Académique Documents
Professionnel Documents
Culture Documents
ALKA SA
Raphal Roose
Sommaire
Page 2 sur 79
Document ralis par Raphal Roose pour Alka SA
TS Broker ....................................................................................................................................... 70
TS Web Access ............................................................................................................................... 72
Server Core : .......................................................................................................................................... 73
Les Avantages .................................................................................................................................... 73
Les Inconvnients .............................................................................................................................. 73
Utilits ............................................................................................................................................... 73
Exemple cration d'un FileServer ...................................................................................................... 74
Quelques produits complmentaires payants ...................................................................................... 75
SCOM (System Center Operations Manager).................................................................................... 75
SCCM (System Center Configuration Manager 2007) ....................................................................... 75
SCE (System Center Essentials) ......................................................................................................... 75
Astuces .................................................................................................................................................. 76
Lexique .................................................................................................................................................. 78
Source .................................................................................................................................................... 78
Lien GPO ............................................................................................................................................ 78
Lien Migration ................................................................................................................................... 78
Lien Backup........................................................................................................................................ 78
Lien Gnral....................................................................................................................................... 78
Lien Utile............................................................................................................................................ 79
Commandes pour Server Core .......................................................................................................... 79
Page 4 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 5 sur 79
Document ralis par Raphal Roose pour Alka SA
Le systme dactivation
Deux grands types selon la structure de la socit, le MAK (Multiple Activation Key) et le KMS
(Volume License Keys).
fonctionnant jusqu' 180 jours (ou 210 jours lorsque la priode de grce de 30 jours est prise en
compte) sans renouvellement lorsqu'ils sont incapables de contacter un hte KMS. Cette approche
permet aux systmes itinrants de continuer fonctionner entirement pendant un maximum de
sept mois sans ncessiter de contact avec un hte KMS.
Mthodes dadministration
Les consoles
Les consoles dadministration qui fonctionnent grce louverture de port multiples comme le trs
dangereux 445. Ces ports ne doivent tre ouverts quen rseau local.
Il faut les installer sur le serveur ou sur le client vista (minimum SP1) grce au Pack RSAT (Remote
Server Administration Tools for Windows Vista).
Remote Desktop
Prise de contrle distance suivis dune utilisation de console ou ligne de commande sur le serveur.
Nouveaut de la version 2008, toutes les sessions fonctionnent en mode console. Il y a une session
unique par utilisateur ce qui rduit le problme de session non ferme. On est toujours limit 2
connexions mais la politique est beaucoup plus souple car cest deux connexions sortantes. Il ny a
pas de limitation en interne.
Pour rappel, le port est 3389 et la commande pour se connecter directement via un Shell est mstsc
mstsc
/v :NomDuHote /admin
/admin
Page 7 sur 79
Document ralis par Raphal Roose pour Alka SA
Roles + Features
Loutil principal pour la gestion des rles et des features se ralise via le Server Manager qui
reprend beaucoup dinformations sur le systme. Il met disposition galement de nombreux outils
qui permettent de raliser les tches quotidiennes.
La diffrence entre les rles et les features est trs relatif On remarque par exemple le failover
Clustering dans les features. Cest lui qui permet le clustering.
Le Server Manager de Windows Server 2008 prend en charge les rles Active Directory Certificates
Services (AD CS), Active Directory Domain Services (AD DS), Active Directory Federation Services (AD
FS), Active Directory Lightweight Directory Services (AD LDS), Active Directory Rights Management
Services (AD RMS), Application Server, DHCP Server, DNS Server, Fax Server, File Services, Network
Policy and Access Services, Windows Internal DataBase , Print Services, Terminal Services, UDDI
Services, Web Server, Windows Deployment Services et enfin, Windows Sharepoint Services. Bien
videment, par dfaut aucun rle nest install.
Page 8 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 9 sur 79
Document ralis par Raphal Roose pour Alka SA
Fort Test
1
Constitution idal et minimal pour une infrastructure professionnelle. Deux Serveurs qui jouent le
rle de domaine Controller, de global catalog et de DNS. La synchronisation entre ces deux serveurs
fonctionne dune manire incrmentale.
Page 10 sur 79
Document ralis par Raphal Roose pour Alka SA
Pour une meilleure visibilit et pour avoir accs lensemble des options, il est conseill de cocher
dans View loption advanced et voir en tant que container.
Page 11 sur 79
Document ralis par Raphal Roose pour Alka SA
Users
Les users reprsentent les comptes des utilisateurs mais aussi des services tiers (Exemple :
BackupExec) . Il est conseill de raliser un compte par utilisateur, un compte par service tiers, deux
comptes pour les administrateurs (Un simple et un admin). Notez quil y a possibilit de crer des
requtes sur les utilisateurs. Pour ce faire, il faut aller dans Saved Queries News Queries.
Page 12 sur 79
Document ralis par Raphal Roose pour Alka SA
InetOrgPerson
LinetOrgPerson est identique a un user classique de Windows et prsente les mmes options mais
ce type dobjet est plus compatible avec les autres annuaires comme ceux de Novel, Mac, etc.
Il est donc plus que conseill de crer ce type de compte dans les rseaux htrognes.
Computers
Reprsente une machine ou un serveur. Il sajoute automatiquement dans lactive directory lors de
lajout dans le domaine. Par dfaut, ils tombent tous dans le container Computers mais il y a
possibilit de les faire tomber ailleurs via une ligne de commande (voir astuces).
Page 13 sur 79
Document ralis par Raphal Roose pour Alka SA
Les groupes
Il y a deux types de groupe et trois types de scope.
Le type distribution qui nest important que dans les organisations qui possde Exchange.
Le type Security qui sert appliquer des permissions. Notez que le type Security fait
automatiquement le mme quun type distribution.
Les scopes : Domain local (permission), Global (runir des users), universal (pour plusieurs arbres).
Truster
Accompte
DL
Rep
DL
DL
Rep
Microsoft recommande pour des raisons de scurit de toujours mettre des accomptes dans un
Global et ensuite dappliquer celui-ci dans un domaine local. Vous ajoutez de cette manire une
couche de scurit.
Toujours pour une question de scurit, vous devez crer un DL par ressources et
par type de ressource.
Page 14 sur 79
Document ralis par Raphal Roose pour Alka SA
Accompte
Truster
U
DL
Rep
DL
Rep
DL
Rep
Luniversal est utilis pour les grandes forts ou la gestion de la scurit doit tre plus pousse.
Page 15 sur 79
Document ralis par Raphal Roose pour Alka SA
Truster
Admin
Admin
2
3
Page 16 sur 79
Document ralis par Raphal Roose pour Alka SA
Exemple de bonne OU :
Belgique \ Admins
\Users
\Computers \ Servers
\Workstations
\Groupes
Cas pratique : Imaginons quon veut permettre lquipe Help Desk de faire un reset des Passwords
des utilisateurs et quils ont la possibilit dajouter des machines au domaine. On va donc crer un
groupe global HelpDesk qui recevra la dlgation sur lOU User et lOU Workstation.
Page 17 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 18 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 19 sur 79
Document ralis par Raphal Roose pour Alka SA
Le partage
Pour raliser un partage, il suffit de cliquer sur proprite et daller dans longlet share. On peut
ensuite configurer le nom de celui-ci ainsi que ses permissions que nous verrons plus loin. Vous
pouvez bien entendu crer des partages invisibles par les utilisateurs en ajoutant le signe $ la fin du
nom de partage. Ce genre de partage est trs utile pour crer des rpertoires contenant des sources,
des packages dinstallations, etc.
Notez quon voit toujours lensemble des partages via le computer management.
La publication
La publication reprsente la possibilit de rendre facilement un partage accessible un utilisateur.
Soit via un mapping, soit via un raccourci. Cette procdure se ralise souvent via un script de
dmarrage ou via une policy.
Vous pouvez galement publier le partage dans lactive directory. On peut voir rapidement et dune
manire centraliser les partages sur une machine ou surtout sur les serveurs.
Pour ce faire, il faut aller dans le computer management et cliquer sur publish dans les proprits du
partage.
Page 20 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 21 sur 79
Document ralis par Raphal Roose pour Alka SA
Les permissions
Lutilisateur reoit une srie de cl (token) lors de son identification sur le rseau. Ses cls sont
reprsentes par des SID. Exemple : User test : SID ..- 1307, global compta : SID ..-1334
Quand on demande une ressource, il y a vrification via les ACL ou sont vrifi les permissions
(grant).
Notez quun deny explicite est toujours le plus restrictif concernant les ACL.
Rep
Droits Sharing
NTFS
Cest toujours le plus restrictif qui lemporte. Mme si le sharing vous laisse passer
en criture si le NTFS ne lautorise pas vous serez bloqu et inversement.
Droites Sharing
Read : Lecture
Change : Lecture, criture, suppression
Full Control : Lecture, criture, suppression + modification des permissions
Conseil : Au lieu de laisser Everyone, il vaut mieux mettre Authenticated Users ce qui renforce un peu
la scurit.
Page 22 sur 79
Document ralis par Raphal Roose pour Alka SA
NTFS
Read : On peut voir le contenu dun dossier et ses proprits ainsi que des fichiers.
Read & Excute : On peut excuter des fichiers excutable (Exe,bat, cmd, vbs,) et on peut lire les
fichiers. Au niveau des rpertoires, on a les droits de traverse.
List Folder Contents : Traverse et read des dossiers.
Write : Cration de fichier, rpertoires, possibilit de renommer et de modifier les contenus.
Modify : Toutes les options et en plus, on peut supprimer les fichiers. Idem sur les rpertoires mais
ceux-ci doivent tre vide.
Full control : Toutes les options + modification des permissions.
On peut galement ajouter des permissions spciales via longlet advanced. On peut par exemple
empcher de lire les proprits des fichiers et rpertoires. Les options sont vastes et permettent une
configuration trs adaptes.
La notion dhritage
Par dfaut, lhritage sur les dossiers est activ. Un nouveau dossier hritera donc des permissions
de son parent. On peut couper cet hritage en vidant les permissions ou en recopiant les permissions
dans longlet advanced du NTFS.
Attention au groupe users qui a des droits par dfaut sur tous les rpertoires. Il est
plus que conseiller de le changer. Attention galement au Creator Owner qui a des
droits full control par dfaut. Il vaut mieux limiter le creator owner en lui donnant les
mmes permissions que son groupe sur la ressource.
Page 23 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 24 sur 79
Document ralis par Raphal Roose pour Alka SA
Solution idal :
D:
E:
Services
Homes
Du File Server Ressource Manager sur les services et de la gestion de quotas classique sur les homes.
Solution moins idal :
Quotas 1Go par user
D:
Services
300 Mo
Plein pour lutilisateur
Homes
700 Mo
Les quotas
Les quotas sactivent directement sur la partition. Cest une configuration gnrale pour lensemble
de la partition mais on peut nanmoins spcifier une taille plus grande pour certains utilisateurs. On
a galement une partie qui peut servie de reporting sur lespace dj consomm.
Page 25 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 26 sur 79
Document ralis par Raphal Roose pour Alka SA
Vous trouverez le File Server Ressource Manager dans les outils dadministration condition que
le service soit install. Vous pourrez soit utiliser un Quota Template qui est dfinit soit en crer un
nouveau et lappliquer sur un rpertoire.
Page 27 sur 79
Document ralis par Raphal Roose pour Alka SA
Vous galement envoyer des messages ladministrateur ou lutilisateur quand celui-ci arrive la
taille limite. Cest galement via le File Server Ressource Manager que vous pourrez empcher
lcriture de fichier extension bien dfinie. Comme par exemple des MP3 ou des fichiers vidos.
Page 28 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 29 sur 79
Document ralis par Raphal Roose pour Alka SA
Le Shadow Copy
Le service Shadow-Copy est destin au stockage de fichiers sur des dossiers partags.
Il permet :
De limiter les accs physiques aux serveurs pour effectuer des backups de fichiers
restaurer, en offrant des possibilits de rcupration de fichiers directement sur un poste
client supportant le client VSS.
Lors de la configuration de ce service, il faut lui attribuer une taille maximale comme par exemple
15% de la partition.
Page 30 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 31 sur 79
Document ralis par Raphal Roose pour Alka SA
Un backup centralis.
Fault Tolerance mais il est loin dtre idal dans cette tche. Le mieux sera toujours davoir
un systme de clustering.
Il faut dabord dfinir un name space ou un root sur le Domain Controler. Ensuite, on cre le
lien qui se rattache a ce name space . Cest videment un rpertoire partag.
Page 32 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 33 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 34 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 35 sur 79
Document ralis par Raphal Roose pour Alka SA
Hyper-V
Hyper-V sert la virtualisation de serveur ou de client. Il ne fonctionne que sous la version 64 bit
avec un CPU adapt la virtualization. Contrairement Vmware, il nest capable de faire tourner que
des OS Microsoft.
Recommandation :
Plusieurs cartes rseaux dont une toujours disponible en dehors de la Virtualisation.
De la Ram en consquence avec une frquence et un bus lev.
Des disques durs trs rapides pour limiter les temps daccs.
Un CPU adapt la virtualisation comme les Core I7 de chez Intel ( pas de version serveur pour
linstant). Cette nouvelle gnration de processeur (5 mai 09) qui permet un accs la mmoire plus
rapide grce l'apparition du mode triple canal.
Hyper-V manager
Page 36 sur 79
Document ralis par Raphal Roose pour Alka SA
Cest via le HyperHyper-V manager quon configure lensemble des OS virtuels. Il faut tout dabord
dfinir un disque virtuel (VHD) qui accueillera les images virtuelles. Un VHD est limit 2 TB de
donnes. Ensuite, il suffira de crer une machine virtuelle.
Page 37 sur 79
Document ralis par Raphal Roose pour Alka SA
Ces VHD peuvent tre de plusieurs types dynamique , fixe , diffrence , Pass-through .
- Le dynamique comme son nom lindique se redimensionne selon les besoins. Ce mode de
fonctionnement entraine des chutes de performances.
- Le Fixe qui a sa taille de dfinie et qui ne varie pas. Aprs le Pass-through , il donne les meilleures
performances quon peut attendre.
- Disques dannulation ou disques de diffrence, lobjectif du disque de diffrence est de permettre
une image virtuelle davoir comme base une autre image afin que seules les modifications soient
enregistres. Il sagit dun clich diffrentiel. Cette fonction permet de personnaliser des
configurations virtuelles existantes sans modifier les fichiers originaux du disque de la configuration.
Il existe une diffrence entre les disques dannulation et les disques de diffrence : un disque de
diffrence s'applique un disque dur virtuel uniquement alors que les disques d'annulation
s'appliquent tous les disques durs virtuels associs une machine virtuelle. Une fois le type de
disque slectionn, il faut alors choisir entre :
La copie des donnes dun disque physique existant : (cre un VHD qui contient les donnes
du disque physique).
- Pass-trough qui permet de ddicacer un disque physique a un OS virtuel. Il donne les meilleures
performances possibles.
Page 38 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 39 sur 79
Document ralis par Raphal Roose pour Alka SA
Virtual Networks
IO 1
Switch Virtuel
Private
VM 02
VM 03
Switch Virtuel
Internal
IO 2
Switch Virtuel
External
VM 04
VM 05
VM 06
Page 40 sur 79
Document ralis par Raphal Roose pour Alka SA
Le type private et internal permettent de faire des machines de tests qui ne perturberont pas
le rseau.
Serveur
Librairie
Serveur
SCVMM
Serveur
Hyper-V
VM 01
VM 01
Serveur
SCOM
Serveur
Hyper-V
VM 01
VM 01
Serveur
Hyper-V
VM 01
Note
Note : System Center Operations Manager permet de surveiller vos services informatiques.
Page 41 sur 79
Document ralis par Raphal Roose pour Alka SA
Group Policy
L'outil pour les administrer est Group policy Management. Le concept consiste crer un template
de police et puis de l'appliquer sur une OU.
Page 42 sur 79
Document ralis par Raphal Roose pour Alka SA
Fonctionnement
GPO
Sysvol
Fichier TXT
AD dans OU System \
policy contient les
numros de version
avec les liens.
Page 43 sur 79
Document ralis par Raphal Roose pour Alka SA
AD
SYSVOL
Les polices de scurit ne sont en fait que des fichiers textes qui sont index dans lactive Directory.
A chaque fois quun pc dmarre ou quun utilisateur sauthentifie, il y a change avec lactive
Directory pour voir sil y a eu des changements. Si cest le cas, la machine tlcharge les fichiers qui
ont t ajouts ou qui ont t modifis. La commande gpupdate /force oblige la machine
tlcharger de nouveau lentiret des fichiers textes.
Par dfaut, une GPO s'applique tout ce qui est en-dessous d'elle.
OU Belgique
OU Hainaut
OU Compta
On peut nanmoins forcer le systme pour que ce soit une police ascendante qui domine avec la
commande force.
On peut galement appliquer une policy un groupe de personne. Pour ce faire, pendant l'dition de
la GPO, il faut slectionner proprit sur le nom de la GPO et mettre les droits ncessaires dans
l'onglet scurit.
Page 44 sur 79
Document ralis par Raphal Roose pour Alka SA
On peut par exemple renommer les comptes de l'administrator local des machines mais on ne peut
malheureusement pas changer son mot de passe. Pourquoi faire a ? Simplement par ce que ce
compte est connu par tout le monde et qu'il a tout les droits. On ne peut pas le bloquer car son SSID
finit par 500.
Page 45 sur 79
Document ralis par Raphal Roose pour Alka SA
On pourrait aussi mettre le Number of previous logon pour empcher les machines de se loger sans
la prsence d'un domaine. Surtout les Workstation qui n'ont pas besoin de cette option car une
personne qui aurait son compte dsactiv pourrait trs bien se connecter sa machine en retirant
simplement le cble rseau. En dsactivant cette option, il ne sera plus en mesure de se loger sur la
machine.
On pourrait aussi injecter des groupes d'utilisateurs dans un groupe local sur des machines via le
Restricted groups. Par exemple, l'quipe de l'Help-Desk qui a besoin d'avoir l'ensemble des droits
admins en local pour effectuer des tches de maintenance.
Il arrive parfois que certains programmes mal conus doivent avoir les droits administrateurs pour
s'excuter. Il est bien entendu trs dangereux de donner ces droits des simples utilisateurs. Via les
GP dans "File System", vous pouvez donner des droits sur certains rpertoires des machines de votre
parc sans pour autant donner plus de droits. Pour se rendre compte exactement des droits dun
programme, il faut le faire tourner en mme temps que FileMon et RegMon (produit gratuit
de Microsoft) qui donnent un rapport exact des accs du programme sur la machine.
On peut galement bloquer des programmes via le software restriction policies qui se dfinit via des
rgles. Ces rgles sont divises suivant des certificats, des network zone , des path rule et des
hash rule . Le path rule permet de dire quon ne peut plus excuter tel fichier excutable mais on
peut toujours contourner le problme en renommant lexcutable la diffrence du Hash Rue
Page 46 sur 79
Document ralis par Raphal Roose pour Alka SA
qui fait dune certaine faon une photo de lexcutable. Il est alors impossible de lancer lexcutable
et ce mme en le renommant.
On peut limiter la bande passante dun programme en upload sur le rseau via la policy-based
QOS .
On peut allger la charge rseau gnre par les Vista et les Seven en dsactivant les services
Link-layer Topologie et Microsoft peer to peer dans ladministrative.
Page 47 sur 79
Document ralis par Raphal Roose pour Alka SA
Couper lauto play via Windows components qui est souvent responsable de la propagation des virus.
Cacher certains drives via Windows explorer voir mme de bloquer via le prevent acces to driver for
my computer.
A chaque apparition d'un nouvel OS, des nouvelles GP font leurs apparitions. Nous
avons vu que les GP ne sont en fait que des fichiers TXT avec l'information de la GP. Si
vous voulez donc appliquer des nouveauts de GP, vous devez aller sur le nouvel OS
et fabriquer directement la GP sur ce post via le RSAT. Cette GP s'appliquera
l'ensemble du parc qui est en mesure de supporter ces modifications. Il faut retenir que la GP doit
toujours se faire sur l'OS le plus rcent.
Page 48 sur 79
Document ralis par Raphal Roose pour Alka SA
Les prfrences
Nouveaut du systme server 2008, les prfrences permettent dajouter quelques fonctionnalits
intressantes aux GPO.
Policies
Preferences
Page 49 sur 79
Document ralis par Raphal Roose pour Alka SA
Password policy
Une Password policie ne peut s'attacher que sur le domaine. Si on l'attache sur une OU plus bas, a
ne sera appliqu que sur les comptes locaux. On peut quand mme crer une police Fine Grained
PWD sur des groupes d'utilisateurs mais il faut tre totalement en domaine level 2008.
Quelques options :
Account lockout duration : Bloque le compte pendant X minutes. Si on le met sur 0, c'est un blocage
infini. Recommandation 30 min.
Account lockout threshold : Nombre d'erreurs qu'on permet l'utilisateur. Recommandation entre 3
10 erreurs.
Reset account lockout counter after : Temps d'observation des erreurs. Exemple : 30 minutes
Fine Grained PWD : Pour ce faire, il faut utiliser ADSI Edit (sorte de registery pour l'AD) qui permet de
voir l'ensemble des attributs de l'AD et de les modifier. Il faut aller sur le container System, Password
Settings container, cration d'un nouvel objet. La premire valeur permet seulement de donner un
ordre entre diffrentes policie. Les autres valeurs reprsentent la configuration de celle-ci. Une fois la
police cre, il faut l'appliquer dans l'active directory au mme endroit et aller sur les proprit et
puis dans l'onglet Attribute Editor la ligne msDS-PSOAppliesTO et rajouter le compte ou le groupe.
La dernire tape consiste forcer les gens changer les mots de passe pour que celle-ci soit
applique.
Page 50 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 51 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 52 sur 79
Document ralis par Raphal Roose pour Alka SA
Public last logon information " ('windows componement \ windows logon options activ sur le
domain et sur OU des PC) qui ne fonctionne qu'avec Vista ou Seven. Cette option permet de voir
quand on s'est authentifi la dernire fois avec succs et quand la dernire fois, il y a eu quelqu'un
qui a essayer de se connecter sans succs avec son login.
Outils pratique : Admodify.net qui permet d'diter les attributs de tous les objets qu'on dsire.
Page 53 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 54 sur 79
Document ralis par Raphal Roose pour Alka SA
Le modeling qui permet de faire une simulation avec un user X sur une machine Y.
Le group Policy Results qui ne fonctionne que si la personne sest dj authentifie sur la machine. Le
rapport gnr donne les erreurs provoques lors de lapplication de la police. Il tient compte de
levent viewer de la machine.
La possibilit de faire une dlgation de droit sur la GPO. Pour ce faire, il faut ajouter le user dans le
groupe Policy creator owners de lAD. Il faut galement avoir le droit dattacher la police sur une OU.
Par contre, il ne pourra modifier que les polices dont il est le propritaire et inversement pour les
autres membres de ce groupe. Il faudra donc faire une dlgation des GPO vers les autres admins.
Page 55 sur 79
Document ralis par Raphal Roose pour Alka SA
Migration
Etape 1 : Ajouter un domain Controller 2008 via la commande " DCPROMO ". Il est conseiller
d'attendre un ou deux jours pour tre sr qu'il soit bien intgr dans la fort.
Etape 2 : Dplacer les rles vers le 2008. Les rles sont retirs du serveur source et transfr vers le
serveur destination. Pour viter d'oublier des rles, il vaut mieux le faire en ligne de commande via "
ntdsutil " (permet de faire des tches sur un DC). Vrifier qu'il est bien en global catalog. Il est
conseill d'attendre un ou deux jours pour tre sr qu'il joue bien ses diffrents rles.
\ntdsutil
\roles
\connect
\con to server "DC2008"
\quit
\transfert infrastructure master
\transfert naming master
\etc ( Bien vrifier les rles avant de le faire)
Etape 3 : Rajouter un autre DC 2008 ou Retirer un Server 2003 mais avant tout, il faut faire un
DCPROMO pour le retirer l'AD.
Etape 4 : Une fois qu'on na plus d'autres Domaines Controller en ancien OS, on peut changer le
domain functionnal level. Pour bnficier de toutes les options de 2008 comme le " Fine Grained
PWD " ou encore la GPO " Public last logon information ".
Page 57 sur 79
Document ralis par Raphal Roose pour Alka SA
Etape 0
Etape 1
Etape 2
Etape 3
Etape X
DC 2003
DC 2003
avec rles
DC 2003
DC 2003
avec rles
Ajout dun DC
2008 sans rles
DC 2003
DC 2003
sans rles
DC 2003
DC 2003 retirer
via un dcpromo
DC 2008
Inconvnient
Lors de la migration, il garde les scurits de l'ancien systme. Il faut revoir les polices de scurit du
domaine pour les mettre aux gots du jour.
Page 58 sur 79
Document ralis par Raphal Roose pour Alka SA
Lors de la restauration, il faudra peut tre rajouter les drivers dans le DVD de 2008 pour qu'il
reconnaissance le matriel de stockage. Pour ce faire, il faudra modifier le fichier boot.wim du DVD
via le " windows automatique installation kit " version serveur 2008. Ce fichier boot.wim est
responsable du lancement du Windows PE charg en mmoire. Celui-ci sert rinstaller le systme
ou utiliser des outils comme le restore de backup. Le mme fichier install.wim existe pour que des
drivers ou des patchs soient dj compris dans linstallation de base. Le fait de fonctionner avec des
fichiers .wim qui sont des images augmente les performances lors de linstallation en comparaison
un Server 2003.
Page 59 sur 79
Document ralis par Raphal Roose pour Alka SA
Le but du WSUS est de limit la charge rseau mais aussi de mettre en place une politique
d'application des patchs car on peut choisir les patchs qu'on dsire appliquer ou non. WSUS permet
d'avoir un parc informatique homogne.
Le rseau risque par contre d'tre un peu plus lent lors de la mise en place car l'ensemble des
machines va se mettre jour. Il y a galement des petits soucis quand on a plusieurs quipes qui
doivent grer les mise jours. Il vaut mieux dans ce cas d'en avoir un par quipe.
Il faudra prvoir sur le serveur un IIS, un SQL et un grand espace disque pour stocker les patchs et le "
report viewer 2005 ". On retrouvera dans la base de donnes, la configuration du WSUS, la liste des
machines, la liste des patchs, le reporting pour savoir quelle machine quel patch.
Tlchargement
WSUS
SQL
Base de
Donnes
Rpertoire
de stockage
Page 60 sur 79
Document ralis par Raphal Roose pour Alka SA
Fonctionnement
Rejet
Dtection
Approbation
Automatique
Injecter dans la
liste autoriser
manuellement
Injecter dans la
liste autoriser
automatiquement
Dclin
Configuration
Dans la pratique, il vaut mieux viter le Wizard de WSUS pour la configuration car celui-ci skip
l'Automatic Approvals. Pour le configurer, il faut aller dans "Options".
Etape 1 - Configuration de la source : Configuration de la source via " Update Source and Proxy Server
". La source peut tre Microsoft ou un autre WSUS et on peut configurer le serveur proxy si
ncessaire.
Etape 2 - La dtection : Slection des produtis et la classification via " Products and Classificaions " qui
devra se faire en deux tapes car tant qu'il n'a pas synchronis une premire fois avec les serveurs de
Microsoft ou l'autre WSUS la liste des produits n'est pas complte. La classification sert tre
prvenu des types de mise jour de notre choix (peut tre dcocher les drivers). On doit galement
configurer la dtection dans " Update Files and Languages ". Il faut limiter le plus possible les langues
d'updates.
Page 61 sur 79
Document ralis par Raphal Roose pour Alka SA
Etape 3 - Automatic Approvals : Il faut editer le default Automatic en slectionnant les types de mises
jours automatiquement autorises. Il est recommand de slectionner le critical updates, security
updates, definition updates, updates. Le reste doit tre en manuel.
Etape 4 - Synchronisation : Dfinir quand il regarde les mise jours.
Etape 5 - E-mail Notifications : Eventuellement mettre un reporting par mail.
Etape 6 - Les groupes d'ordinateurs : Eventuellement la configuration de groupe d'ordinateur. Elle se
fait soit la main ou soit par Registry.
Etape 7 - Configuration de la partie client : Elle se ralise via une GPO dans "computer \
administrative templates \ windows components \ windows update "
Deux GPO selon la catgorie de machine : Server et Workstation
Server :
Configure Automatic updates properties choisir le 3. On peut laisser l'heure.
Specify Intranet Microsoft Update Service location : Exemple : http//srvpa04:8530 (selon le port
choisit) Si on ne met pas a, les clients vont directement sur le site de Microsoft et ne passe pas par
Wsus.
Workstation :
Configure Automatic updates properties choisir le 4. On peut laisser l'heure.
Specify Intranet Microsoft Update Service location : http//srvpa04:8530
Reschedule Automatic Updates scheduled installations : Enabled 5 minutes (dans le cas ou si la
machine tait coupe lors de l'update)
No auto-restart with logged on users for scheduled automatic updates installation : Enable
Re-prompt for restart with scheduled installations : Enabled 120 minutes par exemple
Allow Automatic Updates immediate installation : Enabled
Rappel : Il est importance d'avoir des OU spare.
Etape 8 - Regarder rgulirement les patchs qui n'ont pas t autoriss automatiquement selon vos
prfrences.
Etape 9 - Faire un wizzard cleaned quand on n'a plus aucune machine d'un OS.
Par dfaut dans la version SMB 2008, il est install. Attention, il faut que le SSID de la
machine soit bien diffrent d'une machine l'autre. Attention donc lors de
l'utilisation des ghost, il faudra bien prvoir un " sysprep " pour diffrentier les
machines.
Note : Vu les donnes, celles-ci peuvent tout fait tre stock sur un simple disque. Inutile de prvoir
du RAID5 pour ce genre de chose. L'idal est de partir sur un disque de 250 Giga.
Page 62 sur 79
Document ralis par Raphal Roose pour Alka SA
IIS
Par dfaut celui-ci n'est pas install. Toutes les options doivent tre installes et actives
manuellement mme celles qui taient prsentes de base en Server 2003 comme l'authentification,
la restriction d'IP ou le remote management.
Page 63 sur 79
Document ralis par Raphal Roose pour Alka SA
Deux outils d'administrations dIIS "Internet Information Services (IIS) 6.0 Manager" et le "Internet
Information Services (IIS) Manager". Le premier sert principalement configurer le FTP qui n'a pas
chang depuis 2003.
La nouvelle version d'IIS apporte beaucoup de changements surtout dans la gestion distance. Lors
de l'installation celle-ci n'est pas activ et mme aprs installation de cette option, le IP$ port 445 ne
fonctionne plus. Deux possibilits pour l'administrer, la classique Remote Desktop qui ne demande
pas d'installer le management service d'IIS ou l'autre possibilit serait d'installer cette option
IIS. Pour se connecter IIS via le "management service, il faut par exemple avoir un Vista avec le
RSAT. On peut galement faire des dlgations via " IIS Manger Permissions "sur un site web pour
des webmasters par exemple.
Page 64 sur 79
Document ralis par Raphal Roose pour Alka SA
Autre nouveaut intressante le " Output Caching " qui permet de faire un cache des pages fort
demandes.
Fonctionnalits
SSL
Le but de SSL est de crypter le trafic mais galement selon les certificats d'tre reconnu dans certain
cas.
La cration d'un certificat :
Il y a trois types de certificat.
Les certificats publics qui demandent un enregistrement dans un organisme accrdit. Ils sont
l'avantage d'tre reconnu par tout le monde. Le certificat vrifie la date de validit, si le nom
correspond bien, une vrification de certificat en cascade, etc.
Les certificats domaine qui demande un serveur de certificat en interne. On fait la demande a ce
serveur qui autorise automatiquement le certificat si le user est reconnu. C'est uniquement les
machines dans le domaine qui lui fera confiance.
Page 65 sur 79
Document ralis par Raphal Roose pour Alka SA
Les certificats auto-signed mais personne ne lui fait confiance. Il ne sert qu crypter de l'information.
Le but est simplement d'avoir une paire de cl pour changer de l'information.
Une fois la certification cre, il faut l'activ au niveau du web site via l'outil "bindings" du site web.
Ensuite, on peut obliger le SSL sur le web site dans les "SSL Settings".
Note : Le common name reprsente l'url ce qui est trs important lors de la demande d'un certificat
public.
Page 66 sur 79
Document ralis par Raphal Roose pour Alka SA
IIS + WSUS
Il est conseill de limiter le nombre de connexions concurrentes sur le site WSUS pour viter de
saturer le rseau quand les clients viennent chercher les mises jour sur le Serveur. On peut penser
de cette manire diffuser des services packs de cette manire.
Terminal Server
Il y a galement eu beaucoup d'avances dans ce rle en Server 2008. Un travail important a t
excut pour rattraper le retard sur du Citrix. Comme par exemple TS Gateway. Session Broker qui
permet l'quilibrage de charge permettant aux utilisateurs de se (re-)connecter des serveurs TS de
manire transparente. TS Web Access qui permet une interface Web permet daccder aux
applications (intgrable dans un portail SharePoint).
). RemoteApp donne la possibilit dintgrer des
applications distantes lenvironnement local de lutilisateur (y compris lassociation des extensions
de fichiers locaux des applications distantes).
Installation
Il faut installer le serveur de licence, le plus haut possible, c'est dire dans la fort. Ne pas oublier de
faire des backups de ces licences.
Page 67 sur 79
Document ralis par Raphal Roose pour Alka SA
Nouveaut
TS Gateway
Fournir un accs depuis lextrieur de lentreprise des serveurs Terminal Server interne tait
jusqu prsent relativement risqu. Le TS Gateway offre une mthode sre pour publier les
terminals serveurs.
Il permet de faire une translation du port 3389 dune adresse publique vers un serveur TS interne.
Cela limitait la connexion un unique serveur, mais surtout exposait potentiellement celui-ci au
"premier venu".
il permet de forcer ltablissement dun VPN avant la connexion Terminal Server, ce qui complique
les procdures de login pour les utilisateurs, mais donne une niveau de scurit satisfaisant.
Sur le Terminal Gateway, on dfinit des policies les CAP (Connection Autorization Policies) et les RAP
( Ressource Autorization Policies).
La CAP permet par exemple de dfinir les mappings par groupes dutilisateurs comme les
imprimantes, cl USB. On peut donc avoir des CAP diffrents par groupe d'utilisateurs
(Administrateurs et utilisateurs par exemple). L'ordre des polices de scurit est trs important.
La RAP permet de dfinir les connexions vers les diffrents serveurs. Mme principe que
prcdemment, on peut donc dire qu'un administrateur a accs l'ensemble des serveurs tandis que
les utilisateurs ont accs a un serveur TS classique. L'ordre n'a pas d'importance dans cette partie.
Attention : Il faut faire une configuration du client quand on passe par un TS Gateway. Il faut aller
dans les options et puis cliquer sur advanced. Il faut alors prciser au client de passer par le TSG
"srvpa01.sql.dom", il faut que le nom correspondant au certificat qui a t attribu par le TSG.
Ensuite, on met l'adresse du serveur au quel on veut accder.
Page 68 sur 79
Document ralis par Raphal Roose pour Alka SA
TS RemoteApp Manager
On peut publier un programme via cette application. Pour ce faire, on ajoute un programme via Add
Remote/ APP Programs pour la mettre dans la liste de publication. Il va falloir crer un package MSI
pour que les gens puissent installer avoir un raccourcis. On peut lors de la configuration le faire
passer par un TS Gateway pour les personnes l'extrieur de l'entreprise. Le programme est donc
excut sur le serveur et l'utilisateur l'impression que l'application tourne sur sa machine.
Page 69 sur 79
Document ralis par Raphal Roose pour Alka SA
TS Broker
Prenons un cas pratique : Imaginons trois terminal server identiques et qu'ils rpondent au mme
nom via un record DNS. Un serveur TS Broker qui sait si une session A existe ou pas. Sil n'y pas de
session existante, il tient jour sa liste A sur le Serveur 2. Lors de la prochaine demande, si la session
n'a pas t ferme le client A sera redirig automatiquement sur le Serveur 2. L'utilisateur rcupra
donc sa session avec ses programmes lancs. C'est une gestion de ferme comme Citrix le permet.
Page 70 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 71 sur 79
Document ralis par Raphal Roose pour Alka SA
TS Web Access
Permet de crer une page web qui centralise les applications qui tourne sur terminal Server.
Page 72 sur 79
Document ralis par Raphal Roose pour Alka SA
Server Core :
Server 2008 sans "interface graphique" grer par lignes de commandes ou par console externe. Il y a
encore moyen de lancer beaucoup d'interfaces graphiques.
Les Avantages
Le systme est moins gourment en ressources.
Plus de scurit car il y a moins de rles donc moins de failles.
Les Inconvnients
Le PowerShell ne fonctionne pas mais il sera prsent avec plus de commandes dans la version 2008
R2.
Les programmes de support qui ne sont tous compatible comme les anti-virus, les backups.
Utilits
File Server, Domain controler, DHCP, DNS , Web, Hyper-V, PrintServer.
Fonctionne trs bien pour le File Server, Domain Controler, DHCP. Pour le reste, la gestion devient
un peu plus difficile.
Page 73 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 74 sur 79
Document ralis par Raphal Roose pour Alka SA
Page 75 sur 79
Document ralis par Raphal Roose pour Alka SA
Astuces
1. Pour accder directement au panneau de configuration des cartes rseaux. Il suffit de lancer
la commande ncpa.cpl
2. servermanagercmd q donne lensemble des composants install sur la machine 2008.
3. La ligne de commande netdom join permet de joindre un client a un domaine en
spcifiant des paramtres de base comme lOU de destination. Cette commande fonctionne
de base sous Vista, Seven et Server 2008. Pour XP, il faut installer la ressource Kit.
4. Les permissions NTFS ne sont gardes que via un move sur la mme partition. Pour palier
ce problme, vous plusieurs solutions :
1. Utilisez la restauration via votre programme de backup.
2. Utilisez la commande XCOPY Source destination /S /H /O /E
3. Utilisez un programme tiers comme Secure Copy.
5. Offline file : Par dfaut, le systme accepte les synchronisations des rpertoires partags ce
qui nest pas toujours idal. On peut imaginer quon ne dsire pas donner la possibilit un
utilisateur de synchroniser un rpertoire service (exemple : rpertoire compta) sans pour
autant lempcher de synchroniser ses documents. Pour ce faire, il faut aller dans le
Computer Management , clic droit sur le sharing, proprit, offlines settings et refuser la
Page 76 sur 79
Document ralis par Raphal Roose pour Alka SA
synchronisation de ce dossier.
6. Home Folder dans longlet profile permet de crer un mapping pour lutilisateur.
\\server\HomeFolder\%username%
Page 77 sur 79
Document ralis par Raphal Roose pour Alka SA
7. Installer le Remote Server Administration Tools sur votre workstation ou portable en vista ou
Seven. Il vous facilitera la vie lors de vos maintenances.
Lexique
DC : Domain Controller
GPO : Groupe Policy
IIS : Internet Information Services
WSUS : Microsoft Windows Server Update Services
SCOM : System Center Operations Manager 2007
SCCM : System Center Configuration Manager 2007
SCE : System Center Essentials
IIS : Internet Information Service
RSAT : Remote Server Administration Tools
Source
Lien GPO
http://technet.microsoft.com/fr-fr/library/cc754461(WS.10).aspx
http://www.microsoft.com/france/technet/prodtechnol/exchange/2003/insider/admodifynet.mspx.
http://blogs.dirteam.com/blogs/jorge/archive/2008/02/10/showing-last-logon-info-at-logon-inwindows-server-2008.aspx
Lien Migration
http://support.microsoft.com/kb/255504/fr
http://www.system-it.net/articles.php?lng=fr&pg=343
Lien Backup
http://www.microsoft.com/downloads/details.aspx?FamilyID=C7D4BC6D-15F3-4284-9123679830D629F2&displaylang=en
http://josvanrijn.spaces.live.com/Blog/cns!50BFE3679B82A2FA!128.entry
Lien Gnral
http://technet.microsoft.com/fr-fr/library/default.aspx
http://technet.microsoft.com/fr-fr/library/dd349801(WS.10).aspx
SCCM : http://www.microsoft.com/france/systemcenter/sccm/default.mspx
SharePoint : http://office.microsoft.com/fr-fr/training/CR102146081036.aspx
SharePoint : http://msdn.microsoft.com/fr-fr/office/msdn.coach.sharepoint.aspx
Page 78 sur 79
Document ralis par Raphal Roose pour Alka SA
Lien Utile
http://www.petri.co.il/add_unlock_user_option_to_dsa.htm
http://www.system-it.net/articles.php?lng=fr&pg=343
http://blogs.dirteam.com
Page 79 sur 79
Document ralis par Raphal Roose pour Alka SA