OCT 08

Mensuel OJD : 35726 Surface approx. (cm) : 1634

5 RUE CHANTECOQ 92808 PUTEAUX CEDEX - 01 41 97 62 62

Page 1/4

L'ATELIER DE L'ADMINISTRATEUR
pratique

Configurer Windows Server 2008 en mode Server Core

Dans le cadre de sa politique de scurit, Microsoft introduit le mode Server Core : un environnement minimal, dont le but est de rduire les possibilits d'attaques et la maintenance. Par Romain Lacour, de Supinfo

vec Windows Server 2008, Microsoft propose une nouvelle vision de l'administration d'un serveur Windows avec la possibilit de le configurer en mode Server Core. Dans ce mode, vl devient un systeme d'exploitation dpourvu d'un certain nombre d'applications et de services et dnu d'interface graphique, afin de reduire le plus possible la surface d'attaque du serveur et les besoins en maintenance. En effet, moins il y a d'applications installes et moins il sera ncessaire d'installer des correctifs. D'o l'intrt d'inciter a configurer Wm dows Server 2008 en mode Server Core Mas, pour cela, il faut connatre un mini-

mum de commandes pour pouvoir administrer Server Core Nous allons donc voir comment le configurer en ligne de commande et quels sont les rles dc bases que vous pouvez installer Nous commencerons par la configuration de base du serveur, puis celle du serveur DHCP, celle du serveur DNS, l'intgration Active Directory et, enfin, l'installation du rle TTS. Pour chaque scnario est fourni un script exemple avec les diffrentes commandes a excuter Nous verrons aussi qu'il est possible d'administrer un Server Core a distance avec les outils d'administration Windows Server 2008, appels RSAT (Remote Server Administration Tools)

Configuration de base de Server Core

Dbutons par la configuration de base de Windows Server 2008 Server Core. Apres avoir install et dmarre pour la premiere fois Server Core, vous devrez sans doute effectuer certaines modifications dans la configuration-d base, tn general, dans les premieres etapes de configuration d'un serveur, il faut le renommer, configurer les interfaces reseau (adresse IP, passerelle, serveurs DNS ) ou bien encore intgrer la machine a un domaine Active Directory.

Script exemple de configuration de base de Server Core

Etablir le mot de passe administrateur local Net user administratif * Renommer la machine (tamputername% est une variable d'environnement qui contient le nom de la machine locale). Netdum renamecompuler %coniputernamell/o /NewName "srv core" /password * Ajouter un nom la machine avec suffixe DNS: Netdom computername srv-core lait srv-cnre lano-ms lan Configurer une adresse IPv4 statique sur une interface rseau : Netsli interlace ip4 show interfaces Dans la commande qui suit, remplacez <ID> par le numero identifiant de l'interface rseau que vous souhaitez configurer. Vous avez cet identifiant dans la commande prcdente Netsh interface ipv4 set address name=<ID> source= "static" address=l92168 01 gateway=192168 O 254
DNS: Netsh interface ipv4 add dnsserver name=<ID> address=1921680.1 index=1 Netsh interface ipv4 add drissemet name=<lll> aildress=19216811 index=2

Activer l'administration distance du pare-feu : Netsh arMirewall firewall set mie group= "Windows Firewall Remote Management" new enable=yes Autoriser les outils d'administration distance (RSAT) dans le pare-feu avanc : Netsh advfireuall firewall set mie grnup= ' Remote Administration" new enable=yes Redmarrer le serveur : Shutdown/r 1D Fermer la session :

Si vous voulez joindre la machine a un domaine Active Oirectory existant : Netdom join %cnnipiiteinaiiie% /domain labo ms lan /userd LABO MS\Administrator/passworil * Activer la licence du serveur local : Slmgrvbs-ato

Dsactiver une interface rseau : Netsh interface set interface "Inca Area Connection" disabled

SUPINFO 0249517100524/GFS/ATA

Elments de recherche :

SUPINFO : cole suprieure d'informatique, toutes citations

OCT 08
Mensuel OJD : 35726 Surface approx. (cm) : 1634

5 RUE CHANTECOQ 92808 PUTEAUX CEDEX - 01 41 97 62 62

Page 2/4

Script exemple de configuration de serveur DHCP

Le script d'exemple (lire encadre I page ci contre) illustre qulques commandes qui vous permettront de configurer votre ser veur Bien sr, la plupart de ces commandes sont applicables sur une installation Wm dows Server 2008 classique, voire ante rieure II est aussi possible d'excuter ces commandes a distance, c'est a-dire depuis une autre machine, a condition de disposer de privilges administratifs suffisants sur le serveur de destination Pour toutes les commandes utilises, vous pouvez utiliser le commutateur "/ ? " pour obtenir de l'aide et avoir plus d'options de configuration En general, pour eviter de divulguer le mot de passe utilise et qu'une autre personne ne puisse le voir, on utilise le caractre special "*" dans la ligne de commande Cela a pour effet de vous demander le mot de passe, et celui ci ne sera pas affiche sur l'cran A chaque fois que nous aurons besoin de renseigner un mot de passe, nous utiliserons donc le caractre "*" pour eviter de l'crire en clair dans la ligne de commande Dans le script, vous pouvez voir comment gerer le pare feu avance (advfirewall) afin d'autoriser l'administration a distance du pare-feu et des diffrents composants a l'aide des Outils d'administration du serveur a distance (RSAT Remote Server Administra lion Tools) Une fois ces manipulations faites sur Server Core, vous pouvez utiliser un Wm dows Server 2008 classique ou encore un Windows Vista avec les RSAT installes, pour administrer Server Core a distance via une interface graphique Installation du rle Serveur DHCP : Start /w ocsetup DHCPSeruerCore Configurer le service Serveur DHCP pour un dmarrage automatique : Se \\srv-core conlip dhcpserver start= auto Dmarrer le service DHCP Net start tfhcpserver Crer une tendue DHCP : Netsh dhcp server \\srv core add scope 192168 O O 255 255 255 O MonEtendue ' Etendue de test" Ajouter une plage d'adresses IP a distribuer pour l'tendue cre : Netsh dhcp server \\srv-core scope 192168 O O addiprange192168011921680100 Ajouter une plage d'exclusion dans l'tendue : Netsh dhcp server \\srv core scope 192168 O O addexcluderange1921B801 192168010 Ajouter une option routeur au niveau de l'tendue. Netsh dhcp server \\srv core scope 192168 O O set optionvalue 003IPADDRESS192168 O 254 Ajouter une option Nom de Domaine DNS au niveau du serveur : Netsh dhcp server \\srv core set optionvalue OIS STRING "labo ms lan" Autoriser le serveur DHCP dans Active Directory (Active Directory doit tre prsent sur le reseau et votre serveur DHCP, membre du domaine ou contrleur de celui-ci) : Netsh dticp add server srv-core labo-ms lan 19216801 Dsinstaller le rle Serveur DHCP : Start /w ocsetup DHCPServerCore /uninstall

Configuration d'un serveur DHCP

Dans cette partie, nous allons voir comment configurer notre Server Core comme serveur DHCP Pour rappel, DHCP, qui signifie Dynamic Host Configuration Protocol, est un protocole reseau qui permet de distribuer des adresses IP automati quement aux machines qui se connectent au reseau local Cela permet de simplifier normment la configuration reseau d'un parc informatique En effet, avec DHCP,

plus besoin de configurer chaque machine manuellement pour lui attribuer une configuration rseau (adresse IP, passerelle par dfaut, serveurs DNS ete ) Le script d'exemple (lire encadre 2 ci-dessus) montre comment effectuer une configuration de base, mas il est possible de configurer entierement DHCP avec l'outil "netsh" La premiere action a mener est d'installer le rle Serveur DHCP sur le systeme Server Core, avec l'outil "ocsetup" Par dfaut, cet outil redonne la main immdiatement a l'invite de commande, ce qui ne nous per met pas de voir si l'installation du rle est termine ou s'est bien droule Pour y remdier, nous allons utiliser la commande "start" avec le commutateur "/w" (ou "/wall"), ce qui a pour effet d'attendre que l'excution de "ocsetup" soit acheve Une fois le rle installe et le service DHCP dmarre, la premiere etape est de configurer une tendue Une tendue DHCP va contenir les diffrents paramtres ncessaires pour pouvoir distribuer des adresses IP aux clients Cela comprend les plages d'adresses IP, les plages d'exclusion ou encore les rservations d'adresses

Interface de travail de Server Core l'invite de commande.

SUPINFO 0249517100524/GFS/ATA Elments de recherche :

SUPINFO : cole suprieure d'informatique, toutes citations

OCT 08
Mensuel OJD : 35726 Surface approx. (cm) : 1634

5 RUE CHANTECOQ 92808 PUTEAUX CEDEX - 01 41 97 62 62

Page 3/4

Script exemple de configuration de serveur DNS

Installer le rle Serveur DNS : Start /w ocsetup ONS-Server-Cnre-Role Configurer une zone de recherche directe principale : Dnscmd srv-core /ZoneAdd labo-ms.lan /primary /file labo-ms.lan.dns Crer une zone de recherche inverse principale : Dnscmd srv-core /ZoneAdd 0.168.192.in-addr.arpa /primary /file 0.168.192.in-addr.arpa.dns Ajouter un enregistrement de type A dans la zone de recherche que vous avez prcdemment cre : Dnscmd srv-core /RecordAdd labo-ms.lan srv-care.laaa-ms.lan A 192,168.0.1 Configurer un suffixe DNS primaire sur le serveur (redmarrez ensuite le serveur) : Netdom computername srv-core /MakePrimary "srv-rjore.labo-ms.lar" Crer un enregistrement de type PTR dans la zone inverse cre prcdemment : Dnscmd srv-core /RecordAdd D.168.192.in-addr.arpa I PTR srv-core,labo-ns.lan Lister les enregistrements d'une zone : Dnscmd srv-core /ZonePrint labo-ms.lao Afficher les informations sur une zone : Dnscmd srv-core /Zonelnfo labo-ms.lan Dsinstaller le rle Serveur DNS : Start /w ocsetup DNS-Server-Core-Role /uninstall

taller le rle Serveur DNS sur notre Ser ver Core. Ensuite, il nous faudra crer une zone DNS. La zone DNS contiendra tous les enregistrements pour un domaine DNS particulier. Une zone de recherche directe sera utilise pour rsoudre des noms DNS en adresse IP. l'intrieur de celle-ci, nous trouverons en majorit des enregistrements de type A. Une zone de recherche inverse sera utilise pour rsoudre des adresses IP en noms DNS. Dans celle-ci, nous trouverons en majorit des enregistrements de type PTR. Aprs avoir cr les zones, il faut crer les enregistrements. Il y a donc dans le script d'exemple (lire encadr 3 ci-contre) les commandes pour crer des enregistrements de type A et PTR dans les zones concernes. Vous trouverez galement en fin de script la commande permettant de dsinstaller le rle serveur DNS.

(voir le script d'exemple pour les diffrentes commandes excuter). Il est ensuite possible de configurer des options DHCP diffrents niveaux (tendue, serveur, classe ou client rserv). Pour rappel, les options DHCP permettent de configurer des paramtres rseaux en plus de l'adresse IP et du masque de sous-rseau. Exemples : passerelle par dfaut, serveurs DNS, serveurs WINS, nom de domaine DNS pour cette connexion ou bien d'autres. Dans la dernire partie du script, nous ajoutons le serveur DHCP dans la liste des serveurs autoriss dans Active Directory. Attention : Active Directory doit tre prsent sur votre rseau. Reportez-vous la partie de configuration d'Activ Directory (lire ci-contre) si vous souhaitez promouvoir un Server Core en tant que contrleur de domaine.

pour fournir l'adresse IP en fonction d'un nom. Les ordinateurs utilisent des adresses IP pour communiquer entre eux. Cependant, il est difficile de retenir des adresses IP. Imaginez si vous deviez vous rendre sur un site Internet en tapant l'adresse IP du serveur Web ! Cela parat trs compliqu, et c'est l que DNS nous est indispensable. Nous allons donc voir brivement comment effectuer certaines tches d'administration. Nous allons commencer par ins-

Configuration d'Activ Directory

Nous voil dans cette dernire partie de configuration de Server Core en ligne de commande. Nous allons voir comment installer et effectuer qulques tches d'administration dans Active Directory. Ce service d'annuaire rseau de Microsoft est utilis pour centraliser la gestion des ressources du rseau, comme les utilisateurs, les ordinateurs ou les imprimantes. Le premier

Script exemple de configuration d'Activ Directory

Installation d'un contrleur de domaine pour un nouveau domaine dans une nouvelle fort : Dcpromo/ReplicaOrNewDomain=Domain /NewDomain=Forest/NewDomamDNSName=lal]0ms.lan/DomamNetbiosName=labo-ms /lnstallDNS=yes/SafeModeAdminPassword=* Crer une unit d'organisation dans le domaine Active Directory : Dsaild ou "ou=oi_Par!s,dc=laoo-ms,dc=lan" Dsadd DO "ou=Utilisateurs,oo=oii_Paris,dc=laboms,dc=lan" Crer un compte d'utilisateur dans le domaine Active Directory : Dsadd user "cn=Romain LACOUR,ou=Utilisateurs, ou=ou_Paris,dc=]abo-ms,dc=lan" -upn "rlacoor@labo-mslan" -fn "Romain" -ln "LACOUR" -display "Romain UGOUR" -pwd * Crer un groupe de scurit : Dsadd gronp "cn=g_LaboMS,ou=oii_Paris, dc=labo-ms,dc=lan"-secgrp yes -scope g -memoers "cn=Rnraain LACOURlou=Utilisateors,ou=ou_Paris,dc=laboms,dc=lan"

Configuration d'un serveur DNS

DNS (Domain Name System) est un protocole rseau de rsolution de nom utilis sur Internet par exemple. On y a recours

SUPINFO 0249517100524/GFS/ATA

Elments de recherche :

SUPINFO : cole suprieure d'informatique, toutes citations

OCT 08
Mensuel OJD : 35726 Surface approx. (cm) : 1634

5 RUE CHANTECOQ 92808 PUTEAUX CEDEX - 01 41 97 62 62

Page 4/4

effet visible pour les utilisateurs va tre de pouvoir ouvrir une session sur n'importe quelle machine du domaine sans qu'il soit ncessaire pour l'administrateur de crer tous les comptes utilisateurs sur toutes les machines du rseau. Dans l'exemple de script de configuration d'Activ Directory (lire encadr 4, page prcdente), le principe de base est la promotion de Server Core en qualit de contrleur de domaine dans une nouvelle fort. Le serveur sera donc le premier contrleur de domaine de notre infrastructure Active Directory. Bien sr, il est possible d'effectuer d'autres configurations, comme promouvoir Server Core en tant que contrleur de domaine pour un domaine existant ou bien pour un nouveau domaine dans une fort existante. Les possibilits sont les mmes que dans une promotion classique. Pour promouvoir Server Core, nous allons devoir nous passer de l'assistant d'installation. Pour cela, nous pouvons utiliser un fichier de rponse ou bien, comme montr dans le script d'exemple, spcifier directement les paramtres d'installation dans la ligne de commande "dcpromo". Une fois l'installation termine, Windows redmarre. Ensuite, vous pouvez voir dans le script exemple comment crer en ligne de commande des units d'organisation, des comptes d'utilisateur ou encore des groupes. Les units d'organisation permettent de structurer vos objets Active Directory dans votre domaine. On fait souvent le parallle avec le systme de classement par dossiers sur un disque dur, qui permet d'organiser les fichiers et de simplifier leur utilisation.

Script exemple de configuration de IIS 7.0

Pour installer IIS sur avec les options par dfaut :
start /w pkpgr lm IIS-WebServerRole,WASWindewsActivatienService.WAS-PrecessModel WebServerManagementToels; IISManagementSmptingTools;IISIIS6ManagementConipatibility,IIS-Metabase;ll$WMICempatibility;IIS-Legacy$cripts;IISFTPPublislmig$ee;IIS-FTPSemr;WASWmdowsActivationService.WAS-ProcessModel

Pour faire une installation complte, avec tous les composants IIS :
start /w pkpgr lm IIS-WebServerRoleJISWebServer,IIS-CommonHttpFeatiires;IISStaticGontent,IIS-DefaultDDCument;IISDirectoryBrowsiny;IIS-HttpErrors;IIS-HttpRedirect;IISApplicatienDevelnpment,IIS-A$P;ll$-CGI;ll$ISAPIExtensions;IIS-ISAPIFilter;ll$ServerSidelncludes;IIS-HealthAndDiagnostics;IISHtlpLoggingillS-LoggingLibranesillSRequestMonitor;IIS-HttpTraciiig;IISCustomLogging;IIS-ODBCLogging;ll$-Seciirity;ll$BasicAuthenticatien,IIS-WindowsAiithentication;ll$DigestAuthentication;IISClientCertificateMappingAuthenticatinn;IISIISCertificateMappingAuthentication;IISURLAutbnrization;IIS-ReguestFiltering;IISIPSecurity,IIS-Perlormance;IISHttpCompressinnStatic.llSHttpCempressionOynamicJIS-

Lister les sites configurs sur IIS :

Cd%systemroot%\system32\inBtsrv\ Appcmd lisf sites

Ajouter un nouveau site (vous devez configurer le nom du site dans IIS avec le commutateur "/name". Le commutateur "/bindings" permet de dfinir le type d'adresse et le port d'coute pour ce site et enfin "/physicalPath" vous permet de dfinir le dossier o est stock le site) :
Appcmd add site /name ."NouveauSite" /bindings : "bnp/* :81 " /physicalPath :"C:\NoiueauSite"

Dsinstaller IIS (ou simplement des composants inutiliss) :

Start /w pkgmgr lm :ll$-Web$erverRole ;WASVlindowsActivationService.Was-ProcessMndel

donc pas possible d'hberger des applications ASP.Net sur un serveur Web IIS 7.0 install sur un Server Core. L'architecture d'IIS 7.0 est totalement diffrente de celle que l'on pouvait trouver sur IIS 6.0. En effet, IIS 7.0 bnficie d'une structure modulaire qui va permettre de charger uniquement les fonctions dont on a besoin. Cela apporte certains avantages : allgement du serveur donc forcment de meilleures performances ; surface d'attaque moindre du fait du nombre de composants rduits ; diminution des besoins en maintenance pour la mme raison (donc moins de mises jour installer). Dans le script d'exemple (lire encadr 5 ci-dessus), vous trouverez comment installer IIS par dfaut, donc avec le moins possible de composants, ou, au contraire, comment l'installer avec tous les composants disponibles. Figurent galement dans le script qulques commandes de configuration du serveur Web.

Toute l'administration d'Internet Information Services en ligne de commande se fait l'aide de l'outil "appcmd.exe", qui se trouve dans le dossier "%systemroot% \system32\metsrv\". Comme d'habitude, vous pouvez obtenir de l'aide en tapant "appcmd / ?". Tout au long de cet article, nous avons abord une prsentation de base de l'administration d'un Windows Server 2008 install en version Server Core. Comme nous l'avons prcdemment voqu, il est possible d'aller beaucoup plus loin et de configurer presque entirement votre serveur en ligne de commande. Avec cette nouvelle approche de configuration de son systme Windows Server, Microsoft entend rpondre aux attentes des administrateurs rseaux qui ont besoin, dans des cas prcis, que certains de leurs serveurs affichent des besoins en maintenance plus faibles et une scurit accrue.

Installation du rle IIS sur Server Core

IIS 7.0 (Internet Information Services) est la nouvelle version du serveur Web de Microsoft. Celle-ci est intgre Windows Server 2008 et est aussi prsente dans Server Core. IIS 7.0 permet d'hberger des applications Web (ASP, ASP.Net, PHP... ). Attention cependant : Server Core ne supportant pas le framework .Net, il ne sera
SUPINFO 0249517100524/GFS/ATA

Elments de recherche :

SUPINFO : cole suprieure d'informatique, toutes citations