www.tri.0fees.

net

PROJET DE FIN DE FORMATION

MICROSOFT WINDOWS SERVER 2008

EST UNE NOUVELLE GNRATION DU SYSTME
DEXPLOITATION WINDOWS SERVER CONUE POUR AIDER LES
ADMINISTRATEURS SYSTME RATIONALISER LEURS
INFRASTRUCTURES.

Ralispar:MrALECHCHEIKHELALAOUIADNANE
Filire :TechniquesdeRseauxInformatiques
ISTAERRACHIDIA
2008/2009
1

WindowsServer2008

SOMMAIRE

1.

INTRUDUCTION...............................................................................................................................3

2.

PrsentationdeWindowsServer2008...........................................................................................4

3.

EnsembledesrlesActiveDirectory...............................................................................................7

4.

VirtualisationWindowsServer......................................................................................................22

5.

Accscentralisauxapplications..................................................................................................24

6.

Applicationdelastratgieetdelascurit..................................................................................30

7.

PlateformeWebetd'applications...............................................................................................45

8.

Gestiondesserveurs.....................................................................................................................53

9.

Conclusion.....................................................................................................................................70

WindowsServer2008

INTRUDUCTION

WindowsServer2008tirepleinementpartidesgrandesinnovationsquisontintervenuesdepuisla
misedispositiondesesprdcesseurs:lvolutiondesprocesseursversle64bitetlesarchitectures
multicoeurs, gnralisation de la virtualisation, pilotage fin des bilans nergtiques, nouvelles
mthodesdedveloppementetdetestscurises(TWC).
Windows Server 2008 est une solution conue pour rpondre aux problmatiques de monte en
charge,dehautedisponibilitetdagilitrequisesdanslescentresdetraitementethabituellement
rsoluesavecdesmainframesoudesUnixhistoriques.
En mme temps, il conserve lergonomie de ses prdcesseurs et met la disposition des
organisationsdetoutetaillelestechnologiesdevirtualisation,descuritetdehautedisponibilit
quileurtaientinaccessibles.
Pourcela,WindowsServer2008innovesur4axesmajeurs:

Aidergrerlacomplexit
Denouveauxoutilsdegestiondesserveurspermettentdautomatiser
lestchesrcurrentes(WindowsPowerShell)envousoffrantlapossibilitdinstaller,deconfigurer
etdadministrervosserveurslocauxetdistantsdepuisuneinterfaceuniqueetcentralise(laconsole
ServerManager).LafonctiondeclustersdansWindowsServer2008atamliorepouroffrirune
solutiondehautedisponibilitquiprotgelesapplicationscritiques,lesservicesetlesinformations
desutilisateurs.LesservicesdedploiementWindows(WDS)rduisentlecotetlacomplexitdes
dploiementsdessystmesdexploitationsurlespostesclientsetlesserveurs.Enfinlinstallationde
Windows Server 2008 en mode minimaliste (Server Core) permet de ne pas sencombrer des
composantsinutiles.Celarduitlesinterventionsdemisesjouretlesinterruptionsdeservicesqui
peuventendcouler.

Ouvrirlerseauetprotgerlesdonnes
NAP(NetworkAccessProtection)estunefonctionnalitcldeWindowsServer2008quipermetde
contrler laccs au rseau des ordinateurs en vrifiant la bonne sant de leur systme et leur
conformitauxpolitiquesdescuritdelentreprise.Citonsgalementlerenforcementdesservices
Windowspour
unsystmedexploitationplusrsistantcontrelesattaques,lanouvelleoptiondinstallationServer
Corequidiminuelasurfaceexposeauxrisquesinformatiques,ainsiquelecontrleurdedomaine
enlectureseule(RODC)quipermetderenforcerlascuritdanslessitesdistants.Enfin,Windows
Server2008contientleserveurActiveDirectoryRightManagementServerquipermetdecontrler
etderestreindreladiffusionetlaccsauxinformationsdelentreprise.

Rationaliserlesinfrastructuresaveclavirtualisation
Windows Serveur 2008 permet de consolider les serveurs X86 (virtualisation de serveurs) et de
centraliser les applications (virtualisation de prsentation). HyperV, lhyperviseur de Windows
Server 2008, est une architecture moderne de paravirtualisation conue pour hberger des
machinesvirtuellesmultiprocesseurset64bitsetpermettreainsiderationaliserlesinvestissements
matriels.Cettetechnologieestintgredirectementdanslesystmedexploitationetnerequiert
3

WindowsServer2008

donc aucun investissement complmentaire. La gnration 2008 de cette technologie est

parfaitement compatible avec les prcdentes et utilise les mmes outils de supervision (System
Center Virtual Machine Manager). Pour les entreprises qui ont une stratgie de centralisation des
applications, les nouveaux services Terminal Services intgrs Windows Server 2008 proposent 3
innovationstrssignificatives,notammentpourlespopulationsnomades:unefonctiondepasserelle
daccs aux applications qui permet dy accder partir de nimporte quelle connexion internet,
lamlioration de lergonomie daccs aux applications et la fonction EasyPrint qui permet
dexploiterplussimplementlesimprimantes.

FaciliterlvolutionduWeb
Internet Information Server 7.0 (IIS 7), le nouveau serveur Web de Windows Server 2008, permet
unemonteenpuissancedesinfrastructuresWebpourinternetoupourlesintranets.Ilpermetaussi
de reprendre lexistant ASP, ASP.NET et PHP avec un minimum de modifications. Fortement
intgr Windows Server 2008, il tire pleinement parti des fonctions de celuici pour la scurit,
ladministration, la haute disponibilit et la monte en charge. Windows Sharepoint Services 3.0
(WSS3.0)estunservicetlchargeablepourWindowsServer2008quipermetdecrerdessitesweb
spcialiss pour le partage dinformations et de documents dans lentreprise. WSS 3.0 permet de
dployerrapidementdesdmarchescollaborativesetsamiseenuvreestcouverteparleslicences
deWindowsServer2008.

PRSENTATION DE WINDOWS SERVER 2008

Microsoft Windows Server 2008 est une nouvelle gnration du systme dexploitation Windows
Serverconuepouraiderlesadministrateurssystmerationaliserleursinfrastructures.
WindowsServer2008innovesur4axesmajeurs:

Virtualisation
Terminal Services estunefonctiondeWindowsServer2008quipermetdefairefonctionnerune
ou plusieurs applications sur un serveur centralis en dportant uniquement les interfaces
utilisateursverslepostedetravaildelutilisateur.
Terminal Services Gateway estuneextensionTerminalServicesquipermetdaccderTerminal
Services sans tre connect directement au rseau de lentreprise. Cest une fonction trs
intressantepourlespopulationsnomades.
Terminal Services Easy Print permet dutiliser des imprimantes locales au poste de travail sans
avoirmonterdespilotesdimpressionsurleserveur.
Terminal Services Remote App est une extension de Terminal Services qui permet damliorer
lexprience de lutilisateur Grce cette nouvelle fonction, lutilisateur ne fait plus du tout la
diffrenceentreuneapplicationlocaleetuneapplicationquiestexcutedistance.Celaamliore
leurproductivitetdiminuelescotsdesupportetdeformationauxutilisateurs.
Hyper-V, lhyperviseurdeWindowsServer2008,estunetrsfinecouchedelogicielquisintercale
entre le matriel et les systmes dexploitation (les serveurs virtualiss) pour que ceuxci se
partagent les ressources mmoire et processeurs de la machine. Les serveurs virtualiss noprent
pasncessairementsouslesmmesenvironnements.Celapermetdefairepasserletauxdutilisation
des serveurs x86 dune tranche de 815% une tranche de 3040% et donc de rationaliser les
investissementsentermedematriel.

Scurit

WindowsServer2008

Windows Right Management Server est un service inclus dans Windows Server 2008 et qui
permet de grer ce que chacun a le droit de faire dun document donn. Ainsi lauteur dun
documentvapouvoirenrestreindrelalecture,lamodification,limpressionouletransfertparmail
unnombrelimitdepersonnes.
Network Access Protection (NAP) estunetechnologieMicrosoftpermettantdecontrlerlaccs
au rseau dun ordinateur en se basant sur la sant de son systme. NAP est utilise pour faire
respecter la stratgie de scurit de lentreprise : lorsquun ordinateur, quil appartienne un
utilisateur interne, un utilisateur mobile ou un visiteur, tente de se connecter au rseau de
lentreprise, NAP vrifie sa conformit la stratgie de scurit de lentreprise. Si cet ordinateur
savre infect ou non conforme, NAP lui refuse laccs au rseau et tente de mettre jour le
systmeavantquilpuisseseconnecteraurseau.
Windows BitLocker Drive Encryption, ouchiffrementcompletdelespacedestockage,estune
fonctionnalit cl de Windows Server 2008 amliorant la protection des serveurs, des postes de
travail,ordinateursportablesetautresquipementsmobiles.Ilencodelecontenududisquedurafin
quelesdonnessoientprotges,mmesiellestombentdansdemauvaisesmains.
Read-Only Domain Controller (RODC), ou contrleur de domaine en lecture seule, permet de
sauvegarderdescomptesutilisateurslolascuritphysiquenepeuttregarantie.RODCfournit
une authentification locale pour les utilisateurs des succursales et des agences sans copier
entirementlabasededonnesActiveDirectory,cequirduitlesrisques.
Active Directory Federation Services (ADFS) est un composant de Windows Server 2008 qui
offre lutilisateur une exprience dauthentification unique. Avec ADFS, lutilisateur peut donc
accderdesapplicationsdistinctesdansdesentreprisesindpendantessansavoirprsenterdes
informationsdidentificationchaqueapplication.

Web
Internet Information Server 7.0 (IIS 7) estleserveurWeblivravecWindowsServer2008.Cestle
composant fondateur dune infrastructure de site Web pour Internet, de site intranet, ou bien
encorepourdployerouintgrerdesservicesWeb.FortementintgrWindowsServer2008iltire
pleinementpartidesfonctionsdeceluicipourlascurit,ladministration,lahautedisponibilitet
lamonteenpuissance.
Windows SharePoint Services (WSS) 3.0 est un service tlchargeable pour Windows Server
2008quipermetdecrerdessitesWebspcialisspourlepartagedinformationsetdedocuments.
Ilpermetdedployerrapidementdesdmarchescollaboratives.LamiseenoeuvredeWSS3.0est
couverteparleslicencesdeWindowsServer.

Fondationsdusystme
Windows PowerShell est un langage de script en mode ligne de commande qui permet aux
administrateursdautomatiseretdepersonnaliserlestchesdadministrationentoutescurit.
ServerManagerestunnouveloutilpermettantdinstaller,deconfigureretdadministrerlesserveurs
depuisuneseuleetuniqueconsole.
La fonction de clusters (failover clustering) dansWindowsServer2008atamlioreenvuede
simplifier sa mise en oeuvre et damliorer la stabilit des clusters. Cette fonctionnalit permet
doffrirauxorganisationsunesolutiondehautedisponibilitafinquelesapplicationscritiques,
lesservicesetlesinformationsrestent ladispositiondetouslesutilisateurs,ycomprisencasde
catastrophe.
Server Core est une nouvelle option dinstallation pour certains scnarios dusage qui permet de
ninstallerunserveurquavecleslmentsstrictementncessairessonfonctionnement.Aveccette
option,vousdiminuezlachargedemisesjourduserveuretlesinterruptionsventuellesliesla
maintenance.Enninstallantquelescomposantsncessairespourunrle,vousrduisezgalement
lasurfacedexpositionauxrisquesinformatiques.
5

WindowsServer2008

Windows Deployment Services, ou services de dploiement Windows (WDS), est une version
repense des ser vices dinstallation distance, qui acclre le dploiement rapide et massif des
systmes dexploitation Windows partir dune image. Avec WDS, vous pouvez effectuer une
installationrseaudeWindowsServer2008(ainsiquedeWindowsVista)surdesordinateursnus
(quinedisposentpasdesystmedexploitation).Ainsi,lesservicesdedploiementWindowsoffrent
une solution complte pour le dploiement des systmes dexploitation Windows sur les postes
clients et les serveurs, et rduit le cot total de possession et la complexit des dploiements
WindowsServer2008etWindowsVista.
Task scheduler estunordonnanceurdetche.
Windows Remote Shell permetdexcuterdescommandesprimitivesdusystmedexploitation
distance.

Editions et fonctionnalits disponibles de Windows Server 2008

Mode dinstallation Server Core

LanouvelleoptiondinstallationServerCorepermetdesupporterlesfonctionnalitssuivantes:

Configuration requise

WindowsServer2008

ENSEMBLE DES RLES ACTIVE DIRECTORY

ServicesdecertificatsActiveDirectory
Les services de certificats Active Directory (AD CS) fournissent des services personnalisables pour
lmission et la gestion de certificats qui sont utiliss dans les systmes de scurit logiciels employant
des technologies de cl publique.
Dans les sections suivantes, dcouvrez les services AD CS, les fonctionnalits requises et facultatives
dans les services AD CS, ainsi que les logiciels et le matriel utiliss pour lexcution des services
AD CS. la fin de cette rubrique, apprenez ouvrir linterface des services AD CS et dcouvrir plus
dinformations sur les services AD CS.
Fonctionnalits des services AD CS
laide du Gestionnaire de serveur, vous pouvez configurer les composants suivants des services
AD CS :

Autorits de certification. Des autorits de certification racine et secondaires sont utiliss pour
mettre des certificats aux utilisateurs, aux ordinateurs et aux services, et pour grer la validit
des certificats.
Inscription via le Web. Linscription via le Web permet aux utilisateurs de se connecter une
autorit de certification au moyen dun navigateur Web afin de demander des certificats et de
rcuprer des listes de rvocation de certificats.
Rpondeur en ligne. Le service Rpondeur en ligne dcode les demandes dtat de rvocation
pour des certificats spcifiques, value ltat de ces certificats et renvoie une rponse signe
contenant les informations demandes sur ltat des certificats.
Service dinscription de priphriques rseau. Le Service dinscription de priphriques rseau
permet aux routeurs et dautres priphriques rseaux ne possdant pas de comptes de
domaine dobtenir des certificats.

Avantages des services AD CS

Les organisations peuvent utiliser les services AD CS pour amliorer la scurit en liant lidentit
dune personne, dun priphrique dun service une cl priv correspondante. Les services AD CS

WindowsServer2008

offrent une solution rentable, efficace et scurise pour grer la distribution et lutilisation des
certificats.
Les applications prises en charge par les services AD CS incluent les extensions S/MIME
(Secure/Multipurpose Internet Mail Extensions), les rseaux sans fil scuriss, les rseaux privs
virtuels (VPN), la scurit du protocole Internet (IPsec), le systme de fichiers EFS, louverture de
session par carte puce, SSL/TLS (Secure Socket Layer/Transport Layer Security) et les signatures
numriques.
Dans Windows Server 2008, les services AD CS prsentent les nouvelles fonctionnalits suivantes :

Des capacits dinscription amliore qui permettent lattribution dagents dinscription

dlgus en fonction des modles.
Des services dinscription SCEP (Simple Certificate Enrollment Protocol) intgrs qui
permettent dmettre des certificats des priphriques rseau tels que des routeurs.
Des services de rponse dtat de rvocation volutifs et rapides combinant la fois les listes
de rvocation de certificats et les services Rpondeur en ligne intgrs.

Considrations logicielles et matrielles

Les services AD CS ncessitent Windows Server 2008 et les services de domaine Active Directory
(AD DS). Bien que les services AD CS puissent tre dploys sur un serveur unique, de nombreux
dploiements impliquent plusieurs serveurs configurs en tant quautorits de certification, dautres
serveurs configurs en tant que rpondeurs en ligne et dautres serveurs servant de portails
dinscription via le Web. Vous pouvez configurer des autorits de certification sur des serveurs
excutant divers systmes dexploitation, y compris Windows Server 2008, Windows Server 2003 et
Windows 2000 Server. Toutefois, tous les systmes dexploitation ne prennent pas en charge
lensemble des fonctionnalits ou des conditions de conception. Ainsi, pour crer une conception
optimale, vous devrez planifier et tester minutieusement les services AD CS avant de les dployer
dans un environnement de production.
Installation des services AD CS
Au terme de linstallation du systme dexploitation, vous pouvez configurer une autorit de
certification et dautres composants facultatifs laide du Gestionnaire de serveur.
Pour quune autorit de certification ou un rpondeur en ligne soit fonctionnel, vous devez effectuer
dautres tapes de configuration laide des composants logiciels enfichables appropris. Pour plus
dinformations, voir les rubriques daide associes pour les composants logiciels enfichables Autorit
de certification et Rpondeur en ligne.
Gestion des services AD CS
Les services de rle AD CS sont grs laide de composants logiciels enfichables MMC (Microsoft
Management Console).

Pour grer une autorit de certification, utilisez le composant logiciel enfichable Autorit de
certification. Pour ouvrir le composant logiciel enfichable Autorit de certification, cliquez sur
Dmarrer, sur Excuter, tapez mmc, cliquez sur Fichier, sur Ajouter/Supprimer un composant
logiciel enfichable, sur Autorit de certification, sur Ajouter, sur OK, puis double-cliquez sur
Autorit de certification.
Pour grer des certificats, utilisez le composant logiciel enfichable Certificats. Pour ouvrir le
composant logiciel enfichable Certificats, cliquez sur Dmarrer, sur Excuter, tapez mmc,
8

WindowsServer2008

cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel enfichable, sur Certificats,
sur Ajouter, sur OK, puis double-cliquez sur Certificats.
Pour grer des modles de certificats, utilisez le composant logiciel enfichable Modles de
certificats. Pour ouvrir le composant logiciel enfichable Modles de certificats, cliquez sur
Dmarrer, sur Excuter, tapez mmc, cliquez sur Fichier, sur Ajouter/Supprimer un composant
logiciel enfichable, sur Modles de certificats, sur Ajouter, sur OK, puis double-cliquez sur
Modles de certificats.
Pour grer un rpondeur en ligne, utilisez le composant logiciel enfichable Rpondeur en
ligne. Pour ouvrir le composant logiciel enfichable Rpondeur en ligne, cliquez sur Dmarrer,
sur Excuter, tapez mmc, cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel
enfichable, sur Rpondeur en ligne, sur Ajouter, sur OK, puis double-cliquez sur Rpondeur
en ligne.

Si vous utilisez Windows Server 2008, mais que vous navez pas encore install lun des services de
rle AD CS, seul le composant logiciel enfichable Certificats est install par dfaut. Vous pouvez
installer les composants logiciels enfichables restants sans installer les services de rle AD CS laide
du Gestionnaire de serveur en slectionnant les outils des services de certificats Active Directory sous
Outils dadministration de serveur distant Si lordinateur partir duquel vous voulez effectuer des
tches dadministration distance excute Windows Vista.

ServicesdedomaineActiveDirectory
En utilisant le rle de serveur Services de domaine Active Directory (AD DS) sous le systme
dexploitation Windows Server 2008, vous pouvez crer une infrastructure volutive, scurise et
grable pour la gestion des utilisateurs et des ressources et vous pouvez assurer la prise en charge des
applications utilisant un annuaire, telles que Microsoft Exchange Server.
Dans les sections suivantes, vous obtiendrez plus dinformations sur AD DS, les fonctionnalits
proposes dans AD DS, ainsi que sur les considrations dordre logiciel et matriel. Pour plus
dinformations sur la planification, le dploiement et lutilisation du rle de serveur AD DS, et pour
obtenir une rfrence technique qui explique comment AD DS fonctionne et les diffrents outils et
paramtres que ces services utilisent.
Quest-ce que le rle de serveur AD DS ?
AD DS fournit une base de donnes distribue qui stocke et gre des informations sur les ressources
rseau et les donnes spcifiques des applications provenant dapplications utilisant un annuaire. Les
administrateurs peuvent utiliser AD DS pour organiser les lments dun rseau, tels que les
utilisateurs, les ordinateurs et les autres priphriques, en une structure hirarchique de type contenantcontenu. La structure hirarchique de type contenant-contenu inclut la fort Active Directory, les
domaines inclus dans la fort et les units dorganisation (OU) de chaque domaine. Un serveur qui
excute AD DS est nomm contrleur de domaine.
Lorganisation des lments dun rseau en une structure hirarchique de type contenant-contenu offre
les avantages suivants :

La fort agit comme une limite de scurit pour une organisation et dfinit ltendue de
lautorit des administrateurs. Par dfaut, une fort contient un domaine unique, appel
galement domaine racine de la fort.
Des domaines supplmentaires peuvent tre crs dans la fort pour assurer le partitionnement
des donnes AD DS, ce qui permet aux organisations de rpliquer des donnes uniquement l
o cela est ncessaire. Cela permet le dimensionnement global des services AD DS sur un
rseau disposant dune bande passante limite. Un domaine Active Directory prend en charge

WindowsServer2008

galement plusieurs autres fonctions principales lies ladministration, dont notamment

lidentit des utilisateurs, lauthentification et les relations dapprobation lchelle du rseau.
Les units dorganisations simplifient la dlgation de lautorit pour faciliter la gestion dun
grand nombre dobjets. Par le biais de la dlgation, des propritaires peuvent transfrer une
autorit complte ou limite sur des objets dautres utilisateurs ou groupes. La dlgation est
importante car elle aide distribuer la gestion dun grand nombre dobjets plusieurs
personnes charges deffectuer des tches de gestion.

Fonctionnalits proposes dans AD DS

La scurit est intgre dans AD DS par le biais de lauthentification douverture de session et le
contrle daccs aux ressources de lannuaire. laide dune ouverture de session rseau unique, les
administrateurs peuvent grer les donnes et lorganisation de lannuaire par le biais de leur rseau.
Les utilisateurs rseau autoriss peuvent galement utiliser une ouverture de session rseau unique
pour accder des ressources tout emplacement sur le rseau. Ladministration base sur des
stratgies facilite mme la gestion des rseaux les plus complexes.
Autres fonctionnalits des services AD DS :

Un ensemble de rgles, le schma, qui dfinit les classes dobjets et les attributs contenus dans
lannuaire, les contraintes et les limites qui sappliquent aux instances de ces objets, ainsi que
le format de leurs noms.
Un catalogue global qui contient des informations sur chaque objet de lannuaire. Les
utilisateurs et les administrateurs peuvent utiliser le catalogue global pour rechercher des
informations dans lannuaire, quel que soit le domaine de lannuaire qui contient les donnes.
Un mcanisme de requte et dindex, de sorte que les objets et leurs proprits puissent tre
publis et recherchs par les utilisateurs du rseau ou des applications.
Un service de rplication qui distribue les donnes dannuaire sur lensemble du rseau. Tous
les contrleurs de domaine accessibles en criture dans un domaine participent la rplication
et contiennent une copie complte de toutes les informations dannuaire lies leur domaine.
Toute modification des donnes dannuaire est rplique sur tous les contrleurs de domaine
inclus dans le domaine.
Les rles de matre doprations (galement appels oprations matre unique flottant ou
FSMO). Les contrleurs de domaine qui dtiennent des rles de matre doprations sont
dsigns pour effectuer des tches spcifiques pour assurer la cohrence et liminer les entres
en conflit dans lannuaire.

Gestion des identits pour UNIX

La gestion des identits pour UNIX est un service de rle AD DS qui peut tre install uniquement sur
des contrleurs de domaine. Deux technologies de gestion des identits pour UNIX, Serveur pour NIS
et Synchronisation de mot de passe, facilitent lintgration des ordinateurs excutant Windows dans
votre entreprise UNIX existante. Les administrateurs des services dannuaire Active Directory peuvent
utiliser Serveur pour NIS afin de grer les domaines NIS (Network Information Service). La
synchronisation de mot de passe synchronise automatiquement les mots de passe entre les systmes
dexploitation Windows et UNIX.
Nouvelles fonctionnalits incluses dans les services dannuaire Active Directory de
Windows Server 2008
Windows Server 2008 inclut les nouvelles fonctionnalits AD DS rpertories dans le tableau cidessous.
Fonctionnalit

Description
10

WindowsServer2008

Contrleur
de Un RODC correspond un nouveau type de contrleur de domaine qui
domaine en lecture hberge des partitions en lecture seule de la base de donnes Active
seule (RODC)
Directory. Un RODC est particulirement utile dans les cas suivants :

La scurit physique dun contrleur de domaine ne peut pas tre

garantie ou son emplacement ninclut pas dadministrateur dot de
lautorit lchelle du domaine requise pour administrer un
contrleur de domaine accessible en criture.
Les utilisateurs situs dans une succursale peuvent bnficier dun
processus douverture de session plus efficace qui est fourni par un
contrleur de domaine local dans la succursale.

Installation
intermdiaire
RODC

Cette fonctionnalit permet linstallation en deux phases dun contrleur de

dun domaine en lecture seule. Au cours de la premire phase, un membre du
groupe Admins du domaine cre un compte pour le RODC. Au cours de la
seconde phase, un utilisateur dlgu joint un serveur au compte RODC.
Jeu dattributs filtrs Un jeu dattributs de type secret qui nest pas rpliqu sur un RODC. Cela
du RODC
empche que les valeurs des attributs soient rvles si un RODC est vol. Le
jeu dattributs filtrs du RODC peut tre configur dynamiquement pour une
application.
Sparation des rles Cette fonctionnalit permet aux administrateurs de domaine de dlguer
dadministrateur
linstallation et ladministration dun RODC des utilisateurs nayant pas le
statut dadministrateur.
Assistant Installation LAssistant Installation des services de domaine Active Directory
amlior
(dcpromo.exe) propose une prise en charge amliore des installations sans
assistance, de la slection de site et de linstallation intermdiaire des RODC,
ainsi que dautres options avances.
Gnrer un support Cette fonctionnalit vous permet dutiliser Ntdsutil.exe sous Windows
dinstallation scuris Server 2008 pour crer un support dinstallation scuris pour les
installations ultrieures des services AD DS et ADLDS (Active Directory
Lightweight Directory Services).
Dans les versions antrieures de Windows Server, les administrateurs taient
incits utiliser Ntbackup.exe pour crer un support dinstallation de
contrleur de domaine. Dans Windows Server 2008, les administrateurs sont
encourags utiliser Ntdsutil.exe pour crer le support dinstallation.
Vous pouvez crer un support ne contenant pas de secrets mis en cache (tels
que des mots de passe) pour lutiliser pour linstallation dun RODC.
Lorsque vous supprimez des secrets mis en cache du support dinstallation,
un utilisateur malveillant accdant au support dinstallation ne peut pas en
extraire de secrets.
Redmarrage
des Vous pouvez utiliser cette fonctionnalit pour arrter et redmarrer AD DS
services AD DS
sans redmarrer le contrleur de domaine lui-mme. Les oprations hors
connexion, telles que la dfragmentation hors connexion, peuvent tre
excutes plus rapidement car il nest pas ncessaire de redmarrer le
contrleur de domaine en mode restauration des services dannuaire.
Audit
des Cette fonctionnalit configure laudit AD DS avec une nouvelle sousmodifications
catgorie daudit pour enregistrer dans le journal les valeurs anciennes et
apportes AD DS
nouvelles lorsque des modifications sont apportes des objets et leurs
attributs.
Stratgie de mots de Cette fonctionnalit permet de spcifier des stratgies de mots de passe et de
passe stricte
verrouillage de compte pour certains utilisateurs et groupes de scurit
globaux dans un domaine. Elle utilise de nouveaux objets de paramtrage de
11

WindowsServer2008

mot de passe et des rgles de priorit pour supprimer la restriction dune

stratgie unique pour chaque domaine.
Prise en charge des Cette fonctionnalit permet laffectation dynamique des identificateurs (ID)
identificateurs MAPI MAPI (Messaging API) (cest--dire leur gnration alatoire partir dun
dynamiques
pool rserv dID MAPI), outre leur affectation statique. Grce aux ID MAPI
dynamiques, vous pouvez tendre votre schma Active Directory et ajouter
des attributs personnaliss pour Exchange Server.
Outil dexploration de Cette fonctionnalit vous permet de visualiser les donnes AD DS et ADLDS
donnes
stockes dans des captures instantanes ou des sauvegardes en ligne. Bien
que cette fonctionnalit ne vous permette pas de restaurer des objets ou des
conteneurs supprims, vous pouvez lutiliser pour comparer des donnes
dans des captures instantanes ou des sauvegardes qui sont prises des
moments diffrents pour dcider des donnes restaurer, sans avoir
redmarrer le contrleur de domaine ou le serveur ADLDS.
Considrations matrielles et logicielles
Vous pouvez utiliser des compteurs de performance, des tests en laboratoire, des donnes provenant
du matriel existant dans un environnement de production et des dploiements pilotes pour dterminer
la capacit requise pour votre serveur. Les serveurs excutant Windows Server 2008 ont besoin dau
moins 512 mgaoctets (Mo) de RAM et de 20 gigaoctets (Go) despace sur le disque dur.
Important

Outre lespace disque minimal requis sur le disque dur, la mise niveau des contrleurs de
domaine excutant Microsoft Windows Server 2003 vers Windows Server 2008 requiert
galement deux fois plus despace que celui allou actuellement pour la base de donnes
Active Directory, les fichiers journaux et SYSVOL sur leurs volumes respectifs. Ces
conditions doivent tre respectes pour la restauration dune mise niveau. Lespace est
recycl automatiquement la fin du processus de mise niveau.

Le rle de serveur AD DS requiert les services DNS (Domain Name System) pour localiser les
ordinateurs, les contrleurs de domaine, les serveurs membres et les services rseau par leur nom. Le
rle Serveur DNS fournit des services de rsolution de noms DNS pour les rseaux TCP/IP en
mappant les noms des adresses IP, ce qui permet aux ordinateurs de localiser les ressources rseau
dans un environnement AD DS.
En outre, les services AD DS doivent tre installs sur le rseau pour implmenter dautres
technologies importantes Windows Server, telles que la stratgie de groupe et les services de
certificats Active Directory (AD CS).

12

WindowsServer2008

Installation du rle de serveur AD DS

Une fois linstallation du systme dexploitation termine, vous pouvez utiliser Tches de
configuration initiales ou Gestionnaire de serveur pour installer des rles de serveur. Pour installer le
rle de serveur AD DS, cliquez sur Ajouter des rles pour dmarrer lAssistant Ajout de rles, puis
cliquez sur Services de domaine Active Directory. Parcourez lAssistant Ajout de rles pour installer
les fichiers pour le rle de serveur AD DS. Une fois lexcution de lAssistant Ajout de rles termine,
cliquez sur le lien permettant de dmarrer lAssistant Installation des services de domaine Active
Directory.
Parcourez lAssistant Installation des services de domaine Active Directory pour effectuer
linstallation et la configuration de votre contrleur de domaine. La plupart des pages de lAssistant
prsentent un lien Aide pour plus dinformations sur les paramtres que vous pouvez configurer.
Pour automatiser les installations de contrleurs de domaine, vous pouvez utiliser un fichier de
rponses ou spcifier des paramtres dinstallation sans assistance la ligne de commande. Pour plus
dinformations sur linstallation des services AD DS.
Gestion du rle de serveur AD DS
Vous pouvez grer les rles de serveur laide des composants logiciels enfichables MMC (Microsoft
Management Console). Pour grer un contrleur de domaine (cest--dire un serveur excutant
AD DS), cliquez sur Dmarrer, sur Panneau de configuration, sur Outils dadministration, puis doublecliquez sur le composant logiciel enfichable appropri :

Pour grer les comptes dutilisateurs et dordinateurs, cliquez sur Utilisateurs et ordinateurs
Active Directory.
13

WindowsServer2008

Pour grer les approbations Active Directory, les niveaux fonctionnels et les rles de matre
doprations lchelle de la fort, cliquez sur Domaines et approbations Active Directory.
Pour grer les sites et les liens des sites Active Directory, cliquez sur Sites et services Active
Directory.

Vous pouvez galement double-cliquer sur le composant logiciel enfichable appropri dans la page
Services de domaine Active Directory dans le Gestionnaire de serveur.
Les programmeurs et les administrateurs systme expriments peuvent grer le schma Active
Directory, mais le composant logiciel enfichable Schma Active Directory nest pas install par
dfaut. De plus, le fichier schmmgmt.dll doit tre enregistr avant que le composant logiciel enfichable
puisse tre install.
Pour installer le composant logiciel enfichable Schma Active Directory
1. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur
Excuter en tant quadministrateur.
2. Si la bote de dialogue Contrle de compte d'utilisateur apparat, confirmez que l'action
affiche est celle que vous souhaitez, puis cliquez sur Continuer.
3. Tapez la commande suivante et appuyez sur Entre :
regsvr32 schmmgmt.dll
4. Cliquez sur OK pour fermer la bote de dialogue qui confirme que lopration a russi.
5. Cliquez sur Dmarrer, sur Excuter, tapez mmc, puis cliquez sur OK.
6. Si la bote de dialogue Contrle de compte d'utilisateur apparat, confirmez que l'action
affiche est celle que vous souhaitez, puis cliquez sur Continuer.
7. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
8. Sous Composants logiciels enfichables disponibles, cliquez sur Schma Active Directory, sur
Ajouter, puis sur OK.
9. Pour enregistrer cette console, cliquez sur Enregistrer dans le menu Fichier.
10. Dans la bote de dialogue Enregistrer sous, effectuez lune des oprations suivantes :
o Pour placer le composant logiciel enfichable dans le menu Outils dadministration,
dans Nom de fichier, tapez un nom pour le composant logiciel enfichable, puis cliquez
sur Enregistrer.
o Pour enregistrer le composant logiciel enfichable dans un emplacement autre que le
dossier Outils dadministration, dans Enregistrer dans, accdez lemplacement de
votre choix. Dans Nom de fichier, tapez un nom pour le composant logiciel
enfichable, puis cliquez sur Enregistrer.

ServicesADFS(ActiveDirectoryFederationServices)
Vous pouvez utiliser le rle de serveur AD FS (Active Directory Federation Services) du systme
dexploitation Microsoft Windows Server 2008 pour crer une solution daccs aux identits
scurise, hautement volutive et pouvant tre tendue Internet, qui peut fonctionner sur plusieurs
plateformes la fois, quil sagisse denvironnements Windows ou non-Windows.
Consultez les sections suivantes pour en savoir plus sur le rle AD FS, avec entre autres une vue
densemble de la technologie ainsi que des consignes dinstallation et de gestion.
Quest-ce quAD FS ?
AD FS est une solution daccs aux identits qui offre aux clients de navigateur (appartenant ou non
votre rseau) un accs transparent en une seule tape une ou plusieurs applications protges qui sont
14

WindowsServer2008

tournes vers Internet, mme lorsque les comptes dutilisateurs et les applications ne se trouvent pas
du tout sur le mme rseau ou dans la mme organisation.
Lorsquune application se trouve sur un rseau et les comptes dutilisateurs sur un autre, il est
habituellement demand aux utilisateurs de fournir des informations didentification secondaires
lorsquils tentent daccder lapplication. Ces informations didentification secondaires reprsentent
lidentit des utilisateurs dans le domaine o rside lapplication. Le serveur Web qui hberge
lapplication a gnralement besoin de ces informations didentification pour pouvoir prendre la
dcision dautorisation la plus approprie.
AD FS rend les comptes secondaires et leurs informations didentification inutiles en fournissant des
relations dapprobation que vous pouvez utiliser pour transmettre lidentit numrique et les droits
daccs dun utilisateur aux partenaires approuvs. Dans un environnement fdr, chaque
organisation continue grer ses propres identits, mais peut aussi, en toute scurit, transmettre et
accepter des identits provenant dautres organisations.
En outre, vous pouvez dployer des serveurs de fdration dans plusieurs organisations pour faciliter
les transactions inter-entreprises (B2B) entre des organisations partenaires approuves. Dans un
partenariat inter-entreprises fdr, chaque partenaire commercial est identifi selon les types
dorganisation suivants :

Organisation de ressource : les organisations qui possdent et grent des ressources

accessibles partir dInternet peuvent dployer des serveurs de fdration AD FS et des
serveurs Web prenant en charge AD FS pour grer laccs aux ressources protges pour les
partenaires approuvs. Ces partenaires approuvs peuvent inclure des tiers externes ou
dautres services ou filiales de la mme organisation.
Organisation de compte : les organisations qui possdent et grent des comptes dutilisateurs
peuvent dployer des serveurs de fdration AD FS qui authentifient les utilisateurs locaux et
crent des jetons de scurit que les serveurs de fdration de lorganisation de ressource
utilisent ensuite pour prendre des dcisions dautorisation.

On appelle authentification unique (SSO) le processus consistant sauthentifier sur un rseau tout en
accdant des ressources se trouvant sur un autre rseau, sans avoir sidentifier plusieurs fois.
AD FS fournit une solution SSO base sur le Web qui authentifie les utilisateurs dans plusieurs
applications Web au cours dune mme session de navigateur.
Services du rle AD FS
Le rle de serveur AD FS inclut des services de fdration, des services de proxy et des services
dagent Web que vous configurez pour activer lauthentification Web SSO, pour fdrer les ressources
Web, pour personnaliser le processus daccs et pour grer la manire dont les utilisateurs sont
autoriss accder aux applications.
En fonction des impratifs de votre organisation, vous pouvez dployer des serveurs excutant
nimporte lequel des services du rle AD FS ci-dessous :

Service de fdration : le service de fdration comprend un ou plusieurs serveurs de

fdration qui partagent une stratgie dapprobation commune. Vous utilisez les serveurs de
fdration pour acheminer les demandes dauthentification mises par les comptes
dutilisateurs dautres organisations ou par des clients se trouvant nimporte o sur Internet.
Proxy du service de fdration : le proxy du service de fdration fait office de proxy pour le
service de fdration dans le rseau de primtre (galement appel zone dmilitarise et sousrseau filtr). Le proxy du service de fdration utilise les protocoles WS-F PRP (WSFederation Passive Requestor Profile) pour collecter les informations didentification des
15

WindowsServer2008

utilisateurs auprs des clients de navigateur, puis envoie de leur part les informations
didentification au service de fdration.
Agent prenant en charge les revendications : lagent prenant en charge les revendications peut
tre utilis sur un serveur Web hbergeant une application prenant en charge les
revendications pour permettre linterrogation des revendications des jetons de scurit AD FS.
Une application prenant en charge les revendications est une application Microsoft ASP.NET
qui utilise les revendications prsentes dans un jeton de scurit AD FS pour prendre des
dcisions dautorisation et personnaliser des applications.
Agent bas sur les jetons Windows : lagent bas sur les jetons Windows peut tre utilis sur
un serveur Web hbergeant une application base sur une autorisation de jeton Windows NT
pour prendre en charge la conversion dun jeton de scurit AD FS en jeton daccs
Windows NT demprunt didentit. Une application base sur une autorisation de jeton
Windows NT est une application qui utilise des mcanismes dautorisation bass sur
Windows.

Installation du rle AD FS
Une fois que vous avez fini dinstaller le systme dexploitation, une liste de tches de configuration
initiales saffiche. Pour installer AD FS, dans la liste des tches, cliquez sur Ajouter des rles, puis sur
Services ADFS (Active Directory Federation Services).
Gestion du rle AD FS
Vous pouvez grer les rles de serveur laide de composants logiciels enfichables MMC (Microsoft
Management Console). Aprs avoir install AD FS, vous pouvez utiliser le composant logiciel
enfichable Services ADFS (Active Directory Federation Services) pour grer le service de fdration
et le proxy du service de fdration. Pour ouvrir ce composant logiciel enfichable, cliquez sur
Dmarrer, sur Outils dadministration, puis sur Services ADFS (Active Directory Federation
Services).
Pour grer lagent bas sur les jetons Windows, cliquez successivement sur Dmarrer, Outils
dadministration et Gestionnaire des services Internet (IIS), puis cliquez sur Connexion localhost.

ServicesADLDS(ActiveDirectoryLightweightDirectoryServices)
laide du rle Windows Server 2008 AD LDS (Active Directory Lightweight Directory Services),
anciennement appel Active Directory Application Mode (ADAM), vous pouvez fournir des services
dannuaire aux applications utilisant un annuaire sans tre soumis la surcharge reprsente par les
domaines et les forts, ou lobligation de disposer dun schma unique dans lensemble dune fort.
Consultez les sections suivantes pour en savoir plus sur le rle de serveur AD LDS, ses
fonctionnalits et les considrations logicielles et matrielles relatives son installation.
Quest-ce que le rle de serveur AD LDS ?
AD LDS est un service dannuaire LDAP (Lightweight Directory Access Protocol) qui fournit une
prise en charge flexible des applications compatibles avec lannuaire, sans les dpendances requises
pour les services de domaine Active Directory (AD DS, Active Directory Domain Services). Les
services AD LDS (Active Directory Lightweight Directory Services) fournissent quasiment les mmes
fonctionnalits que les services de domaine Active Directory, mais sans imposer le dploiement de
domaines ni de contrleurs de domaines. Vous pouvez excuter simultanment plusieurs instances
AD LDS sur un mme ordinateur, avec un schma gr indpendamment pour chaque instance
AD LDS.
16

WindowsServer2008

Les services de domaine Active Directory fournissent des services dannuaire aussi bien pour le
systme dexploitation serveur Microsoft Windows Server que pour les applications utilisant un
annuaire. Pour le systme dexploitation serveur, AD DS stocke des informations critiques sur
linfrastructure du rseau, les utilisateurs et les groupes, les services rseau, etc. Dans ce rle, les
services de domaine Active Directory doivent adhrer un schma unique dans lensemble dune
fort.
Par contre, le rle de serveur AD LDS fournit des services dannuaire spcifiquement pour les
applications utilisant un annuaire. Les services AD LDS (Active Directory Lightweight Directory
Services) ne ncessitent ni domaines ni forts Active Directory. Cependant, dans les environnements
o les services de domaine Active Directory existent, les services AD LDS (Active Directory
Lightweight Directory Services) peuvent utiliser les services de domaine Active Directory pour
lauthentification dentits de scurit Windows.
Fonctionnalits du rle de serveur AD LDS
Vous pouvez utiliser le rle de serveur AD LDS pour crer plusieurs instances AD LDS sur un mme
ordinateur. Chaque instance sexcute en tant que service distinct dans son propre contexte
dexcution. Le rle de serveur AD LDS offre les fonctionnalits suivantes pour faciliter la cration,
la configuration et la gestion des instances AD LDS :

un Assistant qui vous guide tout au long du processus de cration dune instance AD LDS ;
des outils en ligne de commande pour effectuer une installation ou une suppression sans
assistance dinstances AD LDS ;
des composants logiciels enfichables MMC (Microsoft Management Console) pour configurer
et grer les instances AD LDS, y compris le schma de chaque instance ;
des outils en ligne de commande spcifiques AD LDS pour grer, peupler et synchroniser
les instances AD LDS.

Outre ces outils, vous pouvez galement utiliser de nombreux outils Active Directory pour administrer
les instances AD LDS.
Le ystme dexploitation Windows Server 2008
supplmentaires rpertories dans le tableau suivant.

propose

les

fonctionnalits

AD LDS

Fonctionnalit
Description
Gnration dInstallation Avec cette fonctionnalit, vous pouvez utiliser un processus
partir du support
Ntdsutil.exe ou Dsdbutil.exe en une tape pour crer un support
dinstallation pour des installations AD LDS ultrieures.
Auditer les modifications Avec cette fonctionnalit, vous pouvez configurer laudit des services
des services AD LDS AD LDS avec une nouvelle sous-catgorie daudit pour journaliser les
(Active
Directory anciennes et nouvelles valeurs lorsque des modifications sont
Lightweight
Directory apportes aux objets et leurs attributs.
Services)
Remarques

Outil dexploration
donnes

Cette fonctionnalit sapplique galement aux services AD

DS. Pour plus dinformations, voir la page concernant laudit
dans les services AD DS

de Avec cette fonctionnalit, vous pouvez afficher des donnes

dannuaire stockes en ligne dans des captures instantanes effectues
diffrents points dans le temps, afin de prendre des dcisions
17

WindowsServer2008

Prise en charge des sites et

services Active Directory

informes quant aux donnes restaurer, sans avoir redmarrer le

serveur.
Avec cette fonctionnalit, vous pouvez utiliser le composant logiciel
enfichable Sites et services Active Directory pour grer la rplication
entre les instances AD LDS. Pour pouvoir utiliser cet outil, vous
devez importer les classes dans MS-ADLDS-DisplaySpecifiers.LDF
afin d'tendre le schma d'un jeu de configuration que vous grez.
Pour vous connecter une instance AD LDS qui hberge votre jeu de
configuration, spcifiez le nom dordinateur et le numro de port dun
serveur qui hberge cette instance AD LDS.
Avec cette fonctionnalit, vous pouvez rendre des fichiers LDIF
personnaliss disponibles pendant linstallation dune instance
AD LDS (en plus des fichiers LDIF par dfaut fournis avec AD LDS)
en ajoutant ces fichiers au rpertoire %systemroot%\ADAM.

Liste
dynamique
de
fichiers LDIF (LDAP Data
Interchange
Format)
pendant
linstallation
dune instance
Requtes rcursives bases Avec cette fonctionnalit, vous pouvez crer une requte LDAP
sur des attributs lis :
unique qui peut suivre des liens dattributs imbriqus. Cela peut se
rvler trs utile pour dterminer lappartenance aux groupes et
lascendance. Pour plus dinformations, voir larticle 914825 de la
Base de connaissances Microsoft

Considrations matrielles et logicielles

Utilisez des compteurs de performance, des tests en laboratoire, des donnes provenant du matriel
existant dans un environnement de production et des dploiements pilotes pour dterminer la capacit
requise pour votre serveur.
Installation des services AD LDS (Active Directory Lightweight Directory Services)

18

WindowsServer2008

Une fois que vous avez fini dinstaller le systme dexploitation, une liste de tches de configuration
initiales saffiche. Pour installer les services AD LDS (Active Directory Lightweight Directory
Services), dans la liste des tches, cliquez sur Ajouter des rles, puis sur Services AD LDS (Active
Directory Lightweight Directory Services).
Aprs avoir ajout le rle de serveur AD LDS votre serveur, vous pouvez crer une instance
AD LDS. Pour crer une instance AD LDS, cliquez sur Dmarrer, pointez sur Outils dadministration,
puis cliquez sur Assistant Installation des services AD LDS.
Gestion dune instance AD LDS
Vous pouvez grer les instances AD LDS laide du composant logiciel enfichable MMC diteur
ADSI. Pour grer une instance AD LDS, cliquez sur Dmarrer, pointez sur Outils dadministration,
puis cliquez sur diteur ADSI.

ServicesADRMS(ActiveDirectoryRightsManagementServices)
Active Directory Rights Management Services (AD RMS) et le client AD RMS permettent de
renforcer la stratgie de scurit dune organisation en protgeant les informations en appliquant en
permanence des stratgies dutilisation aux informations, mme si ces dernires sont dplaces. Vous
pouvez utiliser AD RMS pour renforcer la protection des informations sensibles, telles que les
rapports financiers, les spcifications de produits, les donnes des clients et les messages lectroniques
confidentiels, afin dempcher des personnes non autorises davoir accs ces informations
accidentellement ou non.
Dans les sections suivantes, vous dcouvrirez AD RMS, les fonctionnalits requises et facultatives
dAD RMS ainsi que les logiciels et le matriel utiliss pour lexcution dAD RMS. la fin de cette
19

WindowsServer2008

rubrique, vous apprendrez ouvrir la console dAD RMS et dcouvrirez o trouver des informations
supplmentaires sur AD RMS.
En quoi consistent les services AD RMS (Active Directory Rights Management
Services) ?
Un systme AD RMS se compose dun serveur Windows Server 2008 sur lequel est excut le rle
serveur Active Directory Rights Management Services (AD RMS) qui gre les certificats et les
licences, dun serveur de base de donnes et du client AD RMS. La version la plus rcente du client
AD RMS est intgre au systme dexploitation Windows Vista. Le dploiement dun systme
AD RMS offre aux organisations les avantages suivants :

Protection des informations sensibles. Les applications telles que les traitements de texte, les
clients de messagerie lectronique et les applications cur de mtier peuvent tre actives
pour AD RMS en vue de protger les informations sensibles. Les utilisateurs peuvent choisir
les personnes autorises ouvrir, modifier, imprimer ou transfrer les informations, ou
entreprendre dautres actions lies ces informations. Les organisations peuvent crer des
modles personnaliss de stratgies dutilisation, tels que Confidentiel - Lecture seule ,
pouvant tre appliqus directement aux informations.
Protection permanente. AD RMS vient renforcer les solutions de scurit existantes, telles que
les pare-feu et les listes de contrle daccs, fonctionnant sur la base de primtres de scurit,
afin de mieux protger les informations en verrouillant les droits dutilisation dans le
document lui-mme et en contrlant la manire dont les informations sont utilises, mme
aprs leur ouverture par un destinataire prvu.
Technologie souple et personnalisable. Les diteurs de logiciels indpendants et les
dveloppeurs peuvent activer nimporte quelle application pour AD RMS et permettre
dautres serveurs, tels que les systmes de gestion de contenu ou les serveurs de portail
fonctionnant sous Windows ou sous dautres systmes dexploitation, de fonctionner avec
AD RMS et de contribuer ainsi la protection des informations sensibles. Les diteurs de
logiciels indpendants peuvent intgrer des fonctions de protection des informations leurs
solutions serveur, quil sagisse de solutions de gestion des documents et des enregistrements,
de systmes de passerelle de messagerie lectronique et darchivage, de solutions de
workflows automatiss ou de systmes dinspection de contenu, par exemple.

AD RMS regroupe les fonctions des services RMS (Rights Management Services) de Windows
Server 2003, des outils destins aux dveloppeurs, ainsi que des technologies de scurit standard
(chiffrement, certificats et authentification, entre autres), afin daider les organisations crer des
solutions fiables de protection des informations. Pour permettre le dveloppement de solutions
AD RMS personnalises, un kit de dveloppement logiciel (SDK) AD RMS est disponible.
Fonctions des services AD RMS
Vous pouvez configurer les composants suivants dAD RMS laide du Gestionnaire de serveur :

Services AD RMS (Active Directory Rights Management Services). Le service de rle Active
Directory Rights Management Services (AD RMS) est un service de rle obligatoire qui
installe les composants AD RMS permettant de publier du contenu protg par des droits et
dy accder.
Prise en charge de la fdration des identits. Le service de rle de prise en charge de la
fdration des identits est un service de rle facultatif permettant aux identits fdres
daccder du contenu protg par des droits laide des services de fdration Active
Directory (ADFS, Active Directory Federation Services).

Considrations logicielles et matrielles

20

WindowsServer2008

AD RMS fonctionne sur un ordinateur excutant le systme dexploitation Windows Server 2008.
Lorsque le rle serveur AD RMS est install, les services requis le sont aussi, y compris Internet
Information Services (IIS). AD RMS ncessite galement une base de donnes, telle que Microsoft
SQL Server, qui peut tre excute sur le mme serveur quAD RMS ou sur un serveur distant, ainsi
quune fort des services de domaine Active Directory.
Le tableau suivant indique la configuration matrielle minimale requise et la configuration matrielle
recommande pour lexcution de serveurs Windows Server 2008 avec le rle serveur AD RMS.
Configuration requise
Un processeur Pentium 4, 3 GHz ou suprieur
512 Mo de RAM
40 Go despace libre de disque dur

Configuration recommande
Deux processeurs Pentium 4, 3 GHz ou suprieur
1024 Mo de RAM
80 Go despace libre de disque dur

Pour faciliter le choix du matriel, effectuez des tests en laboratoire, utilisez des donnes provenant
dquipements existants issus dun environnement de production et procdez des dploiements
pilotes afin de dterminer la capacit requise par votre serveur.
Le tableau suivant indique la configuration logicielle requise pour lexcution de serveurs Windows
Server 2008 avec le rle serveur AD RMS. Linstallation du rle serveur AD RMS permet dactiver
des fonctionnalits requises sur le systme dexploitation et de les configurer comme il convient si ce
nest pas dj fait.
Logiciel
Systme
dexploitation
Systme de fichiers
Messagerie
Services Web

Configuration requise
Windows Server 2008, sauf pour Windows Web Server 2008
Le systme de fichiers NTFS est recommand
Message Queuing
Internet Information Services (IIS).

ASP.NET doit tre activ.

Active Directory ou AD RMS doit tre install dans un domaine Active Directory dans lequel
services de domaine les contrleurs de domaine excutent Windows Server 2000 avec Service
Active Directory
Pack 3 (SP3), Windows Server 2003 ou Windows Server 2008. Tous les
utilisateurs et groupes qui utilisent AD RMS pour acqurir des licences et
publier des contenus doivent disposer dune adresse de messagerie
configure dans Active Directory.
Serveur de base de AD RMS requiert un serveur de base de donnes, tel que Microsoft SQL
donnes
Server 2005, ainsi que des procdures stockes pour effectuer certaines
oprations.
Le client activ pour AD RMS doit disposer dun navigateur ou dune application active pour
AD RMS, telle que les versions de Microsoft Word, Outlook ou PowerPoint de Microsoft
Office 2007. Pour crer du contenu protg par des droits, Microsoft Office 2007 Entreprise,
Professionnel Plus ou Intgrale est requis. Pour une scurit renforce, il est possible dintgrer
AD RMS dautres technologies telles que les cartes puce.
Par dfaut, Windows Vista intgre le client AD RMS. Le client RMS doit en revanche tre install sur
les autres systmes dexploitations clients. Le client RMS avec Service Pack 2 (SP2) peut tre
tlcharg sur le Centre de tlchargement Microsoft. Il fonctionne sur les versions du systme
dexploitation client antrieures Windows Vista et Windows Server 2008.

21

WindowsServer2008

Installation dAD RMS

Une fois linstallation du systme dexploitation termine, vous pouvez utiliser les Tches de
configuration initiales ou le Gestionnaire de serveur pour installer des rles de serveur. Pour installer
AD RMS, cliquez sur Ajouter des rles dans la liste des tches, puis activez la case cocher Services
AD RMS (Active Directory Rights Management Services).
Gestion dAD RMS
Les rles de serveur sont grs laide dun composant logiciel enfichable MMC (Microsoft
Management Console). Utilisez la console AD RMS (Active Directory Rights Management Services)
pour grer AD RMS. Pour ouvrir la console AD RMS (Active Directory Rights Management), cliquez
sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Services AD RMS (Active
Directory Rights Management Services.

VIRTUALISATION WINDOWS SERVER

PrsentationdHyperV
Hyper-V vous permet de crer un environnement informatique de serveur virtualis laide dune
technologie faisant partie de Windows Server 2008. Vous pouvez utiliser un environnement
informatique virtualis afin damliorer lefficacit de vos ressources informatiques en utilisant une
plus grande partie de vos ressources matrielles.
Quelle est la fonction dHyper-V ?
Hyper-V fournit une infrastructure logicielle et des outils de gestion de base dans Windows
Server 2008 que vous pouvez utiliser pour crer et grer un environnement informatique de serveur
virtualis. Cet environnement virtualis peut tre utilis afin de raliser diffrents objectifs
professionnels lis lamlioration de lefficacit et la rduction des cots. Un environnement de
serveur virtualis peut par exemple vous aider :

rduire les cots lis lexploitation et la maintenance de serveurs physiques en augmentant

lutilisation de votre matriel. Vous pouvez rduire la quantit de matriel ncessaire pour
excuter vos charges de travail de serveur ;
augmenter lefficacit du dveloppement et des tests en rduisant la dure ncessaire la
configuration du matriel et des logiciels et la reproduction des environnements de test ;
amliorer la disponibilit des serveurs sans utiliser autant dordinateurs physiques que dans
une configuration de basculement qui utilise uniquement des ordinateurs physiques ;
augmenter ou rduire les ressources de serveur suite une volution de la demande.

22

WindowsServer2008

Qui ce rle peut-il intresser ?

Hyper-V peut vous tre utile si vous tes lune des personnes suivantes :

un administrateur, un planificateur ou un concepteur informatique ;

un architecte informatique responsable de la gestion informatique et de la scurit de
lorganisation ;
un responsable des oprations informatiques qui recherche un moyen de rduire le cot total
de proprit de son infrastructure de serveurs, la fois en termes de cots de puissance et de
cots de gestion ;
un dveloppeur ou testeur de logiciels qui recherche un moyen d'augmenter la productivit en
rduisant la dure ncessaire la cration et la configuration dun serveur destin au
dveloppement ou des tests.

Existe-t-il des considrations particulires ?

Hyper-V requiert du matriel spcifique. Vous devrez disposer des lments suivants :

Un processeur x64. Hyper-V sera disponible uniquement dans les versions base de
processeur x64 de Windows Server 2008 plus particulirement les versions base de
processeur x64 de Windows Server 2008, Standard Edition, Windows Server 2008, dition
Entreprise et Windows Server 2008, Datacenter Edition.
Virtualisation dassistance matrielle. Cette virtualisation est disponible avec les processeurs
qui incluent une option de virtualisation ; plus spcifiquement, Intel VT ou AMD
Virtualization (AMD-V, ancien nom de code Pacifica ).

23

WindowsServer2008

La protection matrielle de lexcution des donnes doit tre disponible et active. Plus
spcifiquement, vous devez activer le bit Intel XD (bit de dsactivation dexcution) ou le bit
AMD NX (bit de non-excution).

Quelles sont les principales fonctionnalits dHyper-V ?

Les principales fonctionnalits de Hyper-V sont les suivantes :

virtualisation hyperviseur native 64 bits ;

capacit excuter simultanment des machines virtuelles 32 bits et 64 bits ;
machines virtuelles monoprocesseurs et multiprocesseurs ;
captures instantanes de machines virtuelles, qui capturent l'tat d'une machine virtuelle en
cours d'excution. Les captures instantanes indiquent l'tat du systme, ce qui vous permet de
restaurer la machine virtuelle un tat prcdent ;
prise en charge de grande mmoire de machine virtuelle ;
prise en charge de rseau local virtuel ;
outil de gestion Microsoft Management Console (MMC) 3.0 ;
interfaces WMI (Windows Management Instrumentation) documentes pour lcriture de
scripts et la gestion.
ACCS CENTRALIS AUX APPLICATIONS

ServicesTerminalServer
Que sont les services Terminal Server ?
Le rle de serveur Services Terminal Server dans Windows Server 2008 fournit des technologies qui
permettent aux utilisateurs daccder aux programmes Windows installs sur un serveur Terminal
Server ou daccder au Bureau Windows. Grce aux services Terminal Server, les utilisateurs peuvent
accder un serveur Terminal Server partir dun rseau dentreprise ou dInternet.
Les services Terminal Server vous permettent de dployer et grer efficacement des logiciels dans un
environnement dentreprise. Vous pouvez facilement dployer des programmes partir dun
emplacement centralis. Du fait quils sont installs sur le serveur Terminal Server et non pas sur
lordinateur client, les programmes sont plus faciles mettre niveau et grer.
Lorsquun utilisateur accde un programme sur un serveur Terminal Server, lexcution de ce
programme seffectue sur le serveur. Seules les informations du clavier, de la souris et de laffichage
sont transmises sur le rseau. Chaque utilisateur ne voit que sa propre session. La session est gre de
manire transparente par le systme dexploitation du serveur, indpendamment des sessions des
autres clients.
Pourquoi utiliser des services Terminal Server ?
Le fait de dployer un programme sur un serveur Terminal Server au lieu de le dployer sur chaque
priphrique offre de nombreux avantages, notamment :

Vous pouvez dployer rapidement des programmes Windows sur les priphriques
informatiques dune entreprise. Les services Terminal Server sont trs utiles lorsque des
programmes sont mis jour rgulirement, peu utiliss ou difficiles grer.
Ils peuvent considrablement rduire la quantit de bande passante rseau requise pour
accder des applications distantes.

24

WindowsServer2008

Les services Terminal Server contribuent amliorer la productivit des utilisateurs. Les
utilisateurs peuvent accder des programmes excuts sur un serveur Terminal Server
partir de priphriques, tels que des ordinateurs personnels, des bornes, du matriel de faible
puissance et des systmes dexploitation autres que Windows.
Les services Terminal Server amliorent les performances des programmes pour les employs
de succursales qui ont besoin daccder des magasins de donnes centraliss. Les
programmes utilisant normment de donnes nont parfois pas de protocoles client-serveur
optimiss pour les connexions basse vitesse. Les programmes de ce type fonctionnent
gnralement mieux sur une connexion des services Terminal Server que sur un rseau tendu
(WAN) classique.

Services de rle des services Terminal Server

Services Terminal Server est un rle de serveur qui comprend plusieurs sous-composants, appels
services de rle . Dans Windows Server 2008, les services Terminal Server intgrent les services de
rle suivants :

Terminal Server : Le service de rle Terminal Server permet un serveur dhberger des
programmes Windows ou le Bureau Windows. Les utilisateurs peuvent se connecter un
serveur Terminal Server pour excuter des programmes, enregistrer des fichiers et utiliser des
ressources rseau sur ce serveur.
TS Web Access : LAccs au Web pour les services Terminal Server permet aux utilisateurs
daccder des programmes de lApplication distante et une connexion Bureau distance
vers le serveur Terminal Server via un site Web.
Gestionnaire de licences des services Terminal Server : Le Gestionnaire de licences des
services Terminal Server gre les licences daccs client des services Terminal Server
ncessaires chaque priphrique ou utilisateur pour se connecter un serveur Terminal
25

WindowsServer2008

Server. La Gestion de licences Terminal Server permet dinstaller et doctroyer des licences
daccs client TS et de surveiller leur disponibilit sur un serveur de licences des services
Terminal Server.
Passerelle des services Terminal Server : La Passerelle des services Terminal Server permet
aux utilisateurs distants autoriss de se connecter des ressources sur un rseau dentreprise
interne, partir de tout priphrique reli Internet.
Session Broker TS : Terminal Services Session Broker (TS Session Broker) prend en charge
lquilibrage de la charge des sessions entre les serveurs Terminal Server dune batterie, et les
reconnexions une session existante dans une batterie de serveurs Terminal Server charge
quilibre.

Quest-ce quun serveur Terminal Server ?

Un serveur Terminal Server est le serveur qui hberge les programmes Windows ou le Bureau
Windows pour les clients des services Terminal Server. Les utilisateurs peuvent se connecter un
serveur Terminal Server pour excuter des programmes, enregistrer des fichiers et utiliser des
ressources rseau sur ce serveur. Ils peuvent accder un serveur Terminal Server par le biais dune
connexion Bureau distance ou laide des programmes de lApplication distante.
RemoteApp des services Terminal Server (TS RemoteApp)
Les programmes de lApplication distante sont des programmes accessibles distance par le biais des
services Terminal Server et qui se comportent comme sils taient excuts sur lordinateur local de
lutilisateur final. Les utilisateurs peuvent excuter cte cte des programmes de lApplication
distante et leurs programmes locaux. Si un utilisateur excute plusieurs programmes de lApplication
distante partir du mme serveur Terminal Server, ces programmes partagent la mme session des
services Terminal Server. Cette fonctionnalit conserve les sessions utilisateur et permet dtablir une
connexion plus rapide vers chaque programme supplmentaire de lApplication distante situ sur le
mme serveur.

26

WindowsServer2008

Le Gestionnaire d'application distante TS vous permet de crer des packages Windows Installer
(packages .msi) ou des fichiers .rdp, puis de distribuer ces packages dans votre organisation. Ou, si
vous souhaitez que les utilisateurs accdent des programmes de lApplication distante sur le Web,
vous pouvez les dployer sur un site Web laide de TS Web Access.
Pourquoi utiliser lApplication distante des services TS ?
LApplication distante des services TS peut rduire la complexit des procdures et limiter la charge
administrative dans un grand nombre de situations, notamment :

lorsque des succursales sont limites au niveau du support informatique local et de la bande
passante rseau ;
lorsque des utilisateurs ont besoin daccder des applications distance ;
lors du dploiement dapplications mtier, en particulier les applications mtier
personnalises ;
dans certains environnements, tels que les espaces de travail de type bureaux partags ou
bureaux la carte ;
lors du dploiement de plusieurs versions dune application, notamment si linstallation de
plusieurs versions localement est susceptible de provoquer des conflits.

27

WindowsServer2008

Quest-ce que TS Web Access ?

TS Web Access vous permet de rendre disponibles des programmes de lApplication distante et une
connexion Bureau distance vers le serveur Terminal Server aux utilisateurs partir dun navigateur
Web. laide de TS Web Access, les utilisateurs peuvent visiter un site Web (sur Internet ou un
intranet) pour accder une liste des programmes de lApplication distante disponibles. Lorsque vous
dmarrez un programme de lApplication distante, une session des services Terminal Server dmarre
sur le serveur Terminal Server qui hberge le programme de lApplication distante.
Lorsque vous dployez TS Web Access, vous pouvez spcifier le serveur Terminal Server utiliser en
tant que source de donnes pour renseigner la liste des programmes de lApplication distante qui
saffiche dans la page Web.
Quest-ce que la Gestion de licences Terminal Server ?
La Gestion de licences Terminal Server gre les licences daccs client des services Terminal Server
ncessaires chaque priphrique ou utilisateur pour se connecter un serveur Terminal Server. La
Gestion de licences Terminal Server permet dinstaller et doctroyer des licences daccs client TS et
de surveiller leur disponibilit sur un serveur de licences des services Terminal Server.
Pour utiliser les services Terminal Server, vous devez disposer dau moins un serveur de licences.
Pour les dploiements de petite taille, vous pouvez installer le service de rle Terminal Server et le
service de rle Gestion de licences Terminal Server sur le mme ordinateur. Pour les dploiements
plus importants, il est recommand dinstaller le service de rle Gestion de licences Terminal Server
sur un ordinateur diffrent de celui hbergeant le service de rle Terminal Server.
Vous devez correctement configurer la Gestion de licences Terminal Server pour que votre serveur
Terminal Server continue daccepter les connexions des clients.

28

WindowsServer2008

Quest-ce que la Passerelle des services Terminal Server ?

La Passerelle des services Terminal Server permet aux utilisateurs distants autoriss de se connecter
des ressources sur un rseau dentreprise interne, partir de tout priphrique reli Internet. Ces
ressources rseau peuvent tre des serveurs Terminal Server excutant des applications distantes
[hbergeant des programmes mtier] ou des ordinateurs avec le Bureau distance activ. La Passerelle
des services Terminal Server encapsule le protocole RDP via HTTPS pour tablir une connexion
scurise et chiffre entre les utilisateurs sur Internet et les ressources rseau internes sur lesquelles
sexcutent leurs applications de productivit.
Pourquoi utiliser la Passerelle des services Terminal Server ?
La Passerelle des services Terminal Server prsente les avantages suivants :

La Passerelle des services Terminal Server permet des utilisateurs distants de se connecter
des ressources rseau internes sur Internet laide dune connexion chiffre, sans avoir besoin
de configurer de connexion de rseau priv virtuel (VPN, Virtual Private Network).
La Passerelle des services Terminal Server fournit un modle complet de configuration de la
scurit qui vous permet de contrler laccs des ressources rseau internes spcifiques. La
Passerelle des services Terminal Server fournit une connexion RDP point--point, au lieu
dautoriser des utilisateurs distants accder lensemble des ressources rseau internes.
La Passerelle des services Terminal Server permet des utilisateurs distants de se connecter
des ressources rseau internes hberges derrire des pare-feu sur des rseaux privs et des
traducteurs dadresses rseau (NAT, Network Address Translator). Grce la Passerelle des
services Terminal Server, vous navez pas besoin, dans ce cas, deffectuer des procdures de
configuration supplmentaires pour le serveur ou les clients de la passerelle.
Avant la parution de cette version de Windows Server, des mesures de scurit empchaient
les utilisateurs distants de se connecter des ressources rseau internes via des pare-feu et des
traducteurs NAT. Cela est d au fait que le port 3389, utilis pour les connexions RDP, est
gnralement bloqu des fins de scurisation du rseau. La Passerelle des services Terminal
Server transmet quant elle le trafic RDP vers le port 443, en utilisant un tunnel HTTP
TLS/SSL (Transport Layer Security/Secure Sockets Layer). Comme la plupart des entreprises
ouvrent le port 443 pour activer la connectivit Internet, la Passerelle des services Terminal
Server tire avantage de cette conception de rseau pour fournir des connexions daccs distant
travers plusieurs pare-feu.

Le Gestionnaire des passerelles TS vous permet de configurer des stratgies dautorisation

pour dfinir les conditions que les utilisateurs doivent remplir pour se connecter des
ressources rseau internes. Par exemple, vous pouvez spcifier les lments suivants :
o Les personnes autorises se connecter des ressources internes (autrement dit, les
groupes dutilisateurs autoriss se connecter).
o Les ressources rseau internes (groupe dordinateurs) auxquelles les utilisateurs
peuvent se connecter.
o Lobligation ou non pour les ordinateurs clients dappartenir des groupes de scurit
Active Directory spcifiques.
o Le choix dautoriser ou non la redirection de priphrique et de disque.
o Lobligation pour les clients dutiliser exclusivement lauthentification par carte
puce ou lauthentification par mot de passe, ou lune des deux mthodes
indiffremment.
Vous pouvez configurer des serveurs de Passerelle des services Terminal Server et des clients
des services Terminal Server pour quils utilisent la protection daccs rseau (NAP, Network
Access Protection) pour optimiser la scurit. La protection NAP est une technologie de
cration de stratgie dintgrit, dapplication de lintgrit et de rtablissement de lintgrit
29

WindowsServer2008

fournie dans Windows XP Service Pack 2, Windows Vista et Windows Server 2008. La
protection NAP permet aux administrateurs systme dimposer des spcificits dintgrit, qui
peuvent inclure des impratifs logiciels, des impratifs de mise jour de scurit, des
configurations dordinateur requises et dautres paramtres.
Pour plus dinformations sur la faon de configurer la Passerelle des services Terminal Server
pour quelle utilise la protection NAP des fins dapplication de stratgies dintgrit pour des
clients des services Terminal Server qui se connectent des serveurs de la Passerelle des
services Terminal Server.

Vous pouvez utiliser un serveur de la Passerelle des services Terminal Server avec Microsoft
ISA (Internet Security and Acceleration) Server pour amliorer la scurit. Dans ce cas, vous
pouvez hberger des serveurs de la Passerelle des services Terminal Server sur un rseau priv
plutt que sur un rseau de primtre (galement appel zone dmilitarise et sous-rseau
filtr), ainsi quISA Server sur le rseau de primtre. La connexion SSL (Secure Sockets
Layer) entre le client des services Terminal Server et ISA Server peut tre interrompue au
niveau dISA Server, connect Internet.
Pour plus dinformations sur la faon de configurer ISA Server en tant que priphrique
dinterruption de connexion SSL dans le cas de serveurs de Passerelle des services Terminal
Server,
Le Gestionnaire des passerelles TS fournit des outils pour vous aider surveiller ltat de
connexion, lintgrit et les vnements de la Passerelle des services Terminal Server. Le
Gestionnaire des passerelles TS vous permet de spcifier des vnements (par exemple, les
checs de connexion au serveur de Passerelle des services Terminal Server) que vous
souhaitez surveiller des fins daudit.

Quest-ce que Session Broker TS ?

TS Session Broker effectue le suivi des sessions utilisateur dans une batterie de serveurs Terminal
Server charge quilibre. La base de donnes TS Session Broker stocke des informations dtat qui
incluent les ID de session, les noms dutilisateur associs et le nom du serveur hbergeant chaque
session. Lorsquun utilisateur avec une session existante se connecte un serveur Terminal Server
dans la batterie charge quilibre, TS Session Broker le redirige vers le serveur Terminal Server
hbergeant sa session. Cela vite lutilisateur dtre connect un autre serveur de la batterie et de
dmarrer une nouvelle session.
Si la fonctionnalit dquilibrage de charge de TS Session Broker est active, TS Session Broker suit
galement le nombre de sessions utilisateur sur chaque serveur Terminal Server dans la batterie, et
redirige les utilisateurs qui nont pas de session existante vers le serveur hbergeant le plus petit
nombre de sessions. Cette fonctionnalit vous permet de rpartir quitablement la charge des sessions
entre les serveurs dune batterie de serveurs Terminal Server charge quilibre.

APPLICATION DE LA STRATGIE ET DE LA SCURIT

Lascurit
Les fonctionnalits de scurit disponibles dans Windows Server 2008 permettent dimplmenter et
de grer des lments de scurit essentiels dans votre infrastructure informatique.
30

WindowsServer2008

Consultez les sections suivantes pour en savoir plus sur les fonctionnalits de scurit mises votre
disposition, sur le mode daccs ces dernires et leur utilisation pour grer des aspects spcifiques
lis la scurit globale.
Cette rubrique contient les sections suivantes :
Chaque rle serveur ncessite des configurations de scurit spcifiques, en fonction de votre scnario
de dploiement et des exigences en matire dinfrastructure. La documentation de prise en charge de
chacun des rles serveur contient des informations sur la configuration de la scurit et dautres
considrations relatives la scurit. Vous pouvez afficher la liste complte des rles serveur
disponibles dans le Gestionnaire de serveur. Pour ouvrir le Gestionnaire de serveur, cliquez sur
Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestionnaire de serveur.
Technologies de rduction des menaces et des vulnrabilits
Ces technologies fournissent des dfenses en couche contre les menaces des logiciels malveillants et
les intrusions par le biais dune stratgie de prvention, disolation et de rcupration. Cet ensemble de
technologies propose de la documentation et des ressources pour les produits et les technologies qui
aident protger les clients, les serveurs dapplications et le primtre du rseau contre les
programmes malveillants, tels que les logiciels espions, les rootkits et les virus.
Technologies dvaluation et de gestion dune configuration scurise
Ces technologies sont disponibles pour Windows Server 2008 et permettent dadministrer la scurit
sur le systme local ou dans le cadre dune dfense en couche et de grer les menaces en cours. Pour
plus dinformations sur lvaluation des risques, lanalyse de la configuration de la scurit et dautres
technologies dvaluation et de gestion dune configuration scurise
Gestionnaire dautorisations
Le Gestionnaire dautorisations est un outil de gestion bas sur les rles qui permet de contrler
laccs aux ressources en attribuant des rles aux utilisateurs. Il fournit un emplacement central pour
grer et assurer le suivi des autorisations qui ont t octroyes chacun des rles, et par consquent
pour grer et assurer le suivi de chacun des utilisateurs inclus dans ce rle.
Le tableau suivant contient des informations supplmentaires sur le Gestionnaire dautorisations.
Rubriques
Descriptions
Considrations matrielles et logicielles pour Aucune
le Gestionnaire dautorisations
Installation du Gestionnaire dautorisations
Le Gestionnaire dautorisations est install par dfaut
sur Windows Server 2008.
Gestion de la scurit avec le Gestionnaire Ajoutez
le
composant
logiciel
enfichable
dautorisations
Gestionnaire dautorisations la console MMC.
Audit de scurit
Laudit de scurit permet dassurer le suivi des vnements de scurit sur un ordinateur ou systme
informatique en consignant des vnements spcifiques. Laudit de scurit dans Windows
Server 2008 permet de suivre la cration ou la modification dobjets, vous donne le moyen de dpister
des problmes potentiels de scurit, vous aide grer les comptes des utilisateurs et apporte des
preuves en cas de violation de la scurit.

31

WindowsServer2008

Le tableau suivant contient des informations supplmentaires sur laudit de scurit.

Rubriques
Considrations
matrielles
et
logicielles pour laudit
de scurit

Descriptions
La prise en charge de laudit est disponible sur les ordinateurs fonctionnant
sous Windows Server 2008, Windows Server 2003, Windows 2000 Server,
Windows Vista, Windows XP Professionnel et Windows 2000 Professionnel.

Vous avez la possibilit de spcifier des stratgies daudit dtailles

uniquement sur les ordinateurs fonctionnant sous Windows Server 2008 et
Windows Vista.
Installation de laudit Laudit de scurit est une fonctionnalit intgre de Windows Server 2008,
de scurit
mais vous devez la configurer.
Gestion de laudit des Dans
un
environnement
compos
de
plusieurs
systmes
vnements
de dexploitation Windows, les stratgies daudit dtailles sont gres laide
scurit
de diffrents outils, notamment Auditpol.exe, des scripts, les services de
domaine Active Directory (AD DS) et la Stratgie de groupe. Pour plus
dinformations sur laudit de scurit et les stratgies daudit dtailles,
Vous pouvez grer les tches suivantes laide de lditeur de contrle
daccs :

Dfinir ou modifier les paramtres de la stratgie daudit pour une

catgorie dvnement
Appliquer ou modifier les paramtres de la stratgie daudit pour un
fichier ou un dossier local

Pour dfinir des stratgies daudit sur un ordinateur local et du domaine,

cliquez avec le bouton droit sur lobjet, cliquez sur Proprits, cliquez sur
longlet Scurit, puis cliquez sur longlet Audit.
Assistant Configuration de la scurit
LAssistant Configuration de la scurit dtermine les fonctionnalits minimales ncessaires pour un
ou plusieurs rles serveur et dsactive celles qui ne sont pas utiles.
Vous pouvez excuter lAssistant Configuration de scurit indpendamment ou partir de
Gestionnaire de serveur. Cet Assistant vous guide travers les diffrentes tapes de cration, de
modification, dapplication ou dannulation dune stratgie de scurit base sur les rles slectionns
du serveur. Les stratgies de scurit cres avec lAssistant Configuration de scurit sont des
fichiers .xml qui, lorsquils sont appliqus, configurent les services, la scurit du rseau, des valeurs
de Registre spcifiques et la stratgie daudit.
Le tableau suivant contient des informations supplmentaires sur lAssistant Configuration de scurit.
Rubriques
Considrations matrielles
et
logicielles
pour
lAssistant Configuration
de scurit

Descriptions
Cet Assistant permet de configurer la scurit du serveur.
Toutes les applications qui utilisent le protocole et des ports IP doivent
tre en cours dexcution sur le serveur sur lequel vous excutez
lAssistant Configuration de scurit.
Cet Assistant dsactive les services inutiles et fournit le Pare-feu

32

WindowsServer2008

Windows avec fonctions avances de scurit.

Cet Assistant ninstalle pas (ou ne dsinstalle pas) les composants
ncessaires au serveur pour jouer un rle. Le Gestionnaire de serveur
permet dinstaller des composants spcifiques un rle. Pour ouvrir le
Gestionnaire de serveur, cliquez sur Dmarrer, pointez sur Outils
dadministration, puis cliquez sur Gestionnaire de serveur.
Installation de lAssistant LAssistant Configuration de scurit est une fonctionnalit intgre de
Configuration de scurit
Windows Server 2008.
Gestion de lAssistant Pour excuter lAssistant Configuration de scurit, cliquez sur
Configuration de scurit
Dmarrer, pointez sur Outils dadministration, puis cliquez sur Assistant
Configuration de scurit.

Rfrences
supplmentaires
pour
lAssistant Configuration
de scurit

En outre, vous pouvez utiliser loutil de ligne de commande Scwcmd.

Pour accder lAide (scwhelp.chm) lorsque vous excutez
lAssistant Configuration de scurit, appuyez sur F1.
LAide sur la ligne de commande (/?) est disponible pour loutil
Scwcmd.

Stratgies de restriction logicielle

Les stratgies de restriction logicielle permettent didentifier les logiciels et de contrler leur capacit
sexcuter sur lordinateur local, lunit dorganisation, le domaine ou le site.
Le tableau suivant contient des informations supplmentaires sur les stratgies de restriction logicielle.
Rubriques
Considrations matrielles
et logicielles lors de
lutilisation de stratgies de
restriction logicielle
Installation de stratgies de
restriction logicielle

Descriptions
Aucune

Vous pouvez crer et grer des stratgies de restriction logicielle par

dfaut dans Windows Server 2008. Cependant, pour administrer un
domaine, un site ou une unit dorganisation, vous devez installer la
Console de gestion des stratgies de groupe.
Gestion des stratgies de Sur lordinateur local, cliquez sur Dmarrer, pointez sur Outils
restriction logicielle
dadministration et cliquez sur Stratgie de scurit locale. Dans
larborescence de la console, cliquez sur Stratgies de restriction
logicielle.
Pour un domaine, un site ou une unit dorganisation, lorsque vous tes
sur un serveur membre ou une station de travail jointe un domaine,
cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez
sur Gestion des stratgies de groupe. Slectionnez un objet de stratgie
de groupe dans le domaine, le site ou lunit dorganisation
correspondant. Dans larborescence de la console, cliquez sur Stratgies
de restriction logicielle.

33

WindowsServer2008

Configuration et analyse de la scurit

Le composant logiciel enfichable Configuration et analyse de la scurit permet danalyser et de
configurer la scurit de lordinateur local. Il affiche des recommandations ainsi que les paramtres
actuels du systme et utilise des indicateurs visuels ou des remarques pour indiquer les zones dans
lesquelles les paramtres actuels ne correspondent pas au niveau de scurit propos. Il permet de
rsoudre les incohrences rvles par une analyse et de configurer directement la scurit du systme
local en important des modles de scurit.
Le tableau suivant contient des informations supplmentaires sur le composant logiciel enfichable
Configuration et analyse de la scurit.
Rubriques
Considrations matrielles et logicielles
pour le composant logiciel enfichable
Configuration et analyse de la scurit

Descriptions
Ce composant logiciel enfichable utilise le modle de
scurit actuel comme base de lanalyse. Par
consquent, vous devez installer le modle de scurit
appropri.
Installation
du
composant
logiciel Ce composant logiciel enfichable est install par dfaut
enfichable Configuration et analyse de la sur Windows Server 2008.
scurit
Gestion de la scurit locale avec le Ajoutez le composant logiciel enfichable Configuration
composant
logiciel
enfichable et analyse de la scurit la console MMC.
Configuration et analyse de la scurit
Vous pouvez aussi utiliser loutil de ligne de commande
Secedit pour effectuer certaines tches de gestion.
Technologies de contrle didentit et daccs
Ces technologies fournissent une mthode centrale de gestion des informations didentification visant
autoriser uniquement les utilisateurs lgitimes accder aux priphriques, aux applications et aux
donnes.
Pour obtenir des informations sur la configuration des protocoles dauthentification (Negotiate,
Kerberos, NTLM, Digest, TLS et SSL), louverture de session Windows, les scripts douverture de
session et les fournisseurs dinformations didentification,
Cartes puce
Les cartes puce reprsentent un moyen rsistant aux falsifications et portable permettant doffrir des
solutions de scurit pour des tches telles que lauthentification des clients, la connexion aux
domaines, la signature du code et la scurisation des messages lectroniques.
Le tableau suivant contient des informations supplmentaires sur les cartes puce.
Rubriques
Considrations
matrielles et logicielles
pour les cartes puce
Installation
de
la
technologie des cartes
puce sur Windows

Descriptions
Les cartes puce et les lecteurs de carte puce ncessitent des achats, une
installation et une administration supplmentaires.

La possibilit de configurer Windows Server 2008 en utilisant une carte

puce est intgre par le fournisseur dinformations didentification.
Linstallation du lecteur de carte puce doit tre effectue conformment
aux instructions du fabricant. Lmission dun certificat est ncessaire.
Gestion des cartes La gestion seffectue via linscription des certificats, la stratgie de groupe
34

WindowsServer2008

puce

et les outils de gestion fournis par le fabricant du matriel.

Autorisations et contrle daccs

Le contrle daccs est le processus autorisant des utilisateurs, des groupes et des ordinateurs
accder des objets pour lesquels vous pouvez dfinir des autorisations sur lordinateur ou sur le
rseau.
Le tableau suivant contient des informations supplmentaires sur les autorisations et le contrle
daccs.
Rubriques
Considrations matrielles
et
logicielles
pour
lutilisation du contrle
daccs

Descriptions
Pour administrer les autorisations et le contrle daccs dans le
domaine, vous devez tre un administrateur de domaine. Pour
administrer le contrle daccs sur lordinateur local, vous devez tre
un administrateur sur cet ordinateur ou disposer des droits appropris
sur lobjet.
Installation du contrle Autorisations et contrle daccs sont des composants intgrs
daccs
Windows Server 2008 ; cependant, pour les grer dans le domaine,
vous devez installer et configurer le rle serveur AD DS et la Console
de gestion des stratgies de groupe.
Gestion du contrle daccs Pour grer les autorisations et le contrle daccs dans un domaine,
vous pouvez utiliser les outils dActive Directory et la stratgie de
groupe.
Pour grer les autorisations et le contrle daccs sur lordinateur local,
vous pouvez utiliser Utilisateurs et groupes locaux et lditeur de
stratgie de groupes local.
Chiffrement des lecteurs BitLocker
Le chiffrement des lecteurs BitLocker Windows est une fonctionnalit de protection des donnes
disponible dans Windows Vista Entreprise et Windows Vista dition Intgrale pour les ordinateurs
clients et dans Windows Server 2008. BitLocker amliore la protection des donnes en associant le
chiffrement intgral des lecteurs au contrle dintgrit des composants de dmarrage.
Le tableau suivant contient des informations supplmentaires sur BitLocker.
Rubriques
Considrations
matrielles
logicielles
BitLocker

Descriptions
Configuration requise pour BitLocker :
et
pour

Installation
BitLocker

Un ordinateur fonctionnant sous Windows Vista Entreprise,

Windows Vista dition Intgrale ou Windows Server 2008
Un microprocesseur de module de plateforme scurise (TPM),
version 2.2 ou un priphrique USB amovible et scuris
Un BIOS TCG (Trusted Computing Group)
Deux partitions de lecteur NTFS, une pour le volume du systme et
une pour le volume hbergeant le systme dexploitation
Un paramtre de BIOS qui dmarre tout dabord lordinateur partir
du lecteur de disque dur et non pas des lecteurs USB ou de CD

de Pour installer BitLocker, excutez lAssistant Ajout de composant dans le

Gestionnaire de serveur. Pour ouvrir le Gestionnaire de serveur, cliquez sur
Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestionnaire
35

WindowsServer2008

Gestion de BitLocker

de serveur. Un redmarrage est ncessaire pour terminer linstallation.

Avec le module de plateforme scurise, ajoutez le composant logiciel
enfichable Gestion du module de plateforme scurise la console MMC.
Sans le module de plateforme scurise, une cl de dmarrage USB
amovible est ncessaire.

Gestion du module de plateforme scurise

Les services de module de plateforme scurise constituent un nouvel ensemble de fonctionnalits
dans Windows Vista et Windows Server 2008, utilis pour administrer les composants matriels
ddis la scurit du module de plateforme scurise de votre ordinateur. Larchitecture des services
de module de plateforme scurise fournit linfrastructure pour la scurit matrielle, en permettant
laccs au module de plateforme scurise ainsi que le partage au niveau applicatif. La console
Gestion du module de plateforme scurise est un composant logiciel enfichable MMC (Microsoft
Management Console) qui permet aux administrateurs dinteragir avec les services du module de
plateforme scurise.
Le tableau suivant contient des informations supplmentaires sur la gestion du module de plateforme
scurise.
Rubriques
Descriptions
Considrations matrielles et logicielles Configuration requise pour le module de plateforme
pour le module de plateforme scurise scurise :

Installation du composant logiciel

enfichable Gestion du module de
plateforme scurise
Gestion du module de plateforme
scurise

Un microprocesseur de module de plateforme

scurise fonctionnel, version 1.2
Un BIOS TCG (Trusted Computing Group)
fonctionnel

Si votre ordinateur est dot dun microprocesseur de

module de plateforme scurise, aucune installation
supplmentaire nest ncessaire.
Ajoutez le composant logiciel enfichable Gestion du
module de plateforme scurise la console MMC.

Systme de fichiers EFS

Le systme de fichiers EFS est une technologie de chiffrement de fichier importante utilise pour
stocker des fichiers chiffrs sur des volumes du systme de fichiers NTFS. Intgr au systme de
fichiers, il est simple grer, difficile attaquer et transparent pour lutilisateur. Il est particulirement
utile pour protger les donnes sur des ordinateurs qui peuvent tre vulnrables laccs par dautres
utilisateurs. Une fois quun fichier ou dossier est chiffr, vous lutilisez de la mme faon que les
autres fichiers et dossiers.
Le tableau suivant contient des informations supplmentaires sur le systme de fichiers EFS.
Rubriques
Considrations
matrielles et logicielles
pour lutilisation du
systme de fichiers EFS

Descriptions
Vous pouvez uniquement chiffrer des fichiers et des dossiers sur les
volumes du systme de fichiers EFS.
Des fichiers ou des dossiers compresss ne peuvent pas non plus tre
chiffrs. Si vous chiffrez un fichier ou un dossier compress, celui-ci sera
36

WindowsServer2008

dcompress.
Il nest pas possible de chiffrer des fichiers portant lattribut Systme ou
des fichiers placs dans le dossier systemroot.
Vous pouvez utiliser des cartes puce pour conserver les cls EFS qui
doivent tre appliques via la Stratgie de groupe.
Installation du systme Le systme de fichiers EFS est install par dfaut avec Windows
de fichiers EFS
Server 2008.
Gestion du systme de Vous pouvez grer le systme de fichiers EFS via la Stratgie de groupe
fichiers EFS
ou laide de lAssistant Systme de fichiers EFS.

Pour afficher les stratgies EFS dfinies, ouvrez Stratgies de

scurit locales (secpol.msc) et accdez Paramtres de
scurit\Stratgies de cl publique\Systme de fichiers
EFS\Proprits.
Pour dmarrer lAssistant Systme de fichiers EFS : Dans le
Panneau de configuration, double-cliquez sur Comptes
dutilisateurs. Sous Tches, cliquez sur Grer vos certificats de
chiffrement de fichier.

Pour utiliser le systme de fichiers EFS, ouvrez lExplorateur Windows et

cliquez avec le bouton droit sur le fichier ou le dossier chiffrer. Cliquez
sur Proprits. Dans longlet Gnral, cliquez sur Avanc. Activez la case
cocher Chiffrer le contenu pour scuriser les donnes, puis cliquez sur
OK. Des options de chiffrement supplmentaires sont disponibles.
Vous pouvez aussi utiliser loutil de ligne de commande Cipher pour
afficher ou modifier le chiffrement des dossiers et des fichiers sur les
partitions NTFS.

Services de stratgie et daccs rseau

Les services de stratgie et daccs rseau fournissent les solutions de connectivit rseau suivantes :

Protection daccs rseau (NAP). La protection daccs rseau (NAP, Network Access
Protection) est une technologie de cration de stratgie de contrle dintgrit, dapplication
de lintgrit et de rtablissement de lintgrit du client fournie avec le systme dexploitation
client Windows Vista et le systme dexploitation Windows Server 2008. La protection
daccs rseau (NAP) permet aux administrateurs dtablir et dappliquer automatiquement
des stratgies de contrle dintgrit, qui peuvent inclure des impratifs logiciels, des
impratifs de mise jour de scurit, des configurations dordinateur requises et dautres
paramtres. Les ordinateurs clients qui ne sont pas conformes la stratgie de contrle
dintgrit peuvent recevoir un accs rseau limit jusqu ce que leur configuration soit mise
jour ou mise en conformit avec la stratgie. Selon la manire dont vous choisissez de
dployer la protection daccs rseau, les clients non conformes peuvent tre mis jour
automatiquement de sorte que les utilisateurs puissent obtenir de nouveau un accs complet au
rseau sans avoir mettre jour ou reconfigurer manuellement leur ordinateur.
Accs scuris cbl et sans fil. Lorsque vous dployez des points daccs sans fil 802.1X,
laccs sans fil scuris fournit aux utilisateurs sans fil une mthode dauthentification par mot
de passe scuris facile dployer. Lorsque vous dployez des commutateurs
dauthentification 802.1X, laccs cbl vous permet de scuriser votre rseau en veillant ce
37

WindowsServer2008

que les utilisateurs intranet soient authentifis avant quils ne puissent se connecter au rseau
ou obtenir une adresse IP laide du protocole DHCP.
Solutions daccs distance. Les solutions daccs distance vous permettent de fournir aux
utilisateurs un rseau priv virtuel (VPN) et un accs distance classique au rseau de votre
organisation. Vous pouvez galement connecter des succursales votre rseau laide de
solutions VPN, dployer des routeurs logiciels complets sur votre rseau et partager des
connexions Internet sur lintranet.
Gestion de stratgie de rseau centralise laide dun serveur et dun proxy RADIUS. Au
lieu de configurer une stratgie daccs rseau au niveau de chaque serveur daccs rseau, tel
que des points daccs sans fil, des commutateurs dauthentification 802.1X, des serveurs
VPN et des serveurs daccs distance, vous pouvez utiliser un mme emplacement pour
crer des stratgies qui spcifient tous les aspects des demandes de connexion rseau, y
compris lidentit des utilisateurs autoriss se connecter, le moment o ils peuvent se
connecter et le niveau de scurit requis pour se connecter votre rseau.

Services de rle pour les services de stratgie et daccs rseau

Lorsque vous installez des services de stratgie et daccs rseau, les services de rle suivants sont
disponibles :

Serveur de stratgie rseau (NPS). Le serveur NPS (Network Policy Server) est
limplmentation Microsoft dun serveur et dun proxy RADIUS. Le serveur NPS vous
permet de grer de manire centralise les accs au rseau laide de diffrents serveurs
daccs rseau, y compris des points daccs sans fil, des serveurs VPN, des serveurs daccs
distance et des commutateurs dauthentification 802.1X. Par ailleurs, le serveur NPS permet
de dployer lauthentification par mot de passe scuris laide du protocole PEAP (Protected
Extensible Authentication Protocol)-MS-CHAP v2 pour les connexions sans fil. Le serveur
NPS contient des lments cls pour dployer la protection daccs rseau (NAP) sur votre
rseau.
Les technologies suivantes peuvent tre dployes aprs linstallation du service de rle NPS :
o

Serveur de stratgie de contrle dintgrit NAP. Lorsque vous configurez le serveur

NPS en tant que serveur de stratgie de contrle dintgrit NAP, il value les
dclarations dintgrit (SoH) envoyes par les ordinateurs clients compatibles avec la
protection daccs rseau (NAP) qui souhaitent communiquer sur le rseau. Vous
pouvez configurer des stratgies NAP sur le serveur NPS qui permettent des
ordinateurs clients de mettre jour leur configuration pour devenir compatibles avec
la stratgie rseau de votre organisation.
Connexion sans fil IEEE 802.11. Le composant logiciel enfichable MMC NPS vous
permet de configurer des stratgies de demande de connexion 802.1X pour laccs au
rseau client sans fil IEEE 802.11. Vous pouvez galement configurer des points
daccs sans fil en tant que clients RADIUS (Remote Authentication Dial-In User
Service) dans NPS, et utiliser NPS en tant que serveur RADIUS pour traiter les
demandes de connexion, ainsi que pour effectuer les processus dauthentification,
dautorisation et de gestion des comptes pour les connexions sans fil 802.11. Vous
pouvez entirement intgrer laccs sans fil IEEE 802.11 la protection daccs
rseau (NAP) lorsque vous dployez une infrastructure dauthentification 802.1X sans
fil afin que ltat dintgrit des clients sans fil soit vrifi par rapport la stratgie de
contrle dintgrit avant que les clients ne soient autoriss se connecter au rseau.
Connexion cble IEEE 802.3. Le composant logiciel enfichable MMC NPS vous
permet de configurer des stratgies de demande de connexion 802.1X pour laccs au
rseau Ethernet client cbl IEEE 802.3. Vous pouvez galement configurer des
commutateurs compatibles 802.1X en tant que clients RADIUS dans NPS, et utiliser
38

WindowsServer2008

NPS en tant que serveur RADIUS pour traiter les demandes de connexion, ainsi que
pour effectuer les processus dauthentification, dautorisation et de gestion des
comptes pour les connexions Ethernet 802.3. Vous pouvez entirement intgrer
laccs client cbl IEEE 802.3 la protection daccs rseau (NAP) lorsque vous
dployez une infrastructure dauthentification cble 802.1X.
o Serveur RADIUS. Le serveur NPS effectue de faon centralise les processus
dauthentification, dautorisation et de gestion des comptes pour les connexions sans
fil, par commutateur dauthentification, par accs distance et VPN. Lorsque vous
utilisez NPS en tant que serveur RADIUS, vous configurez des serveurs daccs
rseau, tels que des points daccs sans fil et des serveurs VPN, en tant que clients
RADIUS dans NPS. Vous configurez galement des stratgies rseau que NPS utilise
pour autoriser les demandes de connexion, et vous pouvez configurer la gestion de
comptes RADIUS de manire ce que NPS enregistre les informations de gestion
dans des fichiers journaux sur le disque dur local ou dans une base de donnes
Microsoft SQL Server.
o Proxy RADIUS. Lorsque vous utilisez NPS en tant que proxy RADIUS, vous
configurez des stratgies de demande de connexion qui indiquent au serveur NPS les
demandes de connexion transmettre et les serveurs RADIUS auxquels vous
souhaitez transmettre ces demandes. Vous pouvez galement configurer le serveur
NPS pour quil transfre les donnes de gestion qui doivent tre enregistres par un ou
plusieurs ordinateurs dans un groupe de serveurs RADIUS distants.
Routage et accs distance. Le service Routage et accs distance vous permet de dployer
des services VPN et daccs rseau distance et le multi-protocole LAN-to-LAN, LAN-toWAN, les rseaux privs virtuels (VPN) et les services de routage de traduction dadresse
rseau (NAT).
Les technologies suivantes peuvent tre dployes lors de linstallation du service de rle
Routage et accs distance :
o

Service daccs distance. Le service Routage et accs distance vous permet de

dployer des connexions VPN PPTP (Point-to-Point Tunneling Protocol), SSTP
(Secure Socket Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol) avec
IPsec (Internet Protocol security) pour fournir lutilisateur final un accs distance
au rseau de votre organisation. Vous pouvez galement crer une connexion VPN de
site site entre deux serveurs situs diffrents emplacements. Chaque serveur est
configur laide du service Routage et accs distance pour envoyer des donnes
prives de manire scurise. La connexion entre les deux serveurs peut tre
permanente (toujours active) ou sur demande (connexion la demande).
Laccs distance fournit galement laccs distance classique pour prendre en
charge les utilisateurs distants ou domicile qui se connectent aux intranets des
organisations. Lquipement daccs distance install sur le serveur excutant le
service Routage et accs distance rpond aux demandes de connexion entrantes des
clients daccs rseau distance. Le serveur daccs distance rpond lappel,
authentifie et autorise lappelant et transfre les donnes entre le client daccs rseau
distance et lintranet de lorganisation.

Routage. Le routage fournit un routeur logiciel complet et une plateforme ouverte

pour le routage et linterconnexion. Il offre des services de routage aux entreprises
situes dans des environnements de rseau local (LAN, Local Area Network) et de
rseau tendu (WAN, Wide Area Network).
Lorsque vous dployez le traducteur dadresses rseau (NAT), le serveur Routage et
accs distance est configur de faon partager une connexion Internet avec des
39

WindowsServer2008

ordinateurs sur le rseau priv et traduire le trafic entre son adresse publique et le
rseau priv. La traduction dadresses rseau procure aux ordinateurs du rseau priv
une mesure de protection car le routeur configur avec NAT ne transfre pas le trafic
Internet vers le rseau priv moins quun client du rseau priv ne lait demand ou
que le trafic nait fait lobjet dune autorisation explicite.
Si vous dployez VPN et NAT, le serveur Routage et accs distance est configur de
faon fournir la traduction NAT au rseau priv et accepter les connexions VPN.
Les ordinateurs sur Internet ne seront pas en mesure de dterminer les adresses IP des
ordinateurs sur le rseau priv. Toutefois, les clients VPN pourront se connecter aux
ordinateurs du rseau priv comme sils taient connects physiquement au mme
rseau.

Autorit HRA (Health Registration Authority). LAutorit HRA (Health Registration

Authority) est un composant NAP qui met des certificats dintgrit aux clients qui passent la
vrification de stratgie de contrle dintgrit excute par le serveur NPS laide des
dclarations dintgrit (SoH) des clients. LAutorit HRA (Health Registration Authority)
sutilise uniquement avec la mthode dapplication IPsec NAP.
HCAP (Host Credential Authorization Protocol). Le protocole HCAP vous permet dintgrer
votre solution de protection daccs rseau (NAP) Microsoft au serveur de contrle daccs
rseau Cisco. Lorsque vous dployez le protocole HCAP avec le serveur NPS et la protection
daccs rseau (NAP), le serveur NPS peut prendre en charge lvaluation de lintgrit des
clients et lautorisation des clients daccs 802.1X Cisco.

Gestion du rle de serveur Services de stratgie et daccs rseau

Les outils suivants sont fournis pour grer le rle de serveur Services de stratgie et daccs rseau :

Composant logiciel enfichable MMC NPS. Le composant logiciel enfichable MMC NPS
permet de configurer un serveur RADIUS, un proxy RADIUS ou la technologie NAP.
Commandes Netsh pour NPS. Les commandes Netsh pour NPS fournissent un jeu de
commandes en tout point quivalent aux paramtres de configuration disponibles via le
composant logiciel enfichable MMC NPS. Les commandes Netsh peuvent tre excutes
manuellement linvite Netsh ou dans des scripts dadministrateur.
Composant logiciel enfichable MMC HRA. Le composant logiciel enfichable MMC HRA
permet de dsigner lautorit de certification utilise par lautorit HRA pour obtenir des
certificats dintgrit pour les ordinateurs clients et dfinir le serveur NPS auquel lautorit
HRA envoie les dclarations dintgrit (SoH) des clients afin quelles soient vrifies par
rapport la stratgie de contrle dintgrit.
Commandes Netsh pour HRA. Les commandes Netsh pour HRA fournissent un jeu de
commandes en tout point quivalent aux paramtres de configuration disponibles via le
composant logiciel enfichable MMC HRA. Les commandes Netsh peuvent tre excutes
manuellement linvite Netsh ou dans des scripts crs par les administrateurs.
Composant logiciel enfichable MMC Gestion des clients NAP. Le composant logiciel
enfichable MMC Gestion des clients NAP permet de configurer des paramtres de scurit et
des paramtres dinterface utilisateur sur des ordinateurs clients qui prennent en charge
larchitecture NAP.
Commandes Netsh pour la configuration des paramtres du client NAP. Les commandes
Netsh pour les paramtres du client NAP fournissent un jeu de commandes en tout point
quivalent aux paramtres de configuration disponibles via le composant logiciel enfichable
Gestion des clients NAP. Les commandes Netsh peuvent tre excutes manuellement
linvite Netsh ou dans des scripts crs par les administrateurs.
Composant logiciel enfichable MMC Routage et accs distance. Ce composant logiciel
enfichable MMC permet de configurer un serveur VPN, une serveur daccs rseau distance,
40

WindowsServer2008

un routeur, la traduction dadresses rseau (NAT), des rseaux privs virtuels (VPN) et la
traduction dadresses rseau (NAT) ou une connexion de site site VPN.
Commandes Netsh pour laccs distance. Les commandes Netsh pour laccs distance
fournissent un jeu de commandes en tout point quivalent aux paramtres de configuration
daccs distance disponibles via le composant logiciel enfichable MMC Routage et accs
distance. Les commandes Netsh peuvent tre excutes manuellement linvite Netsh ou dans
des scripts dadministrateur.
Commandes Netsh pour le routage. Les commandes Netsh pour le routage fournissent un jeu
de commandes en tout point quivalent aux paramtres de configuration de routage
disponibles via le composant logiciel enfichable MMC Routage et accs distance. Les
commandes Netsh peuvent tre excutes manuellement linvite Netsh ou dans des scripts
dadministrateur.
Stratgies de rseau sans fil (IEEE 802.11) - Console de gestion des stratgies de groupe
(GPMC). Lextension Stratgies de rseau sans fil (IEEE 802.11) automatise la configuration
des paramtres rseau sans fil sur les ordinateurs dots de pilotes de carte rseau sans fil qui
prennent en charge le service de configuration automatique LAN sans fil (service de
configuration automatique WLAN). Vous pouvez utiliser lextension Stratgies de rseau sans
fil (IEEE 802.11) dans la console de gestion des stratgies de groupe pour spcifier les
paramtres de configuration des clients sans fil Windows XP et/ou Windows Vista. Les
extensions de stratgie de groupe Stratgies de rseau sans fil (IEEE 802.11) incluent des
paramtres sans fil globaux, la liste des rseaux favoris, des paramtres WPA (Wi-Fi Protected
Access) et des paramtres IEEE 802.1X.
Une fois configurs, les paramtres sont tlchargs sur les clients sans fil Windows membres
du domaine. Les paramtres sans fil configurs par cette stratgie font partie de la stratgie de
groupe Configuration de lordinateur. Par dfaut, les stratgies de rseau sans fil (IEEE
802.11) ne sont pas configures ni actives.

Commandes Netsh pour le rseau local sans fil (WLAN). Vous pouvez utiliser la commandes
Netsh WLAN au lieu de la stratgie de groupe pour configurer des paramtres de connectivit
et de scurit sans fil Windows Vista. Les commandes Netsh wlan vous permettent de
configurer lordinateur local ou plusieurs ordinateurs laide dun script douverture de
session. Vous pouvez galement utiliser les commandes Netsh wlan pour afficher les
paramtres de stratgie de groupe sans fil et administrer les paramtres WISP (Wireless
Internet Service Provider) et les paramtres utilisateur sans fil.
Linterface Netsh sans fil offre les avantages suivants :
Prise en charge du mode mixte : Permet aux administrateurs de configurer des clients
pour quils prennent en charge plusieurs options de scurit. Par exemple, un client
peut tre configur pour prendre en charge les standards dauthentification WPA2 et
WPA. Le client peut ainsi utiliser WPA2 pour se connecter des rseaux qui prennent
en charge le standard WPA2 et WPA pour se connecter des rseaux qui prennent
uniquement en charge le standard WPA.
o Blocage des rseaux indsirables : Les administrateurs peuvent bloquer des rseaux
sans fil nappartenant pas lentreprise et masquer leur accs en ajoutant des rseaux
ou des types de rseaux la liste des rseaux refuss. De la mme manire, les
administrateurs peuvent autoriser laccs des rseaux sans fil dentreprise.
Stratgies de rseau cbl (IEEE 802.3) - Console de gestion des stratgies de groupe
(GPMC). Les stratgies de rseau cbl (IEEE 802.3) permettent de spcifier et de modifier
les paramtres de configuration des clients Windows Vista quips de cartes et de pilotes
rseau qui prennent en charge le service de configuration automatique de rseau cbl. Les
extensions de stratgie de groupe Stratgies de rseau sans fil (IEEE 802.11) incluent des
o

41

WindowsServer2008

paramtres de rseau cbl globaux et IEEE 802.1X. Ces paramtres incluent lensemble des
lments de configuration cbls associs aux onglets Gnral et Scurit.
Une fois configurs, les paramtres sont tlchargs sur les clients sans fil Windows membres
du domaine. Les paramtres sans fil configurs par cette stratgie font partie de la stratgie de
groupe Configuration de lordinateur. Par dfaut, les stratgies de rseau cbl (IEEE 802.3)
ne sont pas configures ni actives.

Commandes Netsh pour le rseau local (LAN) cbl. Vous pouvez utiliser linterface Netsh
LAN au lieu de la stratgie de groupe dans Windows Server 2008 pour configurer des
paramtres de connectivit et de scurit de rseau cbl Windows Vista. Vous pouvez utiliser
la commande Netsh LAN pour configurer lordinateur local, ou les commandes dans des
scripts douverture de session pour configurer plusieurs ordinateurs. Les commandes Netsh
lan permettent galement dafficher les stratgies de rseau cbl (IEEE 802.3) et
dadministrer les paramtres de rseau cbl 1x client.

Lestechnologiesrseaux
Microsoft Windows Server 2008 offre une large gamme de technologies en rponse aux besoins
complexes des environnements de connexion actuels. Les technologies rseau de Windows
Server 2008 sont conues pour prendre en charge tous les types dentreprises, des petites
configurations rseau entre agences aux solutions pour grandes entreprises.
Cette rubrique contient les vues densemble suivantes :

TCP/IP
Routage
Accs distance
Surveillance rseau
Accs et scurit du rseau

Le protocole TCP/IP
Le protocole TCP/IP est une suite de protocoles normaliss prenant en charge les communications sur
les rseaux dentreprise et Internet. Deux versions du protocole TCP/IP sont prises en charge par
Windows Server 2008 :
IPv4
IPv4 est une suite de protocoles et de normes base sur la spcification IP dorigine dcrite dans le
document RFC 791, au sein de la base de donnes RFC de lIETF ; lutilisation de cette suite est
largement rpandue aujourdhui sur Internet et sur les rseaux privs. IPv4 dispose dun espace
dadresses dont la taille samenuise progressivement avec lextension dInternet. Laugmentation du
nombre dadresses IP et la prise en charge des nouvelles technologies rseau sont des facteurs qui
encouragent ladoption de la suite de protocoles et de normes IPv6.
IPv6
IPv6 est une suite de protocoles et de normes qui prend en charge un espace dadresses beaucoup plus
important que la suite IPv4. IPv6 fournit des adresses IP sources et de destination codes sur 128 bits
(16 octets). En revanche, IPv4 fournit des adresses IP sources et de destination codes sur 32 bits
(4 octets). IPv6 bnficie de nombreuses autres amliorations en matire de scurit et defficacit.

42

WindowsServer2008

Routage
Les technologies de routage grent le flux de donnes entre les segments de rseau, galement appels
sous-rseaux. Ces technologies de routage sont les suivantes :

Routage monodiffusion
Routage multidiffusion

Routage monodiffusion
Ce type de routage transmet le trafic destin un emplacement unique sur un rseau, entre un hte
source et un hte de destination, laide de routeurs. De nos jours, la majorit du trafic rseau mondial
seffectue sur des rseaux IPv4 (Internet Protocol version 4), et la plus grande partie du trafic gnr
par les utilisateurs sur les rseaux IPv4 est de type monodiffusion. Le routage IP monodiffusion
seffectue sur tous les rseaux IP connects par des routeurs.
Routage multidiffusion
La multidiffusion (ou mission multiple) est lenvoi du trafic rseau un groupe de points de
terminaison. Seuls les membres du groupe de points de terminaison lcoute du trafic de
multidiffusion (groupe de multidiffusion) traitent le trafic de multidiffusion. Tous les autres nuds
ignorent le trafic de multidiffusion.
Le concept dappartenance aux groupes est essentiel dans lmission multiple en protocole Internet.
Des datagrammes de multidiffusion IP sont envoys un groupe ; seuls les membres du groupe
peuvent recevoir ces datagrammes. Un groupe est identifi par une adresse de multidiffusion IP
unique, qui est une adresse IP de classe D, dont la plage est comprise entre 224.0.0.0
et 239.255.255.255 (reprsente sous la forme 224.0.0.0/4 dans la notation CIDR (Classless
Interdomain Routing)). Ces adresses de classe D sont appeles adresses de groupes. Un hte source
envoie des datagrammes de multidiffusion une adresse de groupe. Les htes de destination informent
un routeur local quils doivent joindre le groupe.
Vue densemble de laccs distance
La fonctionnalit daccs distance contient des informations sur la prise en charge par Windows
Server 2008 des solutions daccs distance, notamment :

Rseau priv virtuel (VPN)

Accs distance
Telnet

Rseaux privs virtuels (VPN)

Les rseaux privs virtuels (VPN) sont des connexions point point sur un rseau priv ou public, par
exemple Internet. Un client VPN utilise des protocoles TCP/IP spciaux, appels protocoles de
tunneling, pour envoyer un appel virtuel vers un port virtuel sur un serveur VPN. Dans un dploiement
VPN classique, un client entame une connexion point point virtuelle avec un serveur daccs
distance via Internet. Le serveur daccs distance rpond lappel, authentifie lappelant, puis
transfre les donnes entre le client VPN et le rseau priv de lorganisation.
Pour muler une liaison point point, les donnes sont encapsules avec un en-tte. Len-tte fournit
des informations de routage qui permettent aux donnes de traverser le rseau public ou partag pour
atteindre leur point de terminaison. Pour muler une liaison prive, les donnes envoyes sont
43

WindowsServer2008

chiffres par souci de confidentialit. Les paquets intercepts sur le rseau public ou partag ne sont
pas dchiffrables sans les cls de chiffrement. La liaison dans laquelle les donnes prives sont
encapsules et chiffres se nomme une connexion VPN.
Accs distance
Laccs distance permet des clients daccs distance de se connecter un rseau. Les clients
daccs distance utilisent linfrastructure disponible en matire de tlcommunications pour crer un
circuit physique ou virtuel temporaire vers un port situ sur un serveur daccs distance connect
un rseau. Une fois la connexion tablie entre le client daccs distance et le serveur daccs
distance, le serveur daccs distance transfre les paquets entre le client daccs distance et le
rseau.
Telnet
Telnet est un protocole qui permet les connexions distance entre un client daccs distance et un
hte. Vous pouvez utiliser une invite de commandes locale sur un client daccs distance pour
excuter des programmes de ligne de commande, des commandes dinterprteur de commandes, ainsi
que des scripts, dans une session de console de commandes distance.
la surveillance rseau
La fonctionnalit de surveillance rseau contient des informations sur les services de surveillance
rseau pris en charge par Windows Server 2008. Ces services sont les suivants :

Protocole SNMP (Simple Network Management Protocol)

QoS (Qualit de service) base sur la stratgie

Protocole SNMP (Simple Network Management Protocol)

Le protocole SNMP (Simple Network Management Protocol) reprsente une infrastructure et un
protocole de gestion rseau largement utiliss dans les rseaux TCP/IP pour effectuer des tches
distance telles que la surveillance, la configuration et le dpannage des ressources rseau partir dun
systme de gestion SNMP situ un emplacement central.
Qualit de service (QoS) base sur la stratgie
La qualit de service (QoS) est un ensemble dexigences en matire de service auxquelles un rseau
doit rpondre pour garantir un niveau de service adquat lors dune transmission de donnes. QoS
permet aux programmes en temps rel de tirer le meilleur parti de lutilisation de la bande passante
rseau.
laccs et de la scurit du rseau
La fonctionnalit daccs rseau prend en charge les solutions scurises daccs au rseau,
notamment :

Connexions authentifies cbles ou sans fil 802.1X

Connection Manager
Pare-feu Windows avec scurit avance

44

WindowsServer2008

Connexions cbles ou sans fil bases sur lauthentification 802.1X

La norme IEEE (Institute of Electrical and Electronics Engineers) 802.1X, dfinit laccs authentifi
pour les connexions Ethernet cbles (IEEE 802.3) et sans fil (IEEE 802.11). Pour les connexions sans
fil, lensemble de normes IEEE 802.11 permet lextension dun rseau local cbl dinclure des
clients mobiles, sans fil. Lauthentification 802.1X des connexions Ethernet cbles (802.3) et sans fil
(802.11) empche les utilisateurs et ordinateurs non authentifis et non autoriss de se connecter
votre rseau. Laccs bas sur lauthentification 802.1X repose sur des commutateurs Ethernet
compatibles 802.1X et des points daccs sans fil compatibles 802.1X pour fournir un contrle daccs
rseau bas sur les ports afin dempcher les utilisateurs et ordinateurs non authentifis et non
autoriss daccder aux ressources rseau et denvoyer des paquets sur le rseau. En matire de
scurit des connexions sans fil, les rseaux sans fil 802.11 utilisent la norme dauthentification
IEEE 802.1X, ainsi que la norme WPA2 (Wi-Fi Protected Access version 2) ou WPA pour le
chiffrement.
Windows Server 2008 fournit les fonctionnalits utilisables avec les commutateurs Ethernet et les
points daccs sans fil compatibles 802.1X pour assurer la prise en charge complte du dploiement et
de la gestion des infrastructures rseau bases sur lauthentification 802.1X. Vous pouvez utiliser les
fonctionnalits de Windows Server 2008 avec des commutateurs compatibles 802.1X afin de fournir et
de grer un accs Ethernet cbl bas sur lauthentification 802.1X pour des ordinateurs excutant
Windows Vista et Windows Server 2008. Vous pouvez utiliser conjointement les fonctionnalits de
Windows Server 2008 et des points daccs sans fil compatibles 802.1X afin de fournir et de grer un
accs sans fil IEEE 802.11 bas sur lauthentification 802.1X pour des ordinateurs excutant
Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008.
Connection Manager
Permet aux administrateurs de crer des connexions ayant une interface utilisateur cohrente sur tous
les systmes dexploitation Windows, dutiliser des protocoles dauthentification spcifiques, de
contrler les programmes requis, de vrifier les paramtres de Registre, de mettre jour les fichiers et
les annuaires tlphoniques, ou deffectuer plusieurs combinaisons possibles de ces tches. Le Kit
dadministration de Microsoft Connection Manager disponible dans Windows Vista et Windows
Server 2008 offre de nombreux avantages par rapport la cration manuelle de connexions.
Pare-feu Windows avec scurit avance
Le Pare-feu Windows avec scurit avance associe un pare-feu hte la scurit du protocole
Internet (IPsec). la diffrence dun pare-feu de primtre, le Pare-feu Windows avec scurit
avance sexcute sur chaque ordinateur quip de Microsoft Windows Vista ou Windows
Server 2008, et fournit une protection locale contre les attaques rseau susceptibles de franchir le
rseau de primtre ou de se dclencher au sein de votre organisation. Il fournit galement une scurit
de connexion dordinateur ordinateur qui vous permet dimposer lauthentification et la protection
des donnes pour toutes les communications.
PLATE-FORME WEB ET D'APPLICATIONS

ServeursWeb

45

WindowsServer2008

Le rle de serveur Web dans Windows Server 2008 vous permet de partager des informations avec
des utilisateurs sur Internet, sur un intranet ou un extranet. Windows Server 2008 met votre
disposition IIS 7.0, qui est une plateforme Web unifie intgrant IIS, ASP.NET et Windows
Communication Foundation. Les principales fonctionnalits et amliorations d'IIS 7.0 sont les
suivantes :

Plateforme Web unifie qui propose une solution Web uniforme unique aux administrateurs et
dveloppeurs.
Scurit amliore et possibilit de personnaliser le serveur pour rduire la zone expose aux
attaques.
Fonctionnalits de diagnostics et de dpannage simplifies pour aider la rsolution de
problmes.
Configuration amliore et prise en charge des batteries de serveurs.
Administration dlgue pour l'hbergement et les charges de travail des entreprises.

Les sections suivantes contiennent des informations supplmentaires sur le rle de serveur Web, les
fonctionnalits requises et facultatives d'un serveur Web ainsi que les lments matriels et logiciels
ncessaires l'excution d'un serveur Web. la fin de cette rubrique, vous apprendrez ouvrir
l'interface du serveur Web et rechercher des informations supplmentaires sur les serveurs Web.
Qu'est-ce qu'un serveur Web ?
Un serveur Web est un ordinateur disposant d'un logiciel spcifique qui lui permet d'accepter des
demandes d'ordinateurs clients et de renvoyer des rponses ces demandes. Un serveur Web permet
de partager des informations via Internet ou via des rseaux intranet et extranet.
Avec un serveur Web, vous pouvez effectuer les oprations suivantes :
46

WindowsServer2008

fournir des informations des utilisateurs sur Internet ;

permettre aux utilisateurs de tlcharger du contenu avec FTP ou WebDAV (World Wide
Web Distributed Versioning and Authoring) ;
hberger des services Web contenant de la logique mtier pour des applications trois
niveaux ;
distribuer des applications aux utilisateurs via Internet plutt que par l'intermdiaire d'un
mdia physique, tel que des disquettes ou des CD-ROM.

Les serveurs Web peuvent tre utiles pour diffrents clients et besoins. Par exemple :

Les petites entreprises peuvent fournir des informations sur les services qu'elles proposent par
le biais d'un site Web simple.
Les entreprises de taille moyenne peuvent proposer leurs produits et services via un systme
de commande en ligne constitu de diffrentes applications dans un site.
Les grandes entreprises peuvent dvelopper et fournir des applications de gestion leurs
employs via des intranets d'entreprise.
Les socits d'hbergement peuvent offrir chacun de leurs clients de l'espace serveur et des
services permettant d'hberger diffrents contenus et applications en ligne.
Les entreprises commerciales peuvent fournir des applications et des informations pertinentes
leurs partenaires commerciaux via des extranets.

Fonctionnalits du rle de serveur Web IIS 7.0

Les sections suivantes dcrivent les fonctionnalits et amliorations d'IIS 7.0, la plateforme Web dans
Windows Server 2008.
Nouveaux outils d'administration
IIS 7.0 propose une nouvelle interface utilisateur base sur les tches et un nouvel outil de ligne de
commande performant. Ces nouveaux outils d'administration vous permettent :

de grer IIS et ASP.NET dans un seul outil ;

d'afficher des informations d'intgrit et de diagnostic, ce qui inclut la possibilit de voir les
demandes en cours d'excution en temps rel ;
de configurer les autorisations de rle et d'utilisateur pour les sites et les applications ;
de dlguer la configuration de site et d'application des utilisateurs qui ne sont pas
administrateurs.

Configuration
IIS 7.0 propose un nouveau magasin de configuration qui intgre les paramtres de configuration d'IIS
et d'ASP.NET pour l'intgralit de la plateforme Web. Ce nouveau magasin de configuration vous
permet :

de configurer les paramtres d'IIS et d'ASP.NET dans un seul magasin de configuration qui
utilise un format cohrent et est accessible partir d'un ensemble d'API commun ;
de dlguer la configuration de manire prcise et sre aux fichiers de configuration distribus
se trouvant dans les rpertoires de contenu ;
de copier la configuration et le contenu d'une application ou d'un site particulier sur un autre
ordinateur ;
de crer un script de configuration pour IIS et ASP.NET l'aide d'un nouveau fournisseur
WMI.

47

WindowsServer2008

Diagnostic et dpannage
Le serveur Web IIS 7.0 permet de diagnostiquer et de dpanner plus facilement les problmes
survenant sur le serveur Web. Les nouvelles fonctionnalits de diagnostic et de dpannage vous
permettent :

de voir les informations d'tat en temps rel sur les pools d'applications, les processus de
travail, les sites, les domaines d'application et les demandes en cours ;
d'enregistrer des informations de suivi dtaill sur une demande lors de son parcours dans le
processus IIS de traitement des demandes ;
de configurer IIS de faon enregistrer automatiquement les informations de suivi dtaill en
fonction du temps coul ou des codes de rponse d'erreur.

Architecture modulaire
Dans IIS 7.0, le serveur Web se compose de modules que vous pouvez ajouter ou supprimer du
serveur selon vos besoins. Cette nouvelle architecture vous permet :

de personnaliser votre serveur en ajoutant uniquement les fonctionnalits dont vous avez
besoin, ce qui minimise la scurit et l'encombrement mmoire du serveur Web ;
de configurer les fonctionnalits (telles que l'authentification, l'autorisation et les erreurs
personnalises) prcdemment en double dans IIS et ASP.NET un seul emplacement ;
d'appliquer les fonctionnalits ASP.NET existantes, telles que l'authentification par formulaire
ou l'autorisation d'URL, tous les types de demandes.

Compatibilit
Le serveur Web IIS 7.0 garantit une compatibilit maximale avec les applications existantes. IIS 7.0
permet de continuer :

utiliser les scripts d'interfaces ADSI (Active Directory Service Interfaces) et WMI existants ;
excuter les applications ASP (Active Server Pages) sans modification de code ;
excuter les applications ASP.NET 1.1 et ASP.NET 2.0 existantes sans modification de code
(lorsqu'elles sont excutes dans un pool d'applications en mode ISAPI dans IIS 7.0) ;
utiliser les extensions ISAPI existantes sans effectuer de modifications ;
utiliser les filtres ISAPI existants l'exception de ceux qui reposent sur des notifications
READ RAW.

Considrations matrielles et logicielles

La configuration matrielle et logicielle requise pour le rle de serveur Web est identique celle de
Windows Server 2008. Utilisez les compteurs de performance, les rsultats des tests d'atelier, les
donnes existantes des environnements de production et les dploiements pilotes pour dterminer la
capacit dont le serveur a besoin et procdez des ajustements si ncessaire.
Installation d'un serveur Web
Une fois le systme d'exploitation install, vous pouvez utiliser Tches de configuration initiales ou
Gestionnaire de serveur pour installer les rles du serveur. Pour installer le rle de serveur Web, dans
la liste des tches, cliquez sur Ajouter un rle, puis dans la liste des rles de serveur figurant dans
l'Assistant, cliquez sur Serveur Web (IIS).

48

WindowsServer2008

Gestion d'un serveur Web

Les rles de serveur sont grs l'aide des composants logiciels enfichables MMC (Microsoft
Management Console). Utilisez le Gestionnaire des services Internet (IIS) pour grer un serveur Web.
Pour ouvrir le Gestionnaire des services Internet (IIS), cliquez sur Dmarrer, Tous les programmes,
Outils d'administration, puis cliquez sur Gestionnaire des services Internet (IIS).

Serveurdapplications
Le serveur dapplications fournit un environnement intgr pour le dploiement et lexcution des
applications dentreprise personnalises conues laide de Microsoft .NET Framework version 3.0.
Lorsque vous installez le rle de serveur dapplications, vous pouvez slectionner les services qui
prennent en charge les applications conues pour utiliser COM+, Message Queuing, les services Web
et les transactions distribues.
Le serveur dapplications fournit aux professionnels de linformatique et aux dveloppeurs les
avantages suivants :

Une excution centrale qui prend en charge la gestion et le dploiement des applications
dentreprise aux performances leves.
Lenvironnement de dveloppement .NET Framework qui propose un modle de
programmation simplifi et un modle dexcution haute performance destin aux applications
serveur.
Le .NET Framework active les services Web et intgre les nouvelles applications aux
applications et linfrastructure existantes.

Un Assistant dinstallation convivial qui offre des choix pour les diffrents services et
fonctionnalits de rles ncessaires lexcution dapplications dans votre organisation.
Une fonctionnalit dinstallation qui installe automatiquement les fonctionnalits pour un
service de rle donn.

Dans les sections suivantes, dcouvrez mieux le rle de serveur dapplications, les fonctionnalits
requises et facultatives du rle de serveur dapplications, les logiciels et le matriel utiliss pour son
excution. Au terme de cette rubrique, vous apprendrez ouvrir les interfaces du rle de serveur
dapplications et comment accder dautres informations sur le rle de serveur dapplications.
Quest-ce que le rle de serveur dapplications ?
Le serveur dapplications est un rle de serveur largi au sein du systme dexploitation
Windows Server 2008. La nouvelle version du serveur dapplications offre un environnement intgr
pour le dploiement et lexcution des applications dentreprise serveur personnalises. Cet
environnement simplifie le processus de dploiement des applications qui rpondent aux demandes
mises sur le rseau par les ordinateurs clients distants ou dautres applications. Gnralement, les
applications dployes sur le serveur dapplications bnficient dune ou de plusieurs des technologies
suivantes :

Les services Internet (IIS), le serveur HTTP (Hypertext Transfer Protocol) intgr
Windows Server
Microsoft .NET Framework version 3.0 et 2.0
ASP.NET
COM+
Microsoft DTC (Microsoft Distributed Transaction Coordinator)
Message Queuing
49

WindowsServer2008

Services Web conus laide de Windows Communication Foundation (WCF)

Le rle de serveur dapplications est utile lorsque Windows Server 2008 excute des applications qui
dpendent des services ou des fonctionnalits qui font partie du rle intgr du serveur dapplications.
Slectionnez les services ou les fonctionnalits appropris lorsque vous installez le rle du serveur
dapplications. Par exemple, vous pouvez installer une configuration spcifique de Microsoft
BizTalk Server qui fait appel un ou plusieurs services ou fonctionnalits de lenvironnement du
serveur dapplications.
Gnralement, le rle du serveur dapplications est essentiel lors du dploiement dune application
dentreprise qui ncessite des services de rle spcifiques qui sont dfinis par le dveloppeur de
lapplication. Par exemple, votre organisation utilise peut-tre une application de traitement des
commandes qui accde aux enregistrements clients stocks dans une base de donnes. Lapplication
accde aux enregistrements clients via un jeu de services Web WCF. Dans ce cas, comme WCF fait
partie du .NET Framework 3.0, une fonctionnalit du serveur dapplications, vous pouvez utiliser le
serveur dapplications pour dployer et configurer WCF sur des ordinateurs sur lesquels sexcutent
votre application de traitement des commandes, et vous pouvez installer la base de donnes sur le
mme ordinateur ou sur un autre ordinateur.
Les applications de serveur ne ncessitent pas toutes linstallation du rle du serveur dapplications
pour fonctionner correctement. Par exemple, le rle du serveur dapplications nest pas ncessaire pour
prendre en charge Microsoft Exchange Server ou Microsoft SQL Server dans Windows
Server 2008.
Pour dterminer si le rle du serveur dapplications est ncessaire aux applications de votre
organisation, faites collaborer troitement vos administrateurs avec les dveloppeurs de lapplication
afin de connatre les besoins de lapplication, notamment, si celle-ci doit faire appel aux composants
COM+ ou .NET Framework 3.0.
Fonctionnalits du rle de serveur dapplications
Les fonctionnalits suivantes font partie du rle du serveur dapplications et, lexception des
fonctionnalits par dfaut, elles sont slectionnes par ladministrateur au cours de linstallation du
rle.
Application Server Foundation
Application Server Foundation est le groupe des technologies installes par dfaut lorsque vous
installez le rle du serveur dapplications. En fait, Application Server Foundation correspond au
.NET Framework 3.0.
Windows Server 2008 inclut le .NET Framework 2.0, indpendamment du rle de serveur qui est
install. Le .NET Framework 2.0 contient le langage CLR (Common Language Runtime) qui fournit
un environnement dexcution du code qui promeut une excution scurise du code, un dploiement
simplifi du code et une prise en charge de linteroprabilit des langages ainsi que des bibliothques
compltes destines la cration dapplications.
un niveau suprieur, le .NET Framework 3.0 est compos des trois composants de base suivants :
Le .NET Framework
WCF

50

WindowsServer2008

Windows Presentation Foundation (WPF)

Windows Workflow Foundation (WF)
Serveur Web
La slection de cette option au cours de linstallation du serveur dapplications ajoute IIS version 7.0,
le serveur Web intgr Windows Server 2008. Bien que disponible dans Windows Server depuis
plusieurs annes, IIS a cependant fait lobjet dune rvision en profondeur pour Windows Server 2008
afin de bnficier damliorations de performance, de scurit, de gestion, de prise en charge, de
fiabilit et de modularit.
IIS prsente les avantages suivants :

IIS permet au serveur dapplications dhberger des sites Web internes ou externes ou des
services avec un contenu statique ou dynamique.
IIS offre une prise en charge pour les applications ASP.NET accessibles partir dun
navigateur Web.
IIS fournit une prise en charge des services Web intgrs WCF ou ASP.NET.

Accs rseau COM+

La slection de cette option au cours de linstallation du serveur dapplications ajoute laccs rseau
COM+ pour linvocation distante des composants dapplication qui sont crs et hbergs dans
COM+. Certains composants dapplications sont aussi parfois appels des composants de services
dentreprise.
Laccs rseau COM+ est une fonction dinvocation distante prise en charge dans Windows Server
depuis Windows 2000 Server, et qui continue dtre prise en charge dans Windows Server 2008. Les
applications plus rcentes utilisent gnralement WCF pour prendre en charge des invocations
distantes tant donn que WCF offre un couplage souple qui rduit linterdpendances des systmes
intgrs, ainsi quune interoprabilit multi-plateforme.
Service dactivation de processus Windows
La slection de cette option au cours de linstallation du rle de serveur dapplications ajoute le service
dactivation de processus Windows (WAS, Windows Process Activation Service). Le service WAS est
le nouveau mcanisme dactivation de processus pour les systmes dexploitation Windows Vista et
Windows Server 2008. Le service WAS conserve le modle de traitement IIS 6.0 familier (pools
dapplications et activation de processus base sur des messages) et les fonctionnalits dhbergement
(par exemple, la protection rapide contre les pannes, le contrle de sant et le recyclage), mais il
supprime de larchitecture dactivation la dpendance vis vis de HTTP. IIS 7.0 fait appel au service
WAS pour accomplir lactivation base sur des messages sur HTTP. Le service WCF peut aussi
utiliser les protocoles non HTTP pris en charge par WAS, tels que TCP, Message Queuing, et les
canaux nomms, en plus de HTTP, pour fournir une activation base sur des messages. De cette
manire, les applications qui font appel aux protocoles de communication peuvent exploiter les
fonctionnalits IIS, telles que le recyclage de processus, la protection rapide contre les pannes et le
systme de configuration courant, qui taient rserves auparavant aux applications HTTP.
Partage de port Net.TCP
Le service Partage de port Net.TCP est un nouveau service dans Windows Server 2008. La slection
de cette option au cours de linstallation du serveur dapplications permet dajouter ce service. Grce
ce service de rle, plusieurs applications peuvent utiliser le port TCP unique pour les communications
51

WindowsServer2008

entrantes. Par exemple, plusieurs applications dans une architecture SOA (Service-Oriented
Architecture) cre laide de WCF peuvent partager le mme port. Le partage des ports fait souvent
partie des configurations de pare-feu ou des restrictions rseau qui nautorisent quun nombre limit de
ports ouverts ou si plusieurs instances distinctes dune application WCF doivent sexcuter et tre
disponibles simultanment.
Pour permettre aux applications WCF de partager des ports (galement connu sous le nom de
multiplexage), le service Partage de port Net.TCP effectue le multiplexage. Le service accepte les
demandes de connexions entrantes laide de TCP. Le service transmet ensuit les demandes entrantes
automatiquement aux divers services WCF en fonction des adresses cibles des demandes. Le partage
des ports ne fonctionne que lorsque les applications WCF utilisent le protocole Net.TCP pour des
communications entrantes.
Transactions distribues
La prise en charge des transactions distribues dans Windows Server remonte Microsoft
Windows NT Server 4.0, cette fonctionnalit continue dtre prise en charge dans Windows
Server 2008. Les applications qui se connectent plusieurs bases de donnes ou dautres ressources
transactionnelles pour effectuer des mises jour peuvent ncessiter lutilisation des smantiques
transactionnelles de type tout ou rien , technologie qui vrifie que chaque portion dune transaction
est complte sans quoi toute la transaction est restaure son tat dorigine. Ces ressources et bases de
donnes transactionnelles peuvent se trouver sur un seul ordinateur ou tre distribues sur un rseau.
Le service MS DTC dans Windows Server 2008 fournit ces smantiques transactionnelles.
Considrations logicielles et matrielles
Le rle du serveur dapplications ne contient aucune autre configuration matrielle ou logicielle que
celle ncessaire lexcution de Windows Server 2008. Cependant, votre application qui excute
lenvironnement du serveur dapplications peut ncessiter ses propres critres en matire de capacit
de traitement, de mmoire ou despace disque. Il vous appartient didentifier ces critres en
collaborant avec les dveloppeurs chargs de fournir ces applications.
Installation du rle de serveur dapplications
Au terme de linstallation du systme dexploitation, une liste des tches de configuration initiales
saffiche. Procdez comme suit pour installer le rle du serveur dapplications laide de lAssistant
Ajout de rles.
Pour installer le rle de serveur dapplications
1. Cliquez sur Dmarrer, pointez sur Outils dadministration, puis cliquez sur Gestionnaire de
serveur.
2. Si la bote de dialogue Contrle de compte d'utilisateur apparat, confirmez que l'action
affiche est celle que vous souhaitez, puis cliquez sur Continuer.
3. Dans le menu Action, cliquez sur Ajouter des rles.
4. LAssistant Ajout de rles apparat. Cliquez sur Suivant.
5. Dans la page Slectionner des rles de serveurs, activez la case cocher Serveur
dapplications.
6. Dans la bote de dialogue Ajouter les fonctionnalits requises pour Serveur dapplications ?,
cliquez sur Ajouter les fonctionnalits requises, puis cliquez sur Suivant.
7. Les informations relatives au rle du serveur dapplications saffichent. Prenez connaissance
des informations, puis cliquez sur Suivant.
8. Dans la page Slectionner les services de rle, slectionnez les services de rles qui sont
ncessaires lexcution de vos applications (par exemple, Prise en charge du serveur Web
52

WindowsServer2008

(IIS) pour hberger les sites Web ou Transactions distribues si vos applications ncessitent
des fonctions de transactions distantes), puis cliquez sur Suivant. Application Server
Foundation, le service de rle par dfaut, est toujours install comme composant du rle du
serveur dapplications.
9. Si linstallation dune fonctionnalit de prise en charge ou dun service de rle provenant dun
autre rle est requise, la page suivante fournit des informations importantes sur la
fonctionnalit ou lensembles des fonctionnalits. Cliquez sur Suivant pour passer la page
Confirmer les options dinstallation.
10. Cliquez sur Installer pour commencer linstallation du rle du serveur dapplications avec les
options qui saffichent sur la page. Le processus dinstallation peut tre long selon les services
de rle que vous choisissez. Aprs le dmarrage du processus dinstallation, aucune saisie de
loprateur nest ncessaire. Au terme du processus dinstallation, le statut de linstallation
saffiche sur la page Rsultats de linstallation.
Gestion du rle de serveur dapplications
Linstallation du rle du serveur dapplications ninstalle pas un composant logiciel enfichable MMC
(Microsoft Management Console). Vous pouvez grer le rle du serveur dapplications via le
Gestionnaire de serveur.
GESTION DES SERVEURS

Gestionnairedeserveur
Windows Server 2008 facilite la gestion et la scurisation de plusieurs rles de serveur dans une
entreprise avec la console Gestionnaire de serveur. Gestionnaire de serveur dans Windows
Server 2008 fournit une source unique de gestion de lidentit dun serveur et des informations
systme, en affichant ltat du serveur, en identifiant les problmes de configuration de rle de serveur
et en grant tous les rles installs sur le serveur.
Comment le Gestionnaire de serveur rationalise lAdministration serveur
Gestionnaire de serveur permet une administration serveur plus efficace en autorisant les
administrateurs effectuer les tches suivantes laide dun seul outil :

Afficheretapporterdesmodificationsauxrlesetfonctionnalitsdeserveurinstallssurle
serveur.

Effectuerdestchesdegestionassociesaucycledevieoprationnelduserveur,telquele
dmarrageoularrtdeservicesetlagestiondecomptesdutilisateurlocal.

Raliserdestchesdegestionassociesaucycledevieoprationneldesrlesinstallssurle
serveur.

Dterminerltatdunserveur,identifierdesvnementscritiques,analyseretdpannerdes
problmesoudeschecsdeconfiguration.

1 Rles, services de rle et fonctionnalits

Gestionnaire de serveur dans Windows Server 2008 remplace les consoles de gestion antrieures
telles que Configurer votre serveur et Grer votre serveur. Avec Gestionnaire de serveur, vous
prparez votre serveur pour un dploiement en installant des packages logiciels logiques identifis
comme rles, services de rle et fonctionnalits.
Cette rubrique dfinit les rles, services de rle et fonctionnalits et traite leur intgration dans votre
entreprise.
53

WindowsServer2008

Que sont les rles de serveur, les services de rle et les fonctionnalits ?
Cette section dfinit les termes rle, service de rle et fonctionnalit tels quils sappliquent
Windows Server 2008.
Rles
Un rle de serveur est un ensemble de programmes logiciels qui, une fois installs et correctement
configurs, permettent un ordinateur de remplir une fonction spcifique pour plusieurs utilisateurs ou
dautres ordinateurs dans un rseau. En rgle gnrale, les rles partagent les caractristiques
suivantes :

Ils dcrivent la fonction, lutilisation ou le but principal dun ordinateur. Un ordinateur

spcifiquepeuttreconsacrunrleuniquetrsutilisdanslentreprise,oubienremplir
plusieursrlessichaquerleestuniquementpeuutilisdanslentreprise.

Ils fournissent aux utilisateurs dune organisation un accs des ressources gres par
dautres ordinateurs, tels que des sites Web, des imprimantes ou des fichiers stocks sur
diffrentsordinateurs.

Ilsincluentgnralementleurspropresbasesdedonnes,quipeuventplacerdesdemandes
dutilisateur ou dordinateur en file dattente ou enregistrer des informations sur des
utilisateurs ou des ordinateurs rseau associs au rle. Par exemple, Services de domaine
ActiveDirectory inclut une base de donnes pour le stockage des noms et des relations
hirarchiquesdetouslesordinateursdunrseau.

Une fois correctement installs et configurs, les rles ont t conus de manire
fonctionner automatiquement, ce qui permet aux ordinateurs sur lesquels ils sont installs
deffectuer des tches prescrites avec des commandes ou une supervision dutilisateur
limite.

Services de rle
Les services de rle sont des programmes logiciels qui fournissent la fonctionnalit dun rle. Lorsque
vous installez un rle, vous pouvez choisir les services de rle que le rle doit fournir pour dautres
utilisateurs et ordinateurs dans votre entreprise. Certains rles, tels que Serveur DNS, possdent une
seule fonction et ne disposent donc pas de services de rle disponibles. Dautres rles, tels que
Services Terminal Server, possdent plusieurs services de rle qui peuvent tre installs, en fonction
des besoins informatiques distants de votre entreprise.
Vous pouvez considrer un rle en tant quun groupement de services de rle troitement associs et
complmentaires pour lesquels, dans la majorit des cas, linstallation du rle signifie celle dun ou de
plusieurs de ses services de rle.
Fonctionnalits
Les fonctionnalits sont des programmes logiciels qui, bien quelles ne fassent pas directement partie
des rles, peuvent prendre en charge ou augmenter la fonctionnalit dun ou de plusieurs rles, ou
encore amliorer la fonctionnalit de la totalit du serveur, quels que soient les rles installs. Par
exemple, la fonctionnalit Clustering avec basculement augmente la fonctionnalit des autres rles,
tels que Services de fichiers et Serveur DHCP, en leur permettant de rejoindre des clusters de serveurs,
afin daugmenter la redondance et damliorer les performances. Une autre fonctionnalit, Client
Telnet, vous permet de communiquer distance avec un serveur telnet via une connexion rseau, ce
qui amliore les options de communication du serveur dans sa globalit.

54

WindowsServer2008

Dpendances dans le Gestionnaire de serveur

Lorsque vous installez des rles et prparez le dploiement de votre serveur, Gestionnaire de serveur
vous demande dinstaller tout autre rle, service de rle ou fonctionnalit requis par un rle installer.
Par exemple, de nombreux rles, tels que les Services UDDI, ncessitent lexcution du Serveur Web
(IIS).
De manire identique, pour supprimer des rles, des services de rle ou des fonctionnalits de votre
ordinateur, des messages de Gestionnaire de serveur vous indiquent si dautres programmes
ncessitent le logiciel que vous tes en train de supprimer. Si, par exemple, vous voulez supprimer le
Serveur Web (IIS), Gestionnaire de serveur vous avertit sil reste dautres rles qui dpendent du
Serveur Web (IIS) sur lordinateur. Cet arrangement complexe de dpendances logicielles est gre
par Gestionnaire de serveur et empche toute suppression accidentelle de logiciel dont le serveur a
besoin pour effectuer les tches qui lui sont affectes. Les utilisateurs nont pas besoin de savoir de
quels logiciels dpendent les rles quils veulent installer.

2 Ajout de rles et de fonctionnalits de serveur

Windows Server 2008 facilite la gestion et la scurisation de plusieurs rles de serveur dans une
entreprise avec la nouvelle console Gestionnaire de serveur. Gestionnaire de serveur dans Windows
Server 2008 fournit une source unique de gestion de lidentit dun serveur et des informations
systme, en affichant ltat du serveur, en identifiant les problmes de configuration de rle de serveur
et en grant tous les rles installs sur le serveur.
Comment le Gestionnaire de serveur rationalise lAdministration serveur
Gestionnaire de serveur permet une administration serveur plus efficace en autorisant les
administrateurs effectuer les tches suivantes laide dun seul outil :

Afficheretapporterdesmodificationsauxrlesetfonctionnalitsdeserveurinstallssurle
serveur.

Effectuerdestchesdegestionassociesaucycledevieoprationnelduserveur,telquele
dmarrageoularrtdeservicesetlagestiondecomptesdutilisateurlocal.

Raliserdestchesdegestionassociesaucycledevieoprationneldesrlesinstallssurle
serveur.

Dterminerltatdunserveur,identifierdesvnementscritiques,analyseretdpannerdes
problmesoudeschecsdeconfiguration.

Comment ajouter des rles votre serveur

Dans Windows Server 2008, vous pouvez ajouter des rles votre serveur laide de lAssistant
Ajout de rles. Vous pouvez dmarrer lAssistant Ajout de rles depuis la fentre Tches de
configuration initiales ou depuis Gestionnaire de serveur.

55

WindowsServer2008

Rles disponibles pour linstallation dans cette version

Les rles suivants sont disponibles pour linstallation en ouvrant lAssistant Ajout de rles, depuis la
fentre Tches de configuration initiales ou depuis Gestionnaire de serveur.

Nomderle
Description
services de certificats Les services de certificats Active Directory fournissent des services
personnalisables pour la cration et la gestion de certificats qui sont utiliss
Active Directory
dans les systmes de scurit logiciels employant des technologies de cl
publique. Les organisations peuvent utiliser des services de certificats
Active Directory pour amliorer la scurit en liant lidentit dune
personne, dun priphrique ou dun service une cl priv
correspondante. Les services de certificats Active Directory contiennent
aussi des fonctions qui vous permettent de grer linscription et la
rvocation de certificats dans une varit denvironnements volutifs.
Les applications prises en charge par les services de certificats Active
Directory incluent les extensions S/MIME (Secure/Multipurpose Internet
Mail Extensions), les rseaux sans fil scuriss, les rseaux privs virtuels
(VPN), la scurit du protocole Internet (IPsec), le systme de fichiers
EFS, louverture de session par carte puce, SSL/TLS (Secure Socket
Layer/Transport Layer Security) et les signatures numriques.

Services de domaine Services de domaine Active Directory (AD DS) stocke des informations
sur les utilisateurs, les ordinateurs et dautres priphriques sur le rseau.
Active Directory
AD DS permet aux administrateurs de grer en toute scurit ces
informations et facilitent le partage des ressources et la collaboration entre
les utilisateurs. AD DS doit aussi tre install sur le rseau afin dinstaller
des applications compatibles avec lannuaire, telles que Microsoft
56

WindowsServer2008

Exchange Server, et dautres technologies Windows Server, telles que la

stratgie de groupe.

Services ADFS (Active Les services ADFS (Active Directory Federation Services) fournissent des
Directory
Federation technologies douverture de session Web unique (SSO) pour authentifier
un utilisateur dans plusieurs applications Web, laide dun compte
Services)
dutilisateur unique. AD FS ralise cela grce la fdration ou au partage
scuris des identits utilisateur et des droits daccs sous la forme de
demandes numriques entre les organisations partenaires.
Services
(Active
Lightweight
Services)

AD LDS Les organisations dont les applications ncessitent un annuaire pour le

Directory stockage des donnes dapplication peuvent utiliser les services AD LDS
Directory (Active Directory Lightweight Directory Services) comme magasin de
donnes. Les services AD LDS ne sont pas excuts en tant que service du
systme dexploitation et, en tant que tel, ne demande pas tre dploy
sur un contrleur de domaine. Cela permet dexcuter plusieurs instances
AD LDS simultanment sur un mme serveur. Chaque instance peut tre
configure indpendamment pour grer plusieurs applications.

Active Directory Rights Active Directory Rights Management Services (AD RMS) (AD RMS) est
Management Services une technologie de protection des informations qui fonctionne avec des
applications actives pour AD RMS et dont lobjectif est de protger les
(AD RMS)
informations numriques contre les utilisations non autorises. Les
propritaires du contenu peuvent dfinir exactement comment un
destinataire peut utiliser les informations, par exemple qui peut ouvrir,
modifier, imprimer, transfrer et/ou effectuer dautres manipulations des
informations. Les organisations peuvent crer des modles de droits
dutilisation personnaliss, tels que Confidentiel - Lecture seule , qui
peuvent tre appliqus directement des informations telles que des
rapports financiers, des spcifications de produit, des donnes clients et des
messages lectroniques.
Serveur dapplication

Application Server permet la gestion centralise et lhbergement

dapplications mtier distribues de haute performance. Les services
intgrs, tels que .NET Framework, la prise en charge du serveur Web,
Message Queuing, COM+, Windows Communication Foundation et le
Clustering avec basculement augmentent la productivit travers le cycle
de vie de lapplication, depuis la conception jusquau dveloppement, via
le dploiement et les oprations.

Serveur
DHCP Le protocole DHCP (Dynamic Host Configuration Protocol) permet aux
(Dynamic
Host serveurs daffecter (ou de louer) des adresses IP aux ordinateurs et autres
Configuration Protocol) priphriques reconnus comme clients DHCP. Le dploiement de
serveurs DHCP sur le rseau fournit automatiquement aux ordinateurs et
autres priphriques rseau TCP/IP des adresses IP valides, ainsi que les
paramtres de configuration supplmentaires ncessaires, appels
options DHCP, qui leur permettent de se connecter dautres ressources
rseau, telles que des serveurs DNS, des serveurs WINS et des routeurs.
Serveur DNS

Le systme DNS (Domain Name System) fournit une mthode standard

dassociation de noms des adresses Internet numriques. Cela permet aux
utilisateurs de rfrencer les ordinateurs rseau en utilisant des noms
faciles retenir au lieu dune longue srie de chiffres. Les services DNS
Windows peuvent tre intgrs aux services DHCP (Dynamic Host
Configuration Protocol) sous Windows. Il nest ainsi plus ncessaire
dajouter les enregistrements DNS car les ordinateurs sont ajouts au
57

WindowsServer2008

rseau.
Serveur de tlcopie

Serveur de tlcopie envoie et reoit des tlcopies et vous permet de grer

les ressources de tlcopie, tels que les tches, les paramtres, les rapports
et les priphriques de tlcopie sur cet ordinateur ou sur le rseau.

Services de fichiers

Services de fichiers fournit les technologies pour la gestion du stockage, la

rplication des fichiers, la gestion des espaces de noms distribue, la
recherche rapide de fichiers et laccs client aux fichiers simplifi.

Services de stratgie et Les services de stratgie et daccs rseau offrent plusieurs mthodes pour
fournir aux utilisateurs une connectivit rseau locale et distance, pour
daccs rseau
connecter des segments rseau et pour permettre aux administrateurs
rseau de grer de faon centralise les accs au rseau et les stratgies de
contrle dintgrit des clients. Avec les services de stratgie et daccs
rseau, vous pouvez dployer des serveurs VPN, des serveurs daccs
distance, des routeurs et des accs sans fil protgs 802.11. Vous pouvez
aussi dployer des serveurs et des proxys RADIUS, et utiliser le Kit
dadministration de Connection Manager pour crer des profils daccs
distance qui permettent aux ordinateurs clients de se connecter votre
rseau.
Services d'impression

Services
Server

Services d'impression permettent la gestion des serveurs dimpression et

des imprimantes. Un serveur dimpression rduit la charge de travail
dadministration et de gestion en centralisant les tches de gestion des
imprimantes.

Terminal Services Terminal Server fournit des technologies qui permettent aux
utilisateurs daccder aux programmes Windows installs sur un serveur
Terminal Server ou daccder au Bureau mme, partir de pratiquement
nimporte quel priphrique informatique. Les utilisateurs peuvent se
connecter un serveur Terminal Server pour excuter des programmes et
utiliser des ressources rseau sur ce serveur.

Services
UDDI Les services UDDI fournissent des fonctionnalits destines au partage
(Universal Description dinformations relatives aux services Web sur lintranet dune
Discovery
and organisation, entre des partenaires commerciaux sur un extranet ou sur
Internet. Les services UDDI peuvent aider amliorer la productivit de
Integration)
dveloppeurs et de professionnels de linformatique avec des applications
plus fiables et faciles grer. Avec les services UDDI, vous pouvez
supprimer tout effort de duplication en effectuant la promotion de la
rutilisation du travail de dveloppement existant.
Serveur Web (IIS)

Serveur Web (IIS) permet le partage dinformations sur Internet, un

intranet ou un extranet. Il sagit dune plateforme Web unifie qui intgre
IIS 7.0, ASP.NET et Windows Communication Foundation. IIS 7.0 permet
aussi de renforcer la scurit, simplifier les diagnostics et dlguer
ladministration

Services de dploiement Vous pouvez utiliser Windows Deployment Services pour installer et
configurer des systmes dexploitation Microsoft Windows distance
Windows
sur des ordinateurs avec une mmoire morte (ROM) de dmarrage
denvironnement dexcution de prdmarrage (PXE). La surcharge
dadministration est rduite via limplmentation du composant logiciel
enfichable de la console MMC (Microsoft Management Console)
WdsMgmt, qui gre tous les aspects des services de dploiement
Windows. Les services de dploiement Windows fournissent aussi aux
58

WindowsServer2008

utilisateurs finaux une exprience cohrente avec linstallation de

Windows.
Hyper-V fournit les services que vous pouvez utiliser pour crer et grer
des machines virtuelles et leurs ressources. Chaque machine virtuelle est
un systme informatique virtualis qui fonctionne dans un environnement
dexcution isol. Cela vous permet dexcuter plusieurs systmes
dexploitation simultanment.

Hyper-V

LAssistant Ajout de rles

LAssistant Ajout de rles simplifie le processus dinstallation de rles sur votre serveur et vous
permet dinstaller plusieurs rles la fois. Avec les versions antrieures du systme dexploitation
Windows, les administrateurs devaient excuter Ajouter ou supprimer des composants Windows
plusieurs reprises pour installer tous les rles, les services de rle et les fonctionnalits requis sur un
serveur. Gestionnaire de serveur remplace Ajouter ou supprimer des composants Windows et une
seule session de lAssistant Ajout de rles peut effectuer la configuration de votre serveur.
LAssistant Ajout de rles vrifie que tous les composants logiciels requis par un rle sinstallent pour
nimporte quel rle slectionn dans lAssistant. Le cas chant, lAssistant vous demande
dapprouver linstallation dautres rles, services de rle ou composants logiciels requis par les rles
que vous slectionnez.
La plupart des rles et services de rle disponibles pour linstallation exigent que vous preniez des
dcisions lors du processus dinstallation qui dterminent le fonctionnement du rle dans votre
entreprise. Les exemples incluent les services ADFS (Active Directory Federation Services), qui
ncessitent linstallation dun certificat ; ou DNS (Domain Name System) qui vous oblige fournir un
nom de domaine pleinement qualifi (FQDN).
PourdmarrerlAssistantAjoutderles

Dans la zone Rsum des rles de la fentre principale Gestionnaire de serveur, cliquez sur
Ajouter des rles.
-- ou -Dans la zone Personnaliser ce serveur de la fentre Tches de configuration initiales,
cliquez sur Ajouter des rles.
Remarque
o
o

La fentre Tches de configuration initiales souvre par dfaut lorsquun

membredugroupeAdministrateursouvreunesessionsurlordinateur.
Gestionnaire de serveur souvre lors de la fermeture de la fentre Tches de
configurationinitiales.VouspouvezgalementouvrirGestionnairedeserveur
laide de raccourcis dans le menu Dmarrer ou dans les Outils
dadministration.

Comment ajouter des fonctionnalits votre serveur

Dans Windows Server 2008, vous pouvez ajouter des fonctionnalits disponibles votre serveur
laide de lAssistant Ajout de fonctionnalits.
Ajout de fonctionnalits votre serveur laide de lAssistant Ajout de fonctionnalits
Vous pouvez ajouter les fonctionnalits suivantes laide de lAssistant Ajout de fonctionnalits.

59

WindowsServer2008

Fonctionnalit
.NET Framework 3,0

Description
Microsoft .NET Framework 3.0 combine la puissance des API du .NET
Framework 2.0 aux nouvelles technologies pour construire des applications
offrant des interfaces utilisateur efficaces, protger les informations
didentit personnelle de vos clients, permettre une communication
transparente et scurise et fournir la possibilit de modliser une large
gamme de processus dentreprise.

Chiffrement de lecteur Le Chiffrement de lecteur BitLocker aide protger les donnes sur des
ordinateurs gars, drobs ou retirs de manire inapproprie en chiffrant la
BitLocker
totalit du volume et en vrifiant lintgrit des composants de la squence
de dmarrage. Les donnes sont dchiffres uniquement si ces composants
ont t vrifis avec succs et si le lecteur chiffr se trouve dans lordinateur
dorigine. La vrification de lintgrit ncessite un module de plateforme
scurise (TPM) compatible.
Extensions du serveur Les extensions serveur du service de transfert intelligent en arrire-plan
(BITS) permettent un serveur de recevoir des fichiers chargs par des
BITS
clients laide de BITS. BITS permet des ordinateurs clients de transfrer
des fichiers au premier plan ou en arrire-plan de manire asynchrone, de
prserver la ractivit dautres applications rseau et de reprendre des
transferts de fichier aprs des pannes de rseau et des redmarrages
dordinateur.
Kit dadministration de Kit dadministration de Connection Manager (CMAK) gnre des profils
Connection Manager
Connection Manager.
Exprience utilisateur

Lexprience utilisateur inclut des fonctionnalits de Windows Vista, telles

que le Lecteur Windows Media, des thmes du bureau et une galerie de
60

WindowsServer2008

photos. Lexprience utilisateur nactive aucune des fonctionnalits de

Windows Vista par dfaut ; vous devez les activer manuellement.
Gestion des stratgies La gestion des stratgies de groupe facilite la comprhension, le
dploiement, la gestion et le dpannage dimplmentations dune stratgie
de groupe
de groupe. Loutil standard est la console de gestion des stratgies de groupe
(GPMC, Group Policy Management Console), un composant logiciel
enfichable MMC (Microsoft Management Console) scriptable, qui permet de
grer la stratgie de groupe sur lensemble de lentreprise de faon
centralise.
Client
Internet

dimpression Le client dimpression Internet vous permet dutiliser HTTP pour se

connecter des imprimantes qui se trouvent sur des serveurs dimpression
Web et les utiliser. Limpression Internet autorise des connexions entre
utilisateurs et imprimantes qui ne se trouvent pas sur le mme domaine ou
rseau. Parmi les exemples dutilisation, citons celui dun employ en
dplacement dans une succursale ou dans un bar quip dun accs Wi-Fi.

Serveur iSNS (Internet Le serveur iSNS fournit des services de dcouverte pour les rseaux de zone
Storage Name Server) de stockage iSCSI (Internet Small Computer System Interface). Le serveur
iSNS traite des demandes dinscription, dannulation denregistrement et de
clients iSNS.
Moniteur de port LPR

Le moniteur de port LPR (Line Printer Remote) permet aux utilisateurs

disposant dun accs des ordinateurs UNIX dimprimer sur des
priphriques relis ceux-ci.

Message Queuing

Message Queuing fournit une livraison des messages garantie, un routage

efficace, une scurit et une messagerie base sur la priorit entre les
applications. Message Queuing permet aussi la livraison de messages entre
des applications qui sexcutent sur diffrents systmes dexploitation,
utilisent des infrastructures rseau distinctes, sont temporairement hors
connexion ou sexcutent des heures diffrentes.

MPIO (Multipath I/O)

MPIO (Multipath I/O), associ au DSM (Microsoft Device Specific Module)

ou un DSM tiers, fournit une prise en charge pour lutilisation de plusieurs
chemins daccs aux donnes un priphrique de stockage sous Microsoft
Windows.

Protocole PNRP (Peer Le protocole PNRP (Peer Name Resolution Protocol) permet aux
Name
Resolution applications de sinscrire et de rsoudre des noms partir de votre
ordinateur, afin que dautres ordinateurs puissent communiquer avec ces
Protocol)
applications.
Exprience
audio- Lexprience audio-vido haute qualit Windows (qWave) est une
vido haute qualit plateforme rseau destine aux applications de flux AV (audio vido) sur des
rseaux domestiques IP. qWave amliore les performances et la fiabilit des
Windows (qWave)
flux AV en assurant la qualit de service (QoS) sur le rseau des applications
AV. Cette plateforme fournit des mcanismes concernant le contrle
dadmission, lanalyse et la mise en uvre des principes de protection des
informations personnelles lexcution, la rtroaction des applications et la
dfinition des priorits du trafic. Sur des plateformes Windows Server,
qWave fournit uniquement des services de taux de flux et de dfinition de
priorits.
Assistance distance

Lassistance distance (ou une personne charge du support) vous permet de

fournir une assistance aux utilisateurs qui ont des problmes ou des
questions concernant leur ordinateur. Elle vous permet dafficher et de
partager le contrle du Bureau de lutilisateur afin de dpanner et de
61

WindowsServer2008

rsoudre les problmes. Les utilisateurs peuvent aussi demander de laide

auprs damis ou de collgues.
Compression
La fonctionnalit de compression diffrentielle distance est un ensemble
diffrentielle distance dinterfaces de programmation dapplication que les applications peuvent
utiliser pour dterminer si un ensemble de fichiers a chang et, si cest le
cas, pour dtecter les parties des fichiers qui contiennent des modifications.
Outils d'administration Outils d'administration de serveur distant permet une gestion distance de
Windows Server 2003 et de Windows Server 2008 partir dun ordinateur
de serveur distant
excutant Windows Server 2008, en vous permettant dexcuter certains des
outils de gestion pour rles, services de rle et fonctionnalits sur un
ordinateur distant.
Gestionnaire
de Le Gestionnaire de stockage amovible (RSM) gre et catalogue les mdias
stockage amovible
amovibles et fait fonctionner les mdias amovibles automatiss.
Proxy RPC sur HTTP

Le Proxy RPC sur HTTP est un proxy utilis par des objets qui reoit des
appels de procdure distant (RPC) via HTTP (Hypertext Transfer Protocol).
Ce proxy permet aux clients de dcouvrir ces objets mme sils sont
dplacs entre des serveurs ou sils existent des emplacements spcifiques
du rseau, gnralement pour des raisons de scurit.

Services pour NFS

Services pour NFS (Network File System) est un protocole qui agit comme
un systme de fichiers DFS, permettant un ordinateur daccder des
fichiers travers un rseau aussi aisment que sils se trouvaient sur ses
disques locaux. Cette fonctionnalit est disponible pour linstallation dans
Windows Server 2008 pour les systmes Itanium uniquement ; dans les
autres versions de Windows Server 2008, Services pour NFS est disponible
sous forme dun service de rle du rle Services de fichiers.

Serveur SMTP

Un serveur SMTP prend en charge le transfert des messages lectroniques

entre les systmes de messagerie.

Gestionnaire
stockage SAN

de Le gestionnaire de stockage SAN (Storage Area Networks) vous aide crer

et grer les numros dunits logiques dans des sous-systmes de disque
Fibre Channel et iSCSI prenant en charge le service de disque virtuel (VDS)
dans votre rseau de stockage SAN.

Services
simples

Services SNMP

TCP/IP Les services TCP/IP simples prennent en charge les services TCP/IP
suivants : Gnrateur de caractres, Heure du jour, Ignorer, cho et Citation
du jour. Les services TCP/IP simples sont fournis pour une compatibilit
descendante et ne doivent pas tre installs sauf sils sont requis.
Les services SNMP (Simple Network Management Protocol) reprsentent le
protocole standard Internet pour lchange dinformations de gestion entre
applications de console de gestion, telles que HP Openview, Novell NMS,
IBM NetView ou Sun Net Manager et entits gres. Les entits gres
peuvent inclure des htes, des routeurs, des passerelles et des concentrateurs.

Sous-systme pour les Les sous-systmes pour les applications UNIX, associs un package
dutilitaires de support disponible sous forme de tlchargement sur le site
applications UNIX
Web de Microsoft, vous permettent dexcuter, de compiler et dexcuter
des applications UNIX personnalises dans lenvironnement Windows.
Client Telnet

Le client Telnet utilise le protocole Telnet pour se connecter un serveur

Telnet distant et excuter des applications sur ce serveur.

Serveur Telnet

Le serveur Telnet permet aux utilisateurs distants, y compris ceux qui

excutent des systmes dexploitation UNIX, deffectuer des tches
62

WindowsServer2008

dadministration de ligne de commande et dexcuter des programmes

laide dun client Telnet.
Client TFTP (Trivial Le client TFTP (Trivial File Transfer Protocol) sert lire des fichiers depuis
File Transfer Protocol) un serveur TFTP ou crire des fichiers sur celui-ci. TFTP est
principalement utilis par des priphriques ou des systmes incorpors, qui
rcuprent des informations de configuration de microprogramme, ou par
une image de systme au cours du processus de dmarrage partir dun
serveur TFTP.
Clustering
basculement

avec La fonction Clustering avec basculement permet plusieurs serveurs de

collaborer pour fournir une haute disponibilit de services et dapplications.
Cette fonction est souvent utilise pour des services de fichiers et
dimpression, ainsi que pour des applications de base de donnes et de
messagerie.

quilibrage
de
charge rseau

la Lquilibrage de la charge rseau rpartit le trafic sur plusieurs serveurs,

laide du protocole rseau TCP/IP. Il se rvle particulirement utile pour
garantir que les applications sans tat, telles quun serveur Web complet
excutant les services Internet (IIS), sont volutives en ajoutant des serveurs
supplmentaires lors dune augmentation de la charge.

Sauvegarde
Windows Server

de La Sauvegarde de Windows Server vous permet de sauvegarder et de

rcuprer votre systme dexploitation, des applications et des donnes.
Vous pouvez planifier des sauvegardes quotidiennes ou plus frquentes et
protger la totalit du serveur ou des volumes spcifiques.

Gestionnaire
ressources
Windows

de Le Gestionnaire de ressources systme Windows est un outil

systme dadministration du systme dexploitation Windows Server, qui peut grer
lallocation des ressources dunit centrale et de mmoire. La gestion
dallocation de ressources amliore les performances du systme et rduit les
risques dinterfrence entre applications, services ou processus susceptibles
de porter atteinte lefficacit du serveur et au temps de rponse du systme.

Serveur
WINS Le serveur WINS (Windows Internet Name Service) fournit une base de
(Windows
Internet donnes distribue pour linscription et linterrogation de mappages
dynamiques de noms NetBIOS pour les ordinateurs et les groupes utiliss
Name Service)
sur votre rseau. Le service WINS mappe des noms NetBIOS des
adresses IP et rsout les problmes lis la rsolution de noms NetBIOS
dans des environnements routs.
Service de rseau local Le service de rseau local sans fil configure et dmarre le service de
configuration automatique WLAN, que lordinateur dispose dadaptateurs
sans fil
sans fil ou pas. Le service de configuration automatique WLAN numre les
adaptateurs sans fil et gre les connexions sans fil, ainsi que les profils sans
fil contenant les paramtres requis pour configurer un client sans fil en vue
dune connexion un rseau sans fil.
Base
de
donnes La base de donnes interne Windows est un magasin de donnes
relationnelles utilisable uniquement par des rles et des fonctionnalits
interne Windows
Windows, tels que les services UDDI, Active Directory Rights Management
Services (AD RMS), Windows Server Update Services et le Gestionnaire de
ressources systme Windows.
Windows PowerShell

Windows PowerShell est un interprteur de ligne de commande et un

langage de script qui amliore la productivit des professionnels de
linformatique. Il fournit un nouveau langage de script orient administration
et plus de 130 outils en ligne de commande standard permettant une
63

WindowsServer2008

administration systme simplifie et une automatisation acclre.

Service
dactivation Le service dactivation des processus Windows gnralise le modle de
des
processus processus IIS, en liminant la dpendance sur HTTP. Toutes les
fonctionnalits dIIS qui taient prcdemment disponibles uniquement pour
Windows
les applications HTTP sont maintenant disponibles pour les applications
hbergeant des services WCF (Windows Communication Foundation),
utilisant des protocoles non-HTTP. IIS 7.0 utilise galement le service
dactivation des processus Windows pour lactivation base sur des
messages sur HTTP.
Ouvrez lAssistant Ajout de fonctionnalits de lune des manires suivantes :
PourdmarrerlAssistantAjoutdefonctionnalits

Dans la zone Rsum des fonctionnalits de la fentre principale Gestionnaire de serveur,

cliquez sur Ajouter des fonctionnalits.
-- ou -Dans la zone Personnaliser ce serveur de la fentre Tches de configuration initiales,
cliquez sur Ajouter des fonctionnalits.
Remarque
o
o

La fentre Tches de configuration initiales souvre par dfaut lorsquun

membredugroupeAdministrateursouvreunesessionsurlordinateur.
Gestionnaire de serveur souvre lors de la fermeture de la fentre Tches de
configurationinitiales.VouspouvezgalementouvrirGestionnairedeserveur
laide de raccourcis dans le menu Dmarrer ou dans les Outils
dadministration.

Suppression de rles et de fonctionnalits de serveur

Les outils contenus dans Windows Server 2008 vous permettent de supprimer aisment des rles et
des fonctionnalits de serveur. Vous pouvez supprimer des rles laide de lAssistant Suppression de
rle et supprimer des fonctionnalits via lAssistant Suppression de fonctionnalits.
Comment supprimer des rles de votre serveur
Dans Windows Server 2008, vous pouvez supprimer des rles de votre serveur laide de lAssistant
Suppression de rle. Vous pouvez dmarrer lAssistant Suppression de rle depuis la fentre Tches
de configuration initiales ou depuis Gestionnaire de serveur.
Assistant Suppression de rle
LAssistant Suppression de rle simplifie le processus de suppression de rles depuis votre serveur et
vous permet de supprimer plusieurs rles la fois. Vous navez plus besoin douvrir Ajouter ou
supprimer des composants Windows plusieurs reprises pour supprimer plus dun rle, un service
de rle ou une fonctionnalit install sur votre serveur. Une session unique dans lAssistant
Suppression de rle permet deffectuer la configuration de votre serveur.
Avant de supprimer un rle, lAssistant Suppression de rle vrifie quaucun composant logiciel
requis par lun des rles restants na t supprim accidentellement. Le cas chant, lAssistant vous
demande dapprouver la suppression dautres rles, services de rle ou composants logiciels requis par

64

WindowsServer2008

les rles qui demeurent installs. Le risque de suppression de logiciels dont dpendent dautres rles
est pratiquement supprim.
PourdmarrerlAssistantSuppressionderle

Dans la zone Rsum des rles de la fentre principale Gestionnaire de serveur, cliquez sur
Supprimer des rles.
Remarque
o
o

Gestionnaire de serveur souvre pas dfaut lorsquun membre du groupe

Administrateursouvreunesessionsurlordinateur.
Gestionnaire de serveur souvre galement lors de la fermeture de la fentre
Tches de configuration initiales. Vous pouvez galement ouvrir Gestionnaire
de serveur laide de raccourcis dans le menu Dmarrer ou dans les Outils
dadministration.

3 Comment supprimer des fonctionnalits de votre serveur

Dans Windows Server 2008, vous pouvez supprimer des fonctionnalits installes sur votre serveur
laide de lAssistant Suppression de fonctionnalits.
Suppression de fonctionnalits de votre serveur laide de lAssistant Suppression de
fonctionnalits
Vous pouvez supprimer des fonctionnalits laide de lAssistant Suppression de fonctionnalits.
PourdmarrerlAssistantSuppressiondefonctionnalits

Dans la zone Rsum des fonctionnalits de la fentre principale Gestionnaire de serveur,

cliquez sur Supprimer des fonctionnalits.
Remarque
o
o

Gestionnaire de serveur souvre pas dfaut lorsquun membre du groupe

Administrateursouvreunesessionsurlordinateur.
Gestionnairedeserveursouvregalementpardfautlorsdelafermeturedela
fentre Tches de configuration initiales. Vous pouvez galement ouvrir
GestionnairedeserveurlaidederaccourcisdanslemenuDmarreroudans
lesOutilsdadministration.

4 Fentre principale du Gestionnaire de serveur

La fentre principale Gestionnaire de serveur vous permet dafficher un instantan dtaill des
informations didentit de votre serveur, des options de configuration de scurit slectionnes, ainsi
que des rles et fonctionnalits installs.
La zone Ressources et support de la fentre principale Gestionnaire de serveur contient des liens qui
vous aident rester connect aux dernires documentations et tlchargements. Elle vous permet aussi
de participer des programmes de commentaires qui aident amliorer les versions ultrieures de
Windows Server 2008.

65

WindowsServer2008

Zone Rsum serveur

La zone Rsum serveur affiche des dtails sur votre serveur qui se rvlent particulirement utiles
lors du dpannage, tels que le nom dordinateur et les adresses rseau, ainsi que lID de produit du
systme dexploitation excut sur lordinateur.
partir de la zone Rsum serveur, vous pouvez afficher et modifier des connexions rseau, modifier
des proprits du systme et activer et configurer le Bureau distance.
La zone Rsum serveur contient les sous-sections rductibles suivantes :
Informations sur lordinateur
Le tableau suivant dcrit les informations qui apparaissent dans la section Informations sur
lordinateur.
Texteduchamp
Nom complet de lordinateur :

Descriptiondesdonnes
Nom de domaine pleinement qualifi (FQDN) du
serveur cible.

Domaine (ou groupe de travail si lordinateur Suffixe DNS principal

nest pas joint au domaine.
<nom de connexion rseau 1>:

Adresse IP :

<nom de connexion rseau 2>:

Adresse IP :

<nom de connexion rseau 3>:

Adresse IP :

tat dactivation de produit Windows :

Nombre de jours restant pour activer le systme

dexploitation Windows du serveur

ID de produit (si active) :

ID de produit (pas la cl produit Windows)

Informations sur la scurit

Le tableau suivant dcrit les informations qui apparaissent dans la section Informations sur la scurit.
Texteduchamp
tat du Pare-feu Windows

Descriptiondesdonnes
Indique si le Pare-feu Windows est activ sur le serveur.

tat de Windows Update

Affiche si le serveur est configur pour tlcharger et installer des

mises jour logicielles Windows automatiquement

Dernire recherche de mises Affiche le jour et lheure de la dernire vrification par le serveur de
jour
la prsence de mises jour logicielles.
Dernires
installes

mises

jour Affiche le jour et lheure de la dernire vrification par le serveur de

la prsence de mises jour logicielles.

Configuration de scurit Indique si la configuration de scurit avance dInternet Explorer est

active pour les membres du groupe Administrateurs et les autres
renforce dInternet Explorer
utilisateurs.
partir de la zone Informations sur la scurit, vous pouvez aussi dmarrer lAssistant Configuration
de la scurit, qui vous aide crer une stratgie de scurit pouvant tre applique nimporte quel
serveur sur votre rseau.
Zone Rsum des rles
La zone Rsum des rles de la fentre principale Gestionnaire de serveur affiche une liste de tous les
rles installs sur lordinateur. Les noms des rles installs sur lordinateur saffiche au format
hypertexte ; lorsque vous cliquez sur un nom de rle, la page daccueil Gestionnaire de serveur pour
grer ce rle souvre.
66

WindowsServer2008

Pour installer des rles supplmentaires ou supprimer des rles existants, cliquez sur la commande
approprie dans la marge de droite de la zone Rsum des rles.
La commande Accder la page Grer les rles de cette section ouvre la page daccueil Rles,
partir de laquelle vous pouvez trouver plus de dtails sur les rles installs, et connatre, par exemple
les services de rles qui sont installs pour le rle, ltat oprationnel du rle et savoir si des messages
dvnements sont disponibles la lecture pour le rle.
Zone Rsum des fonctionnalits
La zone Rsum des fonctionnalits de len-tte de la page daccueil Gestionnaire de serveur affiche
une liste de toutes les fonctionnalits installes sur lordinateur.
Pour installer des fonctionnalits supplmentaires ou supprimer des fonctionnalits existantes, cliquez
sur la commande approprie dans la marge de droite de la zone Rsum des fonctionnalits.

WindowsPowerShell
Windows PowerShell est un nouveau langage de script et un nouvel interprteur de ligne de
commande base de tches, conu pour ladministration systme. Cr partir du .NET Framework,
Windows PowerShell aide les professionnels de linformatique et les utilisateurs chevronns
contrler et automatiser ladministration du systme dexploitation Windows, ainsi que des
applications sexcutant dans Windows.
Les commandes Windows PowerShell intgres, appeles cmdlets, vous permettent de grer les
ordinateurs de votre entreprise partir de la ligne de commande. Les fournisseurs Windows
PowerShell vous permettent daccder des magasins de donnes, par exemple le Registre et le
magasin de certificats, aussi facilement que si vous accdiez au systme de fichiers. En outre,
Windows PowerShell dispose dun puissant analyseur dexpressions et dun langage de script trs
complet.
Windows PowerShell 1.0 comprend les fonctionnalits suivantes :

129 cmdlets standard pour lexcution de tches dadministration systme usuelles, par
exemple la gestion du Registre, des services, des processus et des journaux dvnements,
ainsi que lutilisation de linfrastructure WMI (Windows Management Instrumentation).
Langage de script base de tches prenant en charge les scripts et outils de ligne de
commande existants.
Conception cohrente. Dans la mesure o les magasins de donnes systme et les cmdlets
Windows PowerShell utilisent une syntaxe et des conventions de dnomination communes, les
donnes peuvent tre partages facilement ; en outre, la sortie dune cmdlet peut servir
dentre pour une autre cmdlet sans nouvelle mise en forme ou manipulation.
Navigation simplifie au sein du systme dexploitation laide de commandes, ce qui permet
aux utilisateurs de naviguer dans le Registre et autres magasins de donnes de la mme faon
que dans le systme de fichiers.
Puissantes fonctionnalits de manipulation dobjets. Les objets peuvent tre manipuls
directement ou envoys vers dautres outils ou bases de donnes.
Interface extensible. Les diteurs de logiciels indpendants et les dveloppeurs professionnels
peuvent crer des outils et utilitaires personnaliss afin dadministrer leurs logiciels.

Utilisation de Windows PowerShell

Pour apprendre utiliser Windows PowerShell, commencez par consulter les ressources suivantes, qui
sont incluses dans loutil :

67

WindowsServer2008

Mise en route (ventuellement en anglais). Brve introduction et didacticiel. Pour louvrir,

cliquez sur Dmarrer, sur Tous les programmes, sur Windows PowerShell 1.0, puis sur Mise
en route.
Guide de lutilisateur (ventuellement en anglais). Introduction dtaille comprenant des
scripts et des scnarios concrets pour vous aider dbuter.
Cmdlet Get-Help. Cmdlet Windows PowerShell qui vous permet dobtenir rapidement des
informations sur les cmdlets et les fournisseurs de votre systme. Pour commencer, dmarrez
Windows PowerShell, puis tapez la ligne ci-aprs linvite de commandes :
get-help
Pour en savoir plus sur le langage de script Windows PowerShell et dautres concepts, lisez
les rubriques about . Pour afficher une liste de rubriques about , tapez :
get-help about

ServerCore
Server Core est une nouvelle option d'installation du systme d'exploitation Microsoft Windows
Server2008.Ellepermetd'installerunenvironnementminimalpourexcuterdesrlesdeserveurs
spcifiques.Cetteoptionpermetdediminuerletauxdemisesjouretlesinterruptionsventuelles
lies la maintenance. En outre, Elle rduit la surface dexposition aux risques informatiques. Une
installationenmodeCoreprendenchargelesrlessuivants:

68

WindowsServer2008

69

WindowsServer2008

CONCLUSION

WINDOWS SERVER 2008 A PLUSIEURS AVANTAGES :

Offrezvousunescuritoptimale. WindowsServer 2008proposedenouvellestechnologies
commel'auditoptimis,lechiffrementdelecteur,letransfertd'vnementsetlesservicesRMS
(Rights Management Services) pour empcher les connexions non autorises vos serveurs,
rseau,donnesetcomptesutilisateur.
Simplifiezvous l'installation et la gestion. Le tout nouveau Gestionnaire de serveur de
Windows Server2008 fournit une console de gestion unifie qui facilite l'installation, la
configurationetlagestionauquotidiendesserveurs.
Optimisezvotreinfrastructure.Lafonctiondevirtualisationintgrevouspermetd'utiliser
plusieurssystmesd'exploitationsurunmmeserveur,cequiamliorel'utilisationdevotre
matriel et la disponibilit du serveur pour les oprations de consolidation des serveurs de
production,dercuprationd'urgence,detestetdedveloppement.
Contrlezlesaccsvotrerseau. Laprotectiond'accsrseau(NAP)deWindowsServer
2008 vous permet de vrifier que les ordinateurs qui tentent d'accder votre rseau sont
conformesauxstratgiesdescuritquevousavezdfinies.
Dopezlesperformancesdevotrerseau. WindowsServer 2008proposedestechnologies
commelerglageautomatiquedelafentrederception,lamiselchellectrceptionet
laqualitdeservice(QOS)quipermettentl'entreprisedetirerpleinementpartidesrseaux
deplusieursgigabitsquisontutiliss
Identifiez et rsolvez efficacement les problmes. De puissants outils de diagnostic vous
donnent une visibilit en temps rel sur votre environnement de serveurs, qu'ils soient
physiquesouvirtuels.
Offrez une exprience utilisateur complte sur le Web. Les outils de dveloppement et
outils applicatifs de Windows Server2008 crent une plateforme scurise et facile grer
pourdvelopperethbergerdemanirefiabledesapplicationsetservicesfournisparlebiais
desserveursouvialeWeb.
Automatisezlestchescourantes. DenouvellestechnologiescommeWindowsPowerShell,
un interprteur de ligne de commande et un langage de script, permettent aux services
Informatique de contrler plus facilement l'administration des systmes et d'acclrer
l'automatisation.
Simplifiezl'administrationdesserveursdanslesagences. Lesamliorationsapportes
ActiveDirectoryetlestechnologiesdechiffrementcommeBitLockerrenforcentlascuritet
rpondentauxbesoinsspcifiquesdesagences.

70

WindowsServer2008