Contact : tssri-reseaux@hotmail.

fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

LActive Directory Prsentation dActive Directory Active Directory est un annuaire des objets du rseau, il permet aux utilisateurs de localiser, de grer et dutiliser facilement les ressources

Objet ACTIVE DIRECTORY

Active Directory stocke des informations sur les objets du rseau. Il existe plusieurs types dobjets : (serveurs domaines sites utilisateurs ordinateurs imprimantes ) Chaque objet possde un ensemble dattributs :Les attributs permettent deffectuer des recherches prcises dans lannuaire (trouver lemplacement physique dune imprimante, le numro de tlphone ou ladresse dun utilisateur

Schma Active Directory

Il stocke la dfinition de tous les objets dActive Directory comme les utilisateurs, les ordinateurs et les

imprimantes stocks dans Active Directory. il comprend deux types de dfinitions :

1 Les classes dobjets : Dcrit les objets dActive Directory quil est possible de crer. Chaque classe est un regroupement dattributs. 2 Les attributs : Ils sont dfinis une seul fois et peuvent tre utiliss dans plusieurs classes.

Catalogue global
Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du catalogue global il contient une partie des attributs les plus utiliss de tous les objets Active Directory.il permet de : 1 Trouver des informations Active Directory sur toutes la fort 2 Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur le rseau.

Structure logique dActive Directory

1)Les Domaines : domaine est un ensemble dordinateurs et/ou dutilisateurs qui partagent une mme base de donnes dannuaire. Un domaine a un nom unique sur le rseau 2)Les Units dorganisation : Une unit dorganisation est un objet utilis pour organiser les objets au sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que dautres units dorganisation. La cration et la gestion dunits dorganisation passent par quatre phases trs importantes : (La planification. Le dploiement. La maintenance La suppression) 3)Les Arborescences : Une arborescence est un ensemble de domaines partageant un espace de nom contigu. Par exemple, supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine martinique.supinfo.lan Le premier domaine install est le domaine racine de la fort La relation dapprobation entre un domaine enfant et son domaine parent est de type bidirectionnel transitif. 4) Les forts : Une fort est un ensemble de domaines (ou darborescences) nayant pas le mme nom commun mais partageant un schma et un catalogue global commun. Par exemple, une mme fort peut rassembler deux arborescences diffrentes comme laboms.com et supinfo.lan.

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

5)Les objets : Il sagit des composants les plus lmentaires de la structure logique. Les classes dobjets sont

des modles pour les types dobjets que vous pouvez crer dans Active Directory. Structure Physique dActive Directory La structure physique permet doptimiser les changes dinformations entre les diffrents contrleurs de domaine et ce en fonction des dbits assurs par les rseaux qui les connectent.
1)Contrleurs de domaine :Un contrleur de domaine est un ordinateur excutant Windows 2003 Server qui stocke un rpliqua de lannuaire. (Un domaine peut possder un ou plusieurs contrleurs de domaine) 2)Sites et liens de sites :Un site est une combinaison dun ou plusieurs sous rseaux connects entre eux par une liaison haut dbit fiable (liaison LAN). Il permet doptimiser la communication entres les contrleurs de domaine 3)Les partitions active directory La partition de domaine contient les informations concernant tous les objets d'un domaine (les utilisateurs, les groupes, les machines, etc...) La partition de configuration contient la topologie de la fort, c'est--dire les informations concernant les domaines, les sites, les connexions entre les contrleurs, etc La partition de schma contient le schma tendu au niveau de la fort, c'est--dire l'ensemble des dfinitions des classes et attributs des objets pouvant tre crer dans l'annuaire Active Directory.

Les partitions dapplications facultatives contiennent des objets non lis la scurit et utiliss par une ou plusieurs applications. Implmentation dune structure de fort et de domaine Active Directory
Condition requise pour pouvoir installer Active Directory : Un ordinateur excutant Windows 2003 serveur 250 Mo despace libre sur une partition NTFS Les paramtres TCP/IP configur pour joindre un serveur DNS Un serveur DNS faisant autorit pour grer les ressources SRV

Procdure de cration du domaine racine de la fort Vous utilisez lAssistant Installation de Active Directory pour crer une structure de fort et de domaine. Lorsque vous installez Active Directory dans un rseau pour la premire fois, vous devez crer un domaine racine de la fort. Pour crer un domaine racine de la fort, procdez comme suit : 1. Cliquez sur Dmarrer, sur Excuter, puis tapez dcpromo en tant que nom du programme.
Espace de nom DNS et active directory -le domaine DNS et Active directory utilise des noms de domaine identique ainsi les ordinateurs peuvent utiliser le DNS pour rechercher des CD et dautres ordinateur fournissant des services Active directory

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

(le nom DNS=compte dordinateur stock sur AD) Les relations dapprobation :

Les approbations sont des mcanismes qui permettent un utilisateur authentifi dans son propre domaine daccder aux ressources de tous les domaines approuvs. Dans Windows Server 2003, il existe deux types dapprobations : transitives et non transitives.
- Les outils dadministration dActive Directory

Utilisateurs et ordinateurs Active Directory : Cest le composant le plus utilis pour accder lannuaire. Il permet
de grer les comptes dutilisateurs, les comptes dordinateurs, les fichiers et les imprimantes partags, les units dorganisation. Utilisez ce composant logiciel enfichable lorsque vous navez que quelques objets Active

Directory grer. Sites et Services Active Directory : Ce composant permet de dfinir des sites, des liens de sites et de paramtrer la
rplication Active Directory.

Domaines et approbations Active Directory : Ce composant permet de mettre en place les relations dapprobations
et les suffixes UPN. Il propose aussi daugmenter le niveau fonctionnel dun domaine ou dune fort. Schma Active Directory : Ce composant permet de visualiser les classes et les attributs de lannuaire. Pour pouvoir accder la console Schma Active Directory, il faut dans un premier temps enregistrer une DLL. Pour cela, il vous faut ouvrir une invite de commande et taper la commande : regsvr32 schmmgmt.dll Gestion des Stratgies de Groupe : Ce composant permet de centraliser ladministration des stratgie de groupe dune fort, de vrifier le rsultat dune stratgie de groupe ou bien encore de comparer les paramtres de deux stratgies de groupe. Ce composant nest pas disponible sur le CD-ROM de Windows 2003 Server, il doit tre tlcharg sur le site de Microsoft. ADSI Edit : Ce composant permet de visualiser larborescence LDAP relle du service dannuaire. Elle peut savrer utile pour lire ou modifier certains attributs ou certains objets de lannuaire. Elle permet aussi dattribuer des permissions sur les objets de lannuaire avec une granularit plus fine. En outre, elle se rvle quasi indispensable pour dveloppoer une application accdant aux donnes contenues dans lannuaire. Cette console doit tre installe avec les outils de support situs sur le CDROM de Windows 2003 Server. En complment des divers composants logiciels enfichables numrs ci-dessus, divers outils sont mis la disposition de ladministrateur pour grer Active Directory : Lpc.exe : Cet outil permet denvoyer manuellement des requtes LDAP vers nimporte quel annuaire LDAP (Active Directory, NDS, Open LDAP,). Il peut tre utilis pour vrifier la connectivit entre une machine et lannuaire ou bien pour lister des informations bien spcifiques dans une partie de lannuaire. LPC affiche lintgralit des donnes changes entre le poste client et le service dannuaire. Il est disponible avec les outils de support situs sur le CD-ROM de Windows 2003 Server. DSADD : Cet outil en ligne de commande permet dajouter des objets dans lannuaire Active Directory. DSMOD : Cet outil en ligne de commande permet de modifier des objets dans lannuaire Active Directory. DSMOVE : Cet outil en ligne de commande permet de dplacer un objet de son conteneur actuel vers un nouvel emplacement. DSRM : Cet outil en ligne de commande permet de supprimer des objets dans lannuaire Active Directory. DSQUERY: Cet outil en ligne de commande permet dinterroger la base de donnes Active Directory selon des critres spcifis.

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

Ldifde : Loutil en ligne de commande LDIFDE (LDAP Data Interchange Format Directory Export) permet dimporter des donnes partir dun fichier texte vers Active Directory ou bien dexporter des donnes partir dActive Directory vers un fichier texte. Csvde : Loutil en ligne de commande CSVDE est utilis pour importer des comptes dutilisateurs partir dun fichier texte vers Active Directory. WSH : WSH pour Windows Scripts Host est un environnement permettant dexcuter des scripts en VBS ou en JScript. sur une plateforme Windows 9x ou NT

Dlgation du contrle administratif des units d'organisation

Active Directory est un systme intgrant la scuris : seuls les comptes ayant reu les permissions adquates peuvent effectuer des oprations sur ces objets (ajout, modification, ).Les administrateurs, en charge de cette affectation de permissions peuvent aussi dlguer des tches dadministration des utilisateurs ou des groupes dutilisateurs

Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Compte dutilisateur Un compte dutilisateur permet un utilisateur physique douvrir une session unique sur le domaine et daccder aux ressources partages. Il existe trois types de comptes dutilisateurs, chacun ayant une fonction spcifique : 1)Un compte dutilisateur local permet un utilisateur douvrir une session sur un ordinateur spcifique pour accder aux ressources sur cet ordinateur. 2)Un compte dutilisateur de domaine permet un utilisateur de se connecter au domaine pour accder aux ressources rseau, ou un ordinateur individuel pour accder aux ressources sur cet ordinateur. 3)Un compte dutilisateur intgr permet un utilisateur deffectuer des tches dadministration ou daccder temporairement aux ressources rseau. Compte dordinateur :Un compte dordinateur permet didentifier un ordinateur physique dans un domaine par le biais dun mcanisme dauthentification. Il est possible dactiver laudit de laccs dun compte dordinateur aux ressources du domaine. Compte de groupe : Un compte de groupe permet de simplifier ladministration en regroupant des comptes dutilisateurs, dordinateurs ou bien dautres comptes de groupes. Un utilisateur peut tre membre de plusieurs groupes. Les groupes se diffrencient de par leur type et de par leur tendue. Il existe deux types de groupes dans Active Directory : Les groupes de scurit : Vous utilisez des groupes de scurit pour affecter des droits et des autorisations aux groupes dutilisateurs et dordinateurs. Les droits dterminent les fonctions que les membres dun groupe de scurit peuvent effectuer dans un domaine ou une fort. Les autorisations dterminent quelles ressources sont accessibles un membre dun groupe sur le rseau. Une mthode dutilisation efficace des groupes de scurit consiste utiliser limbrication, cest dire, ajouter un groupe un autre groupe. Le groupe imbriqu hrite des autorisations du groupe dont il est membre, ce

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

qui simplifie laffectation en une fois des autorisations plusieurs groupes, et rduit le trafic que peut engendrer la rplication de lappartenance un groupe. Les groupes de distribution : Vous pouvez utiliser des groupes de distribution uniquement avec des applications de messagerie, telles que Microsoft Exchange, pour envoyer des messages un ensemble dutilisateurs. La scurit nest pas active sur les groupes de distribution, ce qui signifie quils ne peuvent pas tre rpertoris dans des listes de contrle daccs discrtionnaire (DACL, Discretionary Access Control List). Pour contrler laccs aux ressources partages, crez un groupe de scurit. Etendue des groupes: Ltendue dun groupe dtermine la manire dont les permissions sont assignes ses membres. Les groupes Windows Server 2003, quils soient de type scurit ou distribution, sont classifis en trois tendues de groupe possibles : Domaine local, globale et Universelle.

Implmentation d'une stratgie de groupe

Une stratgie de groupes est un objet Active Directory qui va contenir un ensemble de paramtres..Une stratgie de groupe peut aussi tre appele GPO (Group Policy Object) Les GPO sont des collections de paramtres de configuration allant des droits des utilisateurs louverture de session, aux privilges daccs aux logiciels quil sera possible dexcuter su un systme donn.
- Les diffrents niveaux fonctionnels dans Active Directory :

Le niveau fonctionnel dun domaine ou dune fort dans Active Directory dfinit lensemble des fonctionnalits supportes par le service dannuaire Active Directory dans ce domaine ou dans cette fort. Dans Windows Server 2003, il existe quatre niveaux fonctionnels de domaine : Windows 2000 mixte (Par dfaut), Windows 2000 natif, Windows Server 2003 intermdiaire et Windows Server2003Windows 2000 mixte : supporte la prise en charge des contrleurs de domaine sous Windows NT 4, Windows 2000 et Windows Server 2003. Windows 2000 natif : supporte la prise en charge des contrleurs de domaine sous Windows 2000 et Windows Server 2003. Windows Server 2003 intermdiaire: supporte la prise en charge des contrleurs de domaine sous Windows NT4 et Windows Server 2003
Les zones DNS intgres Active Directory Une zone est une partie de lespace de nom de domaine possedant un groupement logique denregistrement de ressources qui permet de transrerer des zones et des enregistrement pour fonctionet autant quunit unique Les zones intgrs a active directory sont des zones principales et stube stock comme objet dans la base de donns active directory Les avantages des zones intgres AD

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

1)Mise jour de configuration de matres multiples et scurit avance reposant sur les fonctionnalits dActive Directory. 2)Zone peut tre mise jour par les serveurs DNS fonctionnant sur tout contrleur de domaine du domaine. 3)Les zones sont automatiquement rpliques et synchronises sur les nouveaux contrleurs de domaine ds qu'ils sont ajouts un domaine Active Directory. 4)La rplication d'annuaire est plus rapide et efficace que la rplication DNS standard. DHCP

Le protocole DHCP est une norme IP permettant de simplifier la gestion de la configuration IP hte. La norme DHCP permet dutiliser les serveurs DHCP pour grer lallocation dynamique des adresses IP et des autres donnes de configuration IP pour les clients DHCP de votre rseau.

Comment le protocole DHCP alloue des adresses IP :

Le protocole DHCP gre lattribution et la libration des donnes de configuration dadresse IP en louant la configuration dadresse IP au client par lutilisation dun bail.
Le bail DHCP spcifie la dure pendant laquelle le client peut utiliser les donnes de configuration IP Le processus de cration dun bail DHCP est le processus permettant au client Processus de cration dun bail DHCP DHCP de recevoir des donnes de configuration dadresse IP du serveur DHCP. 1)Le client DHCP diffuse un paquet DHCPDISCOVER pour localiser un serveur DHCP. 2)Le serveur DHCP diffuse un paquet DHCPOFFER au client. pour proposer le bail dune adresse IP un client DHCP. 3)Le client DHCP diffuse un paquet DHCPREQUEST. Un paquet DHCPREQUEST est un message envoy par un client au serveur DHCP pour demander ou renouveler le bail de son adresse IP. 4)Le serveur DHCP diffuse un paquet DHCPACK au client. pour accuser rception ce message contient un bail valide pour ladresse ip ainsi que dautre domaine de configuration. Processus de renouvellement dun bail DHCP Le processus de renouvellement dun bail ou de mettre jour ses donnes de configuration dadresse IP laide du serveur DHCP. Un client DHCP tente automatiquement de renouveler son bail lorsque sa dure a expir de 50 %. Si le serveur DHCP est disponible, il renouvelle le bail et envoie au client un paquet DHCPACK contenant la dure du nouveau bail et les paramtres de configuration mis jour.Si le serveur DHCP nest pas disponible, le client continue utiliser ses paramtres de configuration en cours. Autorisation DHCP Lautorisation DHCP est le processus denregistrement du service Serveur DHCP dans le domaine du service dannuaire Active Directory, afin de prendre en charge les clients DHCP. Configuration dune tendue DHCP Une tendue est une plage dadresses IP valides disponibles pour les baux ou lattribution des ordinateurs clients sur un sous-rseau spcifique.

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

Cest le pool dadresse IP que le serveur peut attribuer au client DHCP (Une seul etendue peut etre attribuer a un sous rseau) Configuration dun agent de relais DHCP Un agent de relais DHCP est un ordinateur ou un routeur configur pour couter les messages DHCP/BOOTP des clients DHCP et les transmettre aux serveurs DHCP sur diffrents sous-rseaux. Fonctionnement de lagent de relais 1)client diffuse un paquet DHCPDISCOVER 2)Lagent de relais transmet le message DHCPDISCOVER au serveur DHCP 3)Le serveur envoie un message DHCPOFFER a lagent de relais DHCP 4)Lagent de relais diffuse le paquet DHCPOFFER 5)CLIENT1 diffuse un paquet DHCPREQUEST 6)Lagent de relais transmet le message DHCPREQUEST au serveur DHCP 7)Le serveur envoie un message DHCPACK a lagent de relais DHCP 8)Lagent de relais diffuse le paquet DHCPACK Gestion dune base de donnes DHCP

Base de donnes DHCP La base de donnes DHCP est une base de donnes dynamique qui est mise jour lorsque les clients DHCP obtiennent ou librent leurs baux dadresses TCP/IP (Transmission Control Protocol/Internet Protocol). Journal daudit DHCP :
Un fichier journal daudit DHCP est un journal o sont consigns des vnements relatifs un service, par exemple le moment o :1)le service dmarre ou sarrte ;2)des autorisations ont t vrifies ; 3)des adresses IP sont loues, renouveles, libres ou refuses.

DNS
Dfinition DNS est une base de donnes distribue hirarchise qui contient les mappages de noms dhtes DNS des adresses IP Fonction de DNS 1)DNS prend en charge laccs aux ressources laide de noms alphanumriques. 3)Avec DNS, les noms dhtes rsident dans une base de donnes qui peut tre distribue entre plusieurs serveurs, ce qui diminue la charge de chaque serveur et permet dadministrer le systme de noms par partitions. 2)DNS prend en charge des noms hirarchiques et permet dinscrire divers types de donnes en plus du mappage de noms dhtes adresse IP qui est utilis dans les fichiers Hosts. une comparaison entre les noms NetBios et DNS :

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

Noms dordinateur NetBios : Type(Plat) Taille maximale (15 caractres) Services de noms(WINS, monodiffusion NetBios, fichier Lmhosts) Noms dordinateur DNS : Type(Hirarchique) Taille maximale (63 octets par tiquette 255 octets par FQDN ) Services de noms(DNS, fichier Hosts) Espace de noms de domaines est une arborescence hirarchise de noms utilise par DNS pour identifier et trouver un hte donn dans un domaine donn, par rapport la racine de larborescence Fonctioneent :Organiser les noms de ressource en une structure logique facile a comprendre 1)Domaine : toute arborescence ou sousarborescence se trouvant dans lespace de noms de domaine. 2)Domaine racine : Reprsent par un( .)indiquant que le nom et a la racise cest--dire au plus haut niveau 3)Domaine de niveau suprieur : Cest la partie a lextrme droite qui dfinit le statut organisationnel (.com , .ma..) 4)Domaine de second niveau : Un nom de domaine de second niveau est un nom unique de longueur variable. Dans lexemple www.microsoft.com, le nom de second niveau est la portion .microsoft du nom de domaine, inscrite par InterNIC et affecte Microsoft Corporation. 5)Sous-domaine : Quand une organisation subdivise son nomde domaine en ajoutant des services ou dpartemeny reprsent par une portion distincte dans le nom de domaine (drif.ofppt.ma) 6)Nom de domaine pleinement qualifi : est un nom de domaine DNS qui a t dfini de faon non ambigu pour indiquer avec certitude son emplacement dans larborescence de lespace de noms de domaine. les requtes DNS Une requte est une demande de rsolution de noms envoye un serveur DNS. Il existe deux types de requtes : requtes rcursives et requtes itratives. Requte rcursive : -le client DNS demande au serveur de fournir une rponse complte. -le serveur peut uniquement renvoyer une rponse complte ou indiquer quil ne sait pas rsoudre le nom -Une requte rcursive ne peut pas tre redirige vers un autre serveur DNS. -Les requtes rcursives sont lances par un client DNS ou par un serveur DNS configur pour utiliser des redirecteurs -La rponse une requte rcursive peut tre positive ou ngative. Les donnes demandes. Un message derreur indiquant que les donnes du type demand nexistent pas. Un message indiquant que le nom de domaine spcifi nexiste pas. Fonctionnement dune requte rcursive 1. Le client envoie une requte rcursive au serveur DNS local. 2. Le serveur DNS local essaie de trouver une rponse dans la zone de recherche directe et dans le cache. 3. Sil trouve la rponse la requte, le serveur DNS la renvoie au client.

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

4. Sil ne trouve pas de rponse, le serveur DNS utilise ladresse dun redirecteur ou des indications de racine pour chercher plus haut dans larborescence. Requtes itratives Une requte itrative est une requte envoye un serveur DNS dans laquelle le client DNS demande la meilleure rponse que peut fournir le serveur DNS sans faire appel dautres serveurs DNS. Les requtes itratives sont parfois appeles requtes non rcursives. Fonctionnement dune requte itratives 1. Le serveur DNS local reoit une requte rcursive dun client DNS. 2. Le serveur DNS local envoie une requte itrative au serveur racine pour obtenir un serveur de noms faisant autorit. 3. Le serveur Racine rpond par une rfrence un serveur DNS plus proche du nom de domaine demand. 4. Le serveur DNS local envoie ensuite une requte itrative au serveur DNS plus proche du nom de domaine demand. 5. Le processus continue jusqu ce que le serveur DNS local reoive une rponse faisant autorit. 6. Cette rponse est alors envoye au client DNS. Dfinition dun redirecteur : Un redirecteur est un serveur DNS que dautres serveurs DNS internes dsignent comme responsable du transfert des requtes pour la rsolution de noms de domaines externes ou hors site. Les indications de racine Les indications de racine sont des enregistrements de ressources DNS stocks sur un serveur DNS qui rpertorient les adresses IP des serveurs racines du systme DNS. Fonction dune indication de racine -le serveur DNS reoit une requte DNS, il consulte sa mmoire cache. Sil na pas ladresse IP du serveur DNS faisant autorit pour ce domaine et quil est configur avec les adresses IP des indications de racine, le serveur DNS interroge un serveur racine sur le domaine situ gauche du domaine racine de la requte.

-Le serveur continue de parcourir le FQDN jusquua ce qua ce quil trouve le serveur faisont autorit -Les indications de racine sont stockes dans le fichier Cache.dns qui se trouve dans le dossier
%Systemroot%\System32\Dns.

Les redirecteurs
Un redirecteur est un serveur DNS que dautres serveurs DNS internes dsignent comme responsable du transfert des requtes pour la rsolution de noms de domaines externes ou hors site. La mise en cache du serveur DNS La mise en cache est le processus qui consiste stocker temporairement dans un sous-systme de mmoire spcial des informations ayant fait lobjet dun accs rcent pour y accder plus rapidement ensuite.

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

Fonctionnement du cache des serveurs DNS Les donnes places dans la memoire cache ont une dure de vir TTL qui dcrement avec le temps.le serveur doit alors les supprims du mmoire cache Configuration des zones DNS Enregistrements de ressources A : rsout un dhte en adresse IP PTR : Rsout une adresse IP en nom dhte SOA : premier enregistrement dans tout fichier de zone SRV : Rsout les noms des serveurs qui fournissent des services NS : identifie le serveur DNS associ a chaque zone MX : serveur de messagerie. CNAME :Rsout un nom dhte en nom dhte Zones DNS Une zone est un ensemble de mappages de nom dhte adresse IP pour des htes situs dans une portion contigu de lespace de noms DNS. Les donnes dune zone sont gres sur un serveur DNS et peuvent tre stockes de deux manires : En tant que fichier de zone plat contenant des listes de mappages ; Dans une base de donnes Active Directory. Un serveur DNS fait autorit pour une zone sil hberge les enregistrements de ressources correspondant aux noms et aux adresses que les clients demandent dans le fichier de zone. Une zone DNS est : -soit une zone principale, secondaire ou de stub. - soit une zone de recherche directe ou inverse. Scurisation dune zone DNS Pour plus de scurit, vous pouvez contrler les personnes autorises administrer les zones DNS en modifiant la liste de contrle daccs. La liste DACL permet de contrler les autorisations accordes aux utilisateurs et aux groupes Active Directory qui peuvent contrler les zones DNS. Types de zones DNS 1)Zone principale : Une zone principale est lexemplaire faisant autorit de la zone DNS. Les enregistrements de ressources y sont crs et grs. 2)Zone secondaire : Une zone secondaire est une copie en lecture seule de la zone DNS. Zone de stub 3 )Les zones de stub : sont des copies dune zone qui contiennent uniquement les enregistrements de ressources ncessaires lidentification du serveur DNS faisant autorit pour la zone en question. Une zone de stub contient un

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

sousensemble des donnes de la zone qui se compose dun enregistrement SOA, NS et A, galement appel enregistrement de rsolution par requtes successives. Zones de recherche 1) Zone de recherche directe : Dans le systme DNS, une recherche directe est un processus dinterrogation qui recherche le nom affich du domaine DNS dun ordinateur hte pour trouver son adresse IP 2 )Zone de recherche inverse :Dans le systme DNS, une recherche inverse est un processus dinterrogation qui recherche ladresse IP dun ordinateur hte pour trouver son nom affich dans le domaine DNS. Transferts de zone DNS Un transfert de zone est le transfert total ou partiel des donnes dune zone partir du serveur DNS vers un serveurs DNS secondaires Il existe deux types de transferts de zone DNS : 1)Transfert de zone complet : Lorsquune requte DNS est effectue avec le type de requte AXFR, la rponse est un transfert de lintgralit de la zone. Une requte AXFR est une demande de transfert de zone complet. 2)Transfert de zone incrmentiel :Type de requte utilis par certains serveurs DNS pour mettre jour et synchroniser les donnes dune zone lorsque celle-ci a subi des modifications depuis la dernire mise jour. Processus de transfert de zone SRV SECONDAIRE > REQUETE SOA POUR UNE ZONE SRV PRINCIPALE > RQUETE A LA REQUETE SOA SRV SECONDAIRE > Requte IXFR OU AXFR POUR UNE ZONE SRV PRONCIPALE> REPONCE A LA REQUETE IXFR (TRANSFERT DE ZONE) Notification DNS (DNS Notify) DNS Notify est une mise jour de la spcification dorigine du protocole DNS qui permet dinformer les serveurs secondaires lorsquune zone est modifie. Fonctionnement de DNS Notify 1. La zone locale hberge sur un serveur DNS principal est mise jour. 2. Dans lenregistrement de ressource SOA, le champ Numro de srie est mis jour pour indiquer quune nouvelle version de la zone a t crite sur un disque. 3. Le serveur principal envoie un message de notification tous les serveurs qui figurent dans sa liste de notification. 4. Tous les serveurs secondaires de la zone qui reoivent le message de notification ragissent en renvoyant une requte de type SOA au serveur principal expditeur de la notification

Mise jour dynamique :

Une mise jour dynamique est le processus par lequel un client DNS cre, inscrit ou met jour de faon dynamique ses enregistrements dans des zones maintenues par des serveurs DNS qui peuvent accepter et traiter des messages pour des mises jour dynamiques

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

Dlgation dune zone DNS

En termes techniques, la dlgation est le processus qui affecte lautorit sur les domaines enfants de votre espace de noms DNS une autre entit en ajoutant des enregistrements dans la base de donnes DNS

Surveillance du service DNS :

Nslookup : permet deffectuer des requtes de test vers des serveurs DNS et dobtenir des rponses dtailles depuis linvite de commande Journal des vnements DNS :VLe journal des vnements DNS est un journal systme configur pour nenregistrer que les vnements DNS Enregistrement de dbogage DNS : Lenregistrement de dbogage DNS est un outil journal facultatif pour DNS, qui stocke les informations DNS Rsolution de noms NetBIOS laide du service WINS Composants du service WINS Serveur WINS est un Ordinateur qui traite les requtes dinscription de nom provenant des clients WINS, inscrit les noms et adresses IP du client, puis rpond aux requtes de noms NetBIOS soumises par les clients. Le serveur WINS renvoie ensuite ladresse IP dun nom demand, si ce dernier figure dans la base de donnes du serveur. Base de donnes WINS stocke et rplique les mappages des noms NetBIOS aux adresses IP dun rseau. Client WINS est un Ordinateurs que vous pouvez configurer pour utiliser directement un serveur WINS ; ces ordinateurs possdent gnralement plusieurs noms NetBIOS . Agents proxy WINS est un Ordinateur qui contrle la diffusion des requtes de noms et rpond lorsque les noms ne figurent pas sur le sous-rseau local. Le proxy communique avec un serveur WINS pour rsoudre les noms, puis les met en cache pour une priode donne. Prsentation dun type de nud NetBIOS Nud de diffusion B : Mthode utilisant les diffusions pour linscri ption et la rsolution de noms. Nud point point P : Mthode nutilise pas de diffusions car il interroge directement le serveur de noms, ce qui permet aux ordinateurs de rsoudre les noms NetBIOS en franchissant les routeurs. Nud M : Combine le nud B et le noeud P, mais fonctionne par dfaut comme un noeud B. Si le noeud M ne peut pas rsoudre un nom par diffusion, il utilise le serveur de noms NetBIOS du noeud P. Noeud hybride H : Combine le noeud P et le noeud B, mais fonctionne par dfaut comme un noeud P. Si le noeud H ne peut pas rsoudre un nom via le serveur de noms NetBIOS, il utilise une diffusion. Configuration de la rplication WINS Bien quun seul serveur WINS puisse traiter les requtes de rsolution de noms NetBIOS pour des milliers de clients, vous devez appliquer une tolrance aux pannes supplmentaires en configurant un deuxime ordinateur excutant Windows Server 2003. Cet ordinateur fera office de serveur WINS secondaire

Contact : tssri-reseaux@hotmail.fr Cours/formation /Video en informatique:Rseaux,Linux,Cisco,2003 Server,securit,

Fonctionnement de la rplication par mission La rplication par mission est le processus qui consiste copier les donnes WINS mises jour dun serveur WINS sur dautres serveurs WINS, chaque fois que le serveur WINS contenant ces donnes mises jour atteint un seuil de modifications spcifi. 1. Un partenaire metteur avertit ses partenaires de rplication chaque fois que le nombre de modifications apportes sa base de donnes WINS dpasse un seuil spcifique, configurable. 2. Lorsque les partenaires de rplication rpondent sa notification par une requte de rplication, le partenaire metteur leur envoie les rplicas de ses nouvelles entres de base de donnes. Fonctionnement de la rplication par rception La rplication par rception est le processus qui consiste copier les donnes WINS mises jour dun serveur WINS sur un autre serveur WINS des intervalles spcifis, configurables. Le processus de rplication par rception se droule comme suit : 1. Un partenaire rcepteur demande, intervalles rguliers, les modifications apportes une base de donnes WINS. 2. Les partenaires de rplication rpondent cette demande en envoyant toutes les nouvelles entres de la base de donnes au partenaire rcepteur.