Si vous installez le produit sans saisir de cl de produit, la liste des versions possibles est plus longue.

Figure 5-4 Slectionnez ldition de Windows que vous avez achete de lAssistant Installer Windows 8. Choisissez entre Installation complte ou Installation Server Core. Ce choix est irrversible : il est impossible de convertir ultrieurement une installation complte en Server Core ou inversement. Linstallation et la configuration de Windows Server 2008 Server Core sont analyses au chapitre 9 du tome 1, Installation et configuration de Server Core . 9. Cliquez sur Suivant pour afficher la page Veuillez lire le contrat de licence. Cochez la case Jaccepte les termes du contrat de licence. Vous navez pas le choix : soit vous les acceptez, soit linstallation sarrte. 10. Cliquez sur Suivant pour ouvrir la page Quel type dinstallation voulez vous effectuer. La seule possibilit que vous avez lorsque vous dmarrez dun DVD est Personnalise (Avanc). Slectionnez alors cette option pour ouvrir la page O souhaitez-vous installer Windows de la figure 5-5.

47

Mmoire de fin de cycle

Figure 5-5 Page O souhaitez-vous installer Windows de lAssistant Installer Windows 11. Le premier disque de votre ordinateur est mis en vidence. Vous tes libre de slectionner le disque de votre choix. Si le disque cible ne saffiche pas, chargez les pilotes requis en cliquant sur Charger un pilote. Cliquez sur Options de lecteurs (avances) pour obtenir dautres options destines repartitionner ou formater le lecteur slectionn. 12. Une fois que vous avez slectionn le lecteur, cliquez sur Suivant pour dmarrer linstallation. Aucune invite ne saffiche jusqu la fin de linstallation. Vous tes alors invit saisir votre mot de passe pour le compte Administrateur. Remarque : Le lecteur slectionn par dfaut linstallation de Windows Server 2008 est le premier lecteur numr par le BIOS. Vous pouvez en slectionner un autre si celui que vous voulez nest pas slectionn ou ajouter des pilotes pour dautres contrleurs si le lecteur que vous voulez napparat pas. Pour ceux qui connaissent bien les versions prcdentes de Windows, rjouissez-vous dapprendre que Windows Server 2008 propose enfin une prise en charge de supports autres que la disquette pour charger les pilotes de stockage pendant linstallation. Comme le montre la figure 5-6, il est possible de charger des pilotes partir de disquettes, CD, DVD ou lecteur flash USB.

48

Mmoire de fin de cycle

Figure 5-6 Windows Server 2008 prend en charge le chargement de pilotes de stockage partir de disquette, disque optique ou lecteur USB.

Si vous devez modifier les partitions dun lecteur, le formater o u mme ltendre pour lui fournir de lespace supplmentaire, cliquez sur Options de lecteurs (avances) pour afficher les options supplmentaires de gestion et de configuration des disques pendant linstallation, comme le montre la figure 57.

Figure 5-7 Des options de lecteurs avances sont disponibles pendant linstallation de Windows Server 2008.

Le processus dinstallation de Windows Server 2008 propose une nouveaut importante : la possibilit dtendre une partition. Sil ne sagit pas dune fonctionnalit importante dans les installations toutes nouvelles, elle se rvle pratique si vous recyclez un ordinateur. Vous pouvez tendre une partition avec de lespace non allou disponible du mme disque. Remarque Si vous devez ouvrir une fentre dInvite de commandes pendant le processus dinstallation, appuyez sur les touches Maj+F10. Il est alors
49

Mmoire de fin de cycle

possible dexcuter manuellement Diskpart.exe ou nimporte quel autre outil disponible et charger manuellement un pilote ou ajuster le partitionnement. la fin de linstallation, Windows Server 2008 redmarre et prsente lcran douverture de session. Vous devez saisir un nouveau mot de passe pour le compte Administrateur, comme le montre la figure 5-8, puis ouvrir une session sur le nouveau serveur.

Figure 5-8 Dfinition du mot de passe initial pour le compte Administrateur

Une fois que vous tes connect, lAssistant Tches de configurations initiales saffiche pour grer la configuration de votre nouveau serveur.

50

Mmoire de fin de cycle

51

Mmoire de fin de cycle

Une fois le gestionnaire de serveur lanc, rendez-vous dans la section Rles partir du menu situ sur la gauche. Nous devrions en avoir zro dinstall tel que cela est le cas dans cet exemple. Cliquons ensuite sur Ajouter des rles situ sur la fentre de droite ou slectionner loption portant le mme nom laide dun clique droit sur Rles dans le menu de gauche.

Nous arrivons sur Assistant Ajout de rles qui propose en premier lieu de faire tout un ensemble de vrification. Dans un cadre productif, il sera conseill de les suivre la lettre et en particulier les mises jour. Cela sera un gage supplmentaire pour obtenir un systme stable (A noter que nous pouvons dsactiver cette page en cochant ignorer cette page par dfaut lors dun prochain appel lassistant).

Slectionner le rle Services de domaine Active Directory .

52

Mmoire de fin de cycle

Dans le cas prsent, il manque une fonctionnalit requise pour linstallation du rle (en loccurrence le .NET Framework). Choisir Ajouter les fonctionnalits requises .

Lassistant nous convie prendre quelques dispositions concernant la mise en place dun annuaire dans le cadre dun environnement de production. Premier point, et non des moindres, il sera ncessaire dinstaller le service DNS mais ca nous verrons cela par la suite. Deuxime point, souligner, est limportance de lannuaire une fois intgre dans votre architecture et le risque dindisponibilit suite une panne du serveur. La solution sera de prvoir rapidement un contrleur de domaine secondaire afin dassurer la continuit de service. Enfin, lassistant nous invite aprs linstallation lancer DCPROMO.

Lassistant suit son cours et termine sur un rapport dinstallation. Une fois, le rle install, vous pouvez dsormais lancer dcpromo partir de Executer depuis le menu Dmarrer . Remarque: bien que dans le cadre d'une nouvelle cration de fort sans rel existant cela ait peu d'intrt, il vous est possible toutefois de vrifier si le serveur est ligible pour une promotion en tant que contrleur de domaine d'une nouvelle fort avec la commande dcdiag /test:dcpromo /dnsdomain:domaine.local /newforest (le service DNS domaine.local doit tre configur). Nous allons activer le mode avanc afin de voir les diffrentes options qui soffrent nous. Une seconde fentre voque la compatibilit antrieure du systme dexploitation.
53

Mmoire de fin de cycle

Nous allons choisir de crer un domaine dans une nouvelle fort. Car pour le moment nous ne disposons pas dun domaine existant. Aprs vous allons dsigner le nom de notre nouveau domaine Active Directory. Un nom de domaine Active Directory est exactement similaire un domaine DNS. Il doit tre localisable depuis Internet. On suit lassistant jusqu la fin de linstallation de notre active directory.

Installation de ISA serveur:


Contrairement la version 2000 qui proposait 3 modes d'installation diffrents (mode cache, mode pare-feu et mode intgr), ISA Server 2004 ne propose qu'un seul mode d'installation. Dornavant l'activation ou non de la mise en cache se paramtre dans la console de Gestion ISA et n'est plus tributaire du mode d'installation choisi au dpart. Aprs l'insertion du CD-ROM d'installation, le menu ci-dessous apparat. Il permet d'installer ISA Server 2004 ou bien de mettre jour un serveur ISA 2000. Pour ralisez la migration d'ISA 2000 vers ISA Server 2004, le Service Pack 1 pour ISA 2000 doit tre install au pralable. L'installation ne prsentant aucunes difficults (choix des composants installer, dfinition de la table d'adresses locales, activation de la prise en charge des clients pare-feu utilisant l'ancienne version du client...).

54