Voici tout ce quil vous faut savoir en vue dun passage de la certification 70-640 Chapitre 1 Microsoft Windows Server

rver 2008 existe en version 32 ou 64 bits. La version Windows Server 2008 R2 est une version essentiellement en 64 bits. Pour installer la version complte de Windows Server 2008, il faut disposer au moins : 512 Mo de RAM 10 Go despace disque libre Un processeur x86 cadenc au minimum 1 GHz Un processeur x64 cadenc au minimum 1,4 GHz

Active Directory nest quune solution de gestion des identits et des accs (IDA, Identity and Access). Linfrastructure IDA se charge de : Mmoriser les informations sur les utilisateurs, les groupes et les autres identits. Authentifier une identit (Authentification Kerberos dans un domaine). Contrler les accs (Exemple : ACL). Fournir une trace daudit. Linfrastructure IDA est compose de 5 technologies : AD FS : Active Directory Federation Services AD LDS : Active Directory Lightweight Directory Services AD DS : Active Directory Domain Services AD CS : Active Directory Certificate Services AD RMS : Active Directory Rights Management Services AD DS : Active Directory Domain Services : [ANNUAIRE] Ce composant de linfrastructure IDA permet de fournir un service dauthentification et dautorisation dans un rseau et prend en charge la gestion des objets au moyen de stratgies de groupes. Ce dernier fournit galement une solution de gestion et de partage dinformations travers un annuaire et permet de trouver nimporte quel objets au sein dun domaine Active Directory (Serveurs, utilisateurs, imprimantes, groupes, etc.). AD LDS : Active Directory Lightweight Directory Services : [APPLICATIONS] Dans les versions prcdentes de Windows Server, ce composant tait appel ADAM (Active Directory Application Mode). Ce composant prend en charge les applications fonctionnant avec un annuaire. Lannuaire AD LDS ne stocke et ne rplique que les informations associs aux applications. AD LDS permet de dployer un schma personnalis pour prendre en charge une application sans modifier celui dAD DS. Chaque application peut tre dploye avec son propre schma AD LDS. AD LDS ne dpend pas dAD DS et peut tre install sur un environnement autonome comme un groupe de travail.

AD CS : Active Directory Certificate Services : [CERTIFICATS] Ce composant est lquivalent dune autorit de certification dans un domaine Active Directory sous Windows Server 2003 par exemple. AD CS permet de fournir des certificats numriques dans le cadre dune infrastructure cl publique (PKI : Public Key Infrastructure). Les certificats dlivrs par AD CS pourront ainsi servir authentifier des utilisateurs, des ordinateurs, des entits sur le web, des cartes puce, des connexions VPN ou sans fils scuriss, etc

AD RMS : Active Directory Rights Management Services : [INTEGRITE] Active Directory permet dj de scuriser laccs une ressource au moyen dune ACL mais rien ne contrle ce qui arrive au document ou son contenu une fois que lutilisateur la ouvert. AD RMS permet de contrler lintgrit des ressources au-del du contrle daccs standard. AD RMS permet ainsi de protger linformation au moyen de stratgies qui dfinissent les usages autoriss ou interdit sur une ressource. A laide dune stratgie AD RMS, il est ainsi possible dautoriser un utilisateur lire un document mais pas de limprimer, ni de copier son contenu. Pour lutilisation de cette technologie, il faut disposer au minimum dun domaine Active Directory sous Windows 2000 Server SP3, IIS, un serveur de base de donnes tel que Microsoft SQL, un navigateur web supportant RMS comme Internet Explorer et le pack Microsoft Office. AD RMS peut tre coupl AD CS pour protger les documents laide de certificats.

AD FS : Active Directory Federation Services : [APPROBATION] Ce composant de linfrastructure IDA permet lapprobation des environnements Windows et non Windows laide de relations dapprobations. AD FS permet aux utilisateurs authentifis dans un rseau daccder aux ressources dun autre rseau laide dun processus dauthentification unique (SSO : Single Sign On) Dans un environnement fdr, chaque organisation maintient et gre ses propres identits mais peut galement accepter celles dautres organisations issues des partenaires de confiance.

Le schma Active Directory : Le schma permet de dfinir les diffrentes classes dobjets et attributs que peut contenir un annuaire Active Directory. Un compte dutilisateur dans un domaine Active Directory sera dfinit dans le schma laide de la classe dobjet User et possdera les attributs Nom , Prnom , login , mot de passe , etc

Le catalogue global : Cette partition dActive Directory contient des informations sur tous les objets de lannuaire. Elle contient une rplique partielle dobjets de lannuaire. Cest une sorte dindex qui permet de localiser des objets dans lannuaire.

Les services de rplication distribuent les donnes de lannuaire travers le rseau.

LDAP : Lightweight Directory Access Protocol Ce protocole permet dinterroger et de modifier un service dannuaire. Bas sur TCP/IP.

La base de donnes Active Directory : Stock dans un fichier sur un contrleur de domaine lemplacement suivant :

%SystemRoot%\Ntds\Ntds.dit La base de donnes Active Directory est divis en plusieurs partitions : Schma , Configuration , Catalogue Global et le contexte de nommage (Le contexte de nommage contient les donnes sur les objets dun domaine tel que les utilisateurs, les groupes, les ordinateurs, etc). Les contrleurs de domaine : Egalement appel DC, hbergent le rle AD DS hbergent le service KDC (Key Distribution Center) de Kerberos Les domaines Active Directory : Un domaine est une unit administrative au sein de laquelle certaines fonctionnalits et caractristiques sont partags. Un domaine reprsente un primtre au sein duquel des stratgies sont dfinies. Une fort : Cest un regroupement de plusieurs domaines Active Directory. Une fort possde un seul schma, une seule partition de configuration et un seul catalogue global. Le premier domaine install dans une fort est appel domaine racine de la fort. Une fort possde plusieurs arbres. Un arbre : Cest un ensemble de domaines situs sous une racine unique formant un espace de nom DNS contigus. Plusieurs arbres dont lespace de noms DNS nest pas contigu constituent une fort. Il existe trois niveaux fonctionnels de domaine sous Windows Server 2008 : Windows 2000 natif Windows Server 2003 Windows Server 2008 Il existe deux niveaux fonctionnels de fort sous Windows Server 2008 : Windows Server 2003 Windows Server 2008

Une unit dorganisation (OU, Organizational Unit) : Les objets dun domaine peuvent tre contenus dans un conteneur nomm unit dorganisation ou OU . Une OU permet dorganiser les objets dun domaine afin de les grer laide dobjets de stratgies de groupe.

Un site : Un site Active Directory est un objet spcifique. Lobjet site reprsente une portion de lentreprise dans laquelle la connectivit rseau est bonne. Un site cre une frontire de rplication et de lutilisation des services.

A lidentique de Windows Vista, linstallation de Windows Server 2008 est bas sur une image au format Install.wim (Environnement WinPE). Il existe deux types dinstallation de Microsoft Windows Server 2008 : Complte : Bas sur une interface graphique habituelle. Minimale : Aussi appel Core Server et ne dispose daucune interface graphique. Il existe deux mthodes dinstallation de Microsoft Windows Server 2008 : Manuelle : Appliquez Install.wim et utilisez le fichier Unattend.xml pour personnaliser linstallation. Automatique : Installez, configurez, capturez et dployez en utilisant les outils IMAGEX, Windows Deployment Services Pr requis dinstallation dun contrleur de domaine (Ajout du rle AD DS) : Il faut possder le nom du domaine DNS / Netbios Avoir une ide du niveau fonctionnel du domaine Active Directory Avoir un adressage IP fixe Prvoir lemplacement de la base de donnes (Ntds.dit) et le rpertoire SYSVOL Lajout de rles seffectue via la console Gestionnaire de serveur .

Pour crer un contrleur de domaine, il suffit dajouter le rle AD DS puis de taper la commande dcpromo pour configurer, initialiser et dmarrer Active Directory. Aprs linstallation, la fentre Tches de configuration initiales saffiche afin de configurer les informations de bases (Nom de lordinateur, mises jours, rles, etc). Pour faire rapparaitre cette fentre, il suffit de taper Oobe.exe . Pour viter louverture de cette fentre chaque redmarrage, cochez la case suivante :

La console Gestionnaire de serveur permet dadministrer Windows Server 2008. Cest un regroupement des consoles Gestion de lordinateur et Ajout suppression de programmes . Lorsquon excute la commande dcpromo sur un contrleur de domaine sur lequel le rle AD DS na pas t install, la commande le fera automatiquement. Windows Server 2008 autorise la cration dun contrleur de domaine en lecture seule nomme RODC qui veut dire Read-Only Domain Controller . Le premier contrleur de domaine dune fort devient le Catalogue Globale (GC, Global Catalogue) et ne peut pas tre un en lecture seule (RODC).

Lors de linstallation dActive Directory, il est recommand de sparer lemplacement des composants suivants sur des partitions diffrentes : Par dfaut C:\Windows\NTDS : Les journaux systmes La base de donnes (Ntds.dit) Le volume systme (SYSVOL) Linstallation minimale de Windows ne possde pas dinterface graphique. Il nest pas possible dy installer le framework .NET. Les sites web ne peuvent tre que statiques. Si on souhaite outre passer cette limitation technique, il faudra basculer vers un OS en Windows Server 2008 R2. Pour installer la version minimale de Windows Server 2008, il faut disposer au moins : 256 Mo de RAM 3 Go despace disque libre Un processeur x86 cadenc au minimum 1 GHz Un processeur x64 cadenc au minimum 1,4 GHz Linstallation minimale prend en charge 9 rles et 11 fonctionnalits . Commandes de bases dun Server Core : Modifier le mot de passe administrateur : Net user administrator * Dfinir une IP statique IPV4 : Netsh interface ipv4 Joindre un domaine : Netdom Ajouter des rles et des fonctionnalits : Ocsetup.exe Afficher les rles et fonctionnalits installes : Oclist.exe Activer le bureau distance : Cscript C:\windows\system32\scregedit.wsf /AR 0 Promouvoir un contrleur de domaine : Dcpromo.exe Configurer DNS : Dnscmd.exe Configurer DFS : Dfscmd.exe Chapitre 2 Une console mmc possde 4 modes diffrents : Mode auteur : Personnalisation complte Mode utilisateur accs total : Possibilits de parcourir tous les composants Mode utilisateur accs limit, fentre multiple : Possibilit de configurer plusieurs fentres correspondant des composants spcifiques Mode utilisateur accs limit, fentre unique : Pas de personnalisation de laffichage ou de la console

Lemplacement denregistrement par dfaut dune console mmc est situ lemplacement suivant : %profilutilisateur%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Outils dadministration

Le composant logiciel enfichable Schma Active Directory nest pas disponible par dfaut car il nest pas enregistr. Pour lajouter, tapez la commande : regsvr32 schmmgmt.dll

Dans les Best Practices Microsoft , un administrateur doit toujours ouvrir une session sur sa machine cliente avec un compte dutilisateur standard, et dmarrer les outils dadministration en utilisant la commande Excuter en tant quadministrateur . RSAT (Remote Server Administration Tool) : Cest lquivalent de lAdmin Pack sous Windows XP. Ce composant permet dinstaller les outils dadministration distance sur Windows Server 2008, Windows Vista ou Windows 7 MMC (Microsoft Management Console) : Cest un composant de Windows Server qui permet de centraliser les outils dadministration au sein dune mme console en rajoutant des composants logiciels enfichable (Snap In). Lextension est au format *.msc . Pour crer une console dadministration personnalise, il suffit de taper la commande mmc Lors de la cration dune OU, on a dsormais la possibilit de la protger des suppressions accidentelles en cochant une case :

Lorsque lon tente de supprimer une OU protg par la suppression accidentelle , on obtient un message derreur mme si on est Administrateur du domaine :

Pour supprimer une OU protge contre la suppression accidentelle , il suffit dactiver les fonctionnalits avancs de la console Utilisateurs et ordinateurs Active Directory Dditer les proprits de lOU et dans longlet OBJET et dcocher la case Protger lobjet des suppressions accidentelles : Un suffixe UPN User Principal Name correspond au nom dutilisateur dans un domaine Active Directory auquel on rajoute un @ suivi du nom de domaine DNS. Exemple : Si on a le login suivant pduran dans le domaine contoso.com , le suffixe UPN de cet utilisateur sera pduran@contoso.com

Pour ouvrir le composant Utilisateurs et Ordinateurs Active Directory , il suffit de taper la commande dsa.msc Les requtes sauvegardes : Cest une fonction introduite depuis Windows Serveur 2003 qui permet de crer des requtes de recherches personnalise dans lActive Directory. Une requte est cre dans linstance du composant logiciel enfichable. Pour lutiliser dans une autre instance ou la transmettre un autre utilisateur, il suffit de lexporter au format *.xml. Loption requtes sauvegarde napparait pas la console Utilisateurs et Ordinateurs Active Directory prsente dans la console Gestionnaire de serveur . Pour avoir accs cette option, il suffit de lancer dsa.msc La commande DSQUERY permet de trouver des objets dans lActive Directory. DSquery user : permet de rechercher des utilisateurs DSquery computer : permet de rechercher des ordinateurs Dsquery group : permet de rechercher des groupes Exemple : dsquery user name James* Cette commande recherchera tous les utilisateurs dont le nom commence par James

DN (Distinguished Name) : Reprsente le chemin daccs complet dun objet dans lAD. Ce dernier est unique au sein du domaine. Exemple : DN CN=James Fine,OU=Utilisateurs,DC=contoso,DC=com CN (Common Name) : Reprsente le nom commun dun objet. Lorsquon cr un objet dans un AD, le champ Nom complet permet de crer le CN de lobjet. RDN (Relative Distinguished Name) : Reprsente la portion du DN qui prcde la premire OU ou le premier conteneur. Tous les RDN ne sont pas des CN Exemple 1 : CN=James Fine,OU=Utilisateurs,DC=contoso,DC=com Le RDN de cet objet utilisateur est CN=James Fine Exemple 2 : OU=Utilisateurs,DC=contoso,DC=com Le RDN de cet objet unit dorganisation est OU=Utilisateurs Dans Active Directory, la dlgation de contrle permet une organisation dassigner des tches administratives spcifiques aux quipes et aux individus appropris. Les autorisations dun objet sont appels des entres de contrles daccs (ACE, Access Control Entries) et son affects des groupes ou des ordinateurs (appels entits de scurit) Les ACE sont sauvegards dans la liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List). Pour accder lACL (Access Control List) dun objet, il suffit dafficher les Fonctionnalits avances de la console Utilisateurs et Ordinateurs Active Directory, dafficher les proprits dun objet et cliquer sur longlet Scurit .

Pour afficher la DACL dun objet, il suffit de cliquer sur le bouton Avanc dans longlet Scurit dun objet :

La dlgation est le rsultat des autorisations, ou ACE, sur la DACL des objets AD.

Une dlgation est laction dattribuer une personne ou un groupe, des droits administratifs sur des objets de lAD. Pour dlguer des tches administratives, il est recommand dutiliser lassistant de dlgation de contrle plutt que de modifier les ACL dun objet. Pour vrifier avec efficacit les autorisations dun objet, tapez la commande suivante : Dsacls OU=People, DC=Contoso, DC=com Pour rinitialiser les autorisations dun objet, tapez la commande suivante : Dsacls OU=People, DC=Contoso, DC=com /resetDefaultDACL Best Practice : Lorsquon conoit une structure do dans un AD, il faut crer des OU par type dobjet. Par exemple, une OU nomme People sera ddie hberger le compte des utilisateurs et non des ordinateurs. Par dfaut et pour des raisons de scurit, un compte dutilisateur standard na pas le droit de se connecter sur un contrleur de domaine. Pour lautoriser temporaire des fins de tests, vous pouvez ajouter le compte de lutilisateur dans le groupe Oprateurs dimpression . Avec Windows Server 2008, il est possible douvrir plusieurs session localement sur un contrleur de domaine afin de switcher entre les sessions ouvertes sont fermer les programmes de lutilisateur en cours.

Chapitre 3 Pour automatiser la cration de comptes dutilisateurs, il est possible dutiliser des outils en ligne de commandes comme CSVDE (Coma Separated Value Data Exchange) ou LDIFDE (LDAP Data Interchange Format Data Exchange) Lorsquon utilise les commandes CSVDE ou LDIFDE, il faut utiliser les paramtres -i pour spcifier le mode importation , -f pour spcifier le nom du fichier importer et -k

pour spcifier que lon souhaite excuter la commande en ignorant les erreurs. Exemple : Csvde -i -f [Nom du fichier] -k Ldifde -i -f [Nom du fichier] -k Active Directory comporte plusieurs utilitaires intgr lOS et qui permettent dexcuter plusieurs tches administratives en ligne de commande : Dsadd : Permet de crer un objet dans lannuaire Dsget : Permet dafficher les attributs dun objet Dsmod : Permet de modifier les attributs dun objet Dsmove : Permet de dplacer un objet dune OU une autre Dsrm : Permet de supprimer un objet ou une arborescence de lannuaire Dsquery : Permet dexcuter des requtes bas sur des critres spcifiques dans lAD

Exemple : Dsadd user cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com Dsrm user cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com Dsget user cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com CSVDE permet dimporter ou dexporter des utilisateurs laide dun fichier au format txt ou csv . Le fichier importer est un fichier texte spar par des virgules dans lequel la premire ligne dfinit les noms dattributs imports par LDAP (Lightweight Directory Access Protocol) LDIFDE permet dimporter ou dexporter des utilisateurs

En installant la fonctionnalit Windows PowerShell, il est possible de crer des utilisateurs en ligne de commande. Il est galement possible de crer des objets dans lAD avec Vbscript.

Exemple : Set objOU=GetObject( LDAP://OU=People,DC=contoso,DC=com ) set objUser=objOU.Create( user , CN=Mary North ) objUser.Put sAMAccountName , mary.north objUser.SetInfo()

Chapitre 4 Dans lAD, il existe 7 types de groupes diffrents : Deux types de groupes de domaine avec

trois tendues chacun et des groupes de scurit locaux. Un groupe AD possde, tout comme un compte dutilisateur, un SID (Security Identifier)

Lorsquon cr des groupes dans AD, il faut sassurer quon respecte une convention de nommage dfinit lavance. Il existe deux types de groupe : Des groupes de scurit et des groupes de distribution. Il existe quatre types dtendue : Domaine locaux, globaux, universelle, locale Un groupe possde plusieurs tendues : Locale ou Globale

Les groupes de distributions sont essentiellement utiliss par les applications de messagerie. La scurit ny est pas active : Ils nont pas de SID (Security IDentifier) et ne peuvent donc pas recevoir dautorisations vers des ressources. Envoyer un message un groupe de distribution revient lenvoyer tous les membres de ce groupe. Les groupes de scurit sont des entits de scurit dotes didentificateur de scurit (SID). En consquence, ils peuvent faire office dentre dautorisation dans des ACL pour contrler la scurit de laccs aux ressources. Les groupes de scurit peuvent tre utilis comme groupes de distribution par les applications de messagerie. Dans les best Practices, si vous avez un groupe qui ne sert que de liste de distribution, il est recommand de le crer en tant que groupe de distribution. Sinon le groupe reoit un SID qui est ajout au jeton daccs de scurit de lutilisateur ce qui peut conduire un problme daugmentation des jetons (token bloat). Les groupes locaux ne servent qu grer la scurit des ressources sur un systme et sont crs uniquement dans la base de donnes SAM dun serveur membre du domaine. Les groupes locaux peuvent hberger tout types de ressource en provenance de nimporte quel domaine approuv. Les groupes de domaines locaux ne servent qu grer des entits de scurit dans le domaine. Ils peuvent hberger tout type de ressource en provenance de nimporte quel domaine approuv et sont rpliqus sur lensemble des contrleurs de domaine. Les groupes globaux ne servent qu dfinir des collections dobjets des domaines bass sur des rles. Ces derniers ne peuvent hberger uniquement des ordinateurs, des utilisateurs ou des groupes globaux du mme domaine. Ils sont rpliqus vers lensemble des contrleurs de domaine. Les groupes universels sutilisent surtout dans les environnements multi-domaines. Ces

groupes accueillent des users, ordinateurs ou des groupes (Globaux ou universels) issue de toute la fort. Ces groupes peuvent servir grer des ressources dans des contextes multi-domaines. Ils sont rpliqus sur le Catalogue Global (CG). Une fois quun groupe est cr, il est possible de modifier sont tendue. Il est possible de modifier le type dun groupe avec la commande dsmod : dsmod group [DNgroup] -secgrp {yes | no} -scope {l | g | u} Lorsquon ajoute un utilisateur un groupe, la modification nest pas prise en compte de suite. Il faut que lutilisateur ferme sa session puis se reconnecte au domaine afin de renouveler son jeton de scurit avec le SID du groupe nouvellement ajout. Un Shadow Group est un concept dans lActive Directory qui consiste crer un groupe de scurit qui contiendrait tous les utilisateurs dune unit dorganisation afin dy grer des droits daccs sur des ressources. Les groupes par dfaut sont des groupes qui existent linstallation de lOS ou de lAD. Exemple : Le groupe administrateur de lentreprise, administrateur du domaine, oprateur de serveur, oprateur de compte, oprateur dimpression etc. Une unit spciale est un groupe particulier qui est grer par le systme dexploitation. Exemple : Groupe tout le monde, ouverture de session anonyme, interactif, rseau, etc. Longlet grer par dun groupe AD permet de dlguer la gestion de lappartenance aux groupes. La commande run as permet dexcuter des programmes avec dautres informations didentification. Exemple : runas /user :aasimane cmd.exe

Chapitre 5 Un compte dordinateur dans un domaine AD possde lidentique dun compte dutilisateur, un SID, un mot de passe, un nom douverture de session. Le mot de passe est grer par le systme et ce dernier est renouvel en moyenne tous les 30 jours. Par dfaut lorsquune machine rejoint un domaine, un objet Ordinateur correspondant au nom de la machine est cr dans lOU Computers . LOU computer est un objet prdfini linstallation dAD DS. Il nest pas possible dy appliquer des GPO.

Afin de rediriger le rpertoire par dfaut des ordinateurs qui joigne un domaine, il suffit dutiliser la commande redircmp : redircmp [DN pour les nouveaux objets ordinateurs] La commande redirusr permet de rediriger le rpertoire des utilisateurs par dfaut

Il est recommand de crer un compte dordinateur dans lActive Directory avant de joindre la machine au domaine. Par dfaut, les utilisateurs peuvent joindre 10 machines au domaine avec leur compte. Si on veut interdire la possibilit de joindre une machine au domaine pour un compte standard, il suffit dutiliser ADSI et de modifier lattribut ms-DS-MachineAccountQuota 0.

Lors de la cration du premier contrleur de domaine de la fort, il faut penser bien architecture larborescence de ses OU. A savoir, il est recommand de crer une OU par type dobjet et les regrouper par site, par rgion, par Pays, par filiale afin de faciliter ladministration et mieux se retrouver dans lAD. Il est recommand de nomm les comptes dordinateur de faon a pouvoir les identifier rapidement dans lAD ou mme reconnaitre plus facilement la diffrence entre un portable et un ordinateur fixe. Tout comme les objets utilisateurs, il est possible dutiliser les commandes Powershell, CSVDE, LDIFDE, NETDOM ou les commandes DS pour grer, importer ou exporter les comptes dordinateurs. Tout compte dordinateur dun domaine possde un SID, un nom dutilisateur (sAMAccountName) et un mot de passe stock sous la forme dun secret LSA (Local Security Authority) qui est chang tous les 30 jours. Pour recycler un ordinateur et lutiliser dautres fins tout en gardant son appartenance aux diffrents groupes de scurit, il suffit juste de rinitialiser son mot de passe et joindre une machine au domaine. La commande nltest permet de vrifier si le canal scuris entre lordinateur et le domaine nest pas rompue ou dsynchronis. Le service NETLOGON se charge dauthentifier la machine sur le domaine.

RAPPEL : Chaque objet Active Directory possde un GUID (Globally Unique IDentifier) qui identifie de manire unique lobjet dans lannuaire.

Chapitre 6 Une stratgie de groupe (GPO, Group Policy Objet) est un objet qui permet dappliquer des paramtres personnaliss aux objets dune OU. Pour diter une GPO, il faut utiliser le composant Gestion de Stratgie de groupe (GPMC, Group Policy Management Console) Ltendue dune stratgie de groupe correspond la collection dobjets qui appliqueront le paramtre spcifi dans le GPO. Le jeu de stratgie rsultant (RSoP, Resultant Set of Policy) permet de dterminer lensemble des GPO qui sappliquent un objet utilisateur ou ordinateur. Les paramtres de stratgies sappliquent louverture de session pour les utilisateurs et au dmarrage pour les ordinateurs. Ces paramtres sappliquent nouveau toutes les 90 120 min qui suivent. Pour forcer lactualisation des stratgies de groupe, il suffit dutiliser la commande suivante : Gpupdate /target :computer ou Gpupdate /target :user La commande Gpupdate possde les commutateurs suivant : /force : pour forcer les stratgies sappliquer /logoff : pour forcer la fermeture de session aprs la mise jour des GPO /boot : pour forcer le redmarrage de lordinateur aprs la mise jour des GPO Il existe deux types de GPO : GPO locaux GPO du domaine Les GPO locaux sont stocks dans %SystemRoot%\System32\GroupPolicy. Par dfaut, seul les stratgies Paramtres de scurit sont configur.

Les GPO bass sur le domaine sont stocks sur les contrleurs de domaines.

Le client de stratgie de groupe est un service qui se charge de tlcharger les GPO qui ne sont pas encore en cache. Une fois tlcharg, une srie de processus appel extension ct client (CSE, Client-Side Extension) se chargent dinterprter les paramtres du GPO. Un GPO de domaine contient deux composants : Un conteneur de stratgie de groupe (GPC, Group Policy Container). Un modle de Stratgie de groupe (GPT, Group Policy Template). Le GPC est un objet Active Directory stock dans le conteneur Objets de stratgie de groupe. Ce dernier dfinit les attributs du GPO mais ne contient aucuns paramtres. Le GUID de cet objet dfinira le nom de la collection de fichier (GUID GPO) Le GPT dsigne les paramtres du GPO qui sont stocks dans une collection de fichiers stocke dans le dossier SYSVOL des contrleurs de domaine lemplacement suivant : GPT de la GPO = %SystemRoot%\SYSVOL\Domain\Policies\GUID GPO

Un GPO possde un numro de version qui est incrment chaque changement. Ce numro est stock sous la forme dun attribut du GPC dans le fichier GPT.ini .

Contenu du fichier GPT.INI : NB : Il est recommand dactiver le paramtre de stratgie Toujours attendre le rseau lors du dmarrage de lordinateur et de louverture de session . Grce ce dernier, un utilisateur ouvrira toujours une session aprs avoir tlcharger les dernires stratgies du domaine. Ce paramtre se trouve sous : Configuration ordinateur\Stratgie\Modles dadministration\Systme\Ouverture de session

GPSI (Group Policy Software Installation) est un lment de la stratgie de groupe qui permet de grer linstallation de logiciel. Le client de stratgie de groupe dtecte aussi la vitesse de connexion un domaine. Il est donc possible de configurer un GPO afin dempcher lapplication des paramtres lorsquune

liaison lente est dtect. Par dfaut, une liaison est considre comme lente lorsque le dbit est infrieur 500 kilobits par seconde (kbps). Dans un domaine AD, les GPC sont rpliqus par lAgent de Rplication (DRA, Directory Replication Agent) et les GPT sont rpliqus via le service de rplication de fichiers (FRS, File Replication Service). Si tous les contrleurs de domaine excutent Windows Server 2008, il est possible de configurer la rplication du rpertoire SYSVOL avec DFS (DFS-R, Distributed File System Replication). Si la rplication des GPC et GPT nest plus synchrone, il est possible dutiliser loutil gpotool.exe afin de dpanner ltat des GPO. Les modles dadministration sont une collection de paramtres stocks dans un fichier *.ADM / *.ADMX / *.ADML . Lorsquon importe un de ces fichiers, lditeur de stratgie de groupe (GPME, Group Policy Management Editor) les extraits depuis le poste local. Le Magasin Central est un dossier unique dans SYSVOL qui permet de centraliser limportation des fichiers dadministration pour lensemble des contrleurs de domaine. Windows Server 2008 offre la possibilit de filtrer les paramtres de Stratgie de groupe dun modle dadministration afin de faciliter la recherche dun paramtre spcifique. Un GPO Starter est une nouvelle fonctionnalit de Windows Server 2008. Elle permet de crer un nouveau GPO pr peupl des paramtres du GPO Starter. On dit quun paramtre de stratgie est gr lorsque ce dernier napplique plus les paramtres du GPO une fois dsactiv, supprim ou que lordinateur nest plus dans ltendue du GPO. On dit quun paramtre de stratgie est non gr lorsque ce dernier sapplique encore aprs que le GPO soit dsactiv, supprim ou que lordinateur nest plus dans ltendue du GPO. Windows Server 2008 donne la possibilit dattacher des commentaires aux GPO. Un GPO peut tre li un Site, un domaine ou une OU.

Lhritage des GPO fonctionne laide dun systme de priorits. Un GPO avec une priorit 1 prvaut sur les autres GPO. Par dfaut, larborescence de lAD contient des niveaux de priorits diffrents (Un site AD tant le niveau le plus haut). Dans lordre de priorit la plus lev : Site, Domaine, OU

Il est possible de bloquer lhritage des droits administratifs sur une OU.

Loption Filtrage de Scurit dun GPO permet de spcifier les utilisateurs concerns par le GPO. Loption Filtre WMI permet de filtrer par rapport des caractristiques Ordinateur . Les requtes WMI sont crites en langage WQL (WMI Query Language) Loption Appliqu du paramtre dun GPO permet de dfinir une priorit de niveau suprieur aux autres GPO. Le traitement par boucle de rappel de la stratgie oblige le systme modifier la manire dont il applique les GPO selon deux modes : Fusionner : Une fois que les paramtres des GPO tendus lutilisateur sont appliqus, le systme applique les paramtres de stratgie de groupe tendus lordinateur. Remplacer : Les paramtres de la configuration utilisateur des GPO tendus lutilisateur ne sont pas appliqus. En lieu et place, seuls les paramtres de la configuration utilisateur des GPO tendus lordinateur le sont. La GPMC possde un outil qui permet de gnrer des rapports du jeu de stratgie rsultant sur une machine distante ou locale. Les prs requis lis cet outil sont les suivants : Il faut possder des droits administratifs sur le systme cible auditer Lordinateur cible doit tre quiper au minimum de Windows XP Avoir accs WMI sur le systme cible qui doit tre sous tension, accessible via le rseau via les ports 135 et 445. Les rapports du jeu de stratgie rsultant sont disponibles au format DHTML (HTML Dynamique) La GPMC possde un outil qui permet de modliser lapplication des paramtres de Stratgie de groupe. Grce cet outil, il est possible de simuler limpacte des paramtres dune GPO sur un systme avant de lappliquer.

Lquivalent des rapports du jeu de stratgie rsultant est la commande gpresult.exe . Cette commande possde les options suivantes : /s nomordinateur : Spcifie le nom ou ladresse IP du systme distant auditer /scope [user |computer] : Affiche lanalyse du jeu de stratgie rsultant pour les paramtres

de lutilisateur ou de lordinateur /user nomutilisateur : Spcifie lutilisateur pour lequel les donnes du jeu de stratgie rsultant sont affiches /r : Affiche un rsum des donnes du jeu de stratgie rsultant /v : Affiche des donnes documentes sur le jeu de stratgie rsultant /z : Affiche des donnes extrmement dtaills (mode plus verbeu) /u domaine\utilisateur /p mot de passe : Fournit les informations didentification [/x | /h] nom fichier : Enregistre le rapport au format XML ou HTML

Lobservateur dvnement Windows permet de visualiser les journaux concernant les stratgies de groupe. Un nouveau journal nomme Operational , fournit des informations dtailles sur le traitement de la stratgie de groupe.

Chapitre 7 La Stratgie des Groupes Restreints permet de grer lappartenance des groupes locaux dune machine. Avec ce paramtre, il est possible de configurer dans un GPO les groupes ou utilisateurs qui seront membre des groupes locaux dun objet computer.

Le nud Groupes Restreints possde deux paramtres : Ce groupe est Membre de : Ce paramtre indique que le groupe spcifi par la stratgie est membre dun autre groupe. Lorsquil existe plusieurs GPO qui utilisent le paramtre Groupes restreints , chaque stratgie Membre de sappliquent donc se cumulent. Membres de ce groupe : Ce paramtre indique toute lappartenance au groupe spcifi par la stratgie. Tout membre non spcifi dans la stratgie est supprim, y compris les administrateurs du domaine. Le paramtre Membres de ce groupe est une stratgie qui fait autorit. Sil existe plusieurs GPO avec des stratgies Groupes restreints qui utilisent ce paramtre, cest celui dont la priorit est la plus leve qui prvaut.

Tous les serveurs Windows 2008 possde un GPO local qui peut tre configur via le composant Editeur dobjet de stratgie de groupe ou via la console Stratgie de scurit locale . Les contrleurs de domaine quant eux ne disposent pas de GPO local mais des paramtres de scurits configurs au niveau des GPO de domaine nomm Default Domain Policy et Domain Controllers Policy

Les Modles de scurit permettent de dfinir des paramtres de scurit stockes dans un fichier *.inf . Ce dernier sutilise via un composant logiciel enfichable :

Pour dployer un modle de scurit, il suffit dimporter le fichier *.inf dans un objet de stratgie de groupe au niveau du nud Paramtre de scurit . Il est galement possible de dployer un modle de scurit via le composant logiciel enfichable Configuration et analyse de la scurit ou lutilitaire Secedit.exe . Lors de linstallation dun contrleur de domaine, un modle de scurit par dfaut est appliqu par Windows. Ce dernier est situ lemplacement suivant : %SystemRoot%\Security\Templates\DC security.inf

Le composant logiciel enfichable Configuration et Analyse de la Scurit permet dappliquer un modle de scurit mais galement danalyser la configuration actuelle de la scurit dun systme et de la comparer une base (fichier *.sdb) enregistre sous forme de modle de scurit.

Secedit.exe est un utilitaire en ligne de commande qui permet deffectuer les mmes oprations que le composant logiciel enfichable Configuration et analyse de la scurit . Lavantage de cet utilitaire est de pouvoir appliquer uniquement une partie dun modle de scurit un ordinateur.

Lassistant Configuration de la scurit permet de configurer la scurit dun serveur pas pas afin de gnrer un fichier *.xml qui permettra de dployer la configuration. Cet assistant est galement disponible via la ligne de commande scwcmd.exe . Par dfaut, la base de donnes de configuration de la scurit et lensemble des fichiers *.xml quutilise lassistant Configuration de la scurit est situ dans : %SystemRoot%\Security\Msscw\Kbs . Pour centraliser lemplacement de la base de donnes de configuration de la scurit, il suffit de copier le contenu du rpertoire %SystemRoot%\Security\Msscw\Kbs dans un dossier pralablement partag sur le rseau, puis dexcuter la commande suivante : scw.exe /kb \\serveur01\scwkb Une stratgie de scurit cre laide de lassistant Configuration de la scurit ou lutilitaire en ligne de commande scwcmd.exe peut tre transform en GPO.

Pour cela, il suffit dutiliser la commande : scwcmd.exe transform /p : Scurit DC Contoso.xml /g : GPO de scurit DC Contoso GPSI (Group Policy Software Installation) permet de grer linstallation de logiciels via des GPO. Ce composant utilise Windows Installer pour installer, maintenir et supprimer des logiciels. Il est possible de personnalis des packages Windows Installer laide de fichiers de transformation au format *.mst ou des fichiers correctif au format *.msp . GPSI gre deux types de package : les fichiers *.msi et *.zap

Lorsquon utilise des GPO pour installer des logiciels, il est possible dattribuer ou publier des applications Attribuer : Une application est dite attribue lorsque celle-ci est installe sur lordinateur lors du processus de dmarrage. Une application peut tre attribue un utilisateur ou un ordinateur. Publier : Une application est dite publie lorsque celle-ci est rendue disponible lutilisateur dans le menu Ajout suppression de programmes louverture de session. Lutilisateur a le choix dinstaller lapplication en cliquant dessus dans le panneau de configuration ou en cliquant sur un type de fichier associ lapplication. Il nest pas possible de publier une application pour un ordinateur mais seulement un utilisateur.

Par dfaut, GPSI test les performances du rseau avant dappliquer le paramtre de stratgie de groupe. Si une liaison lente est dtect (Moins de 500 Kbits/s), les paramtres li GPSI ne seront pas traits. Il est possible de modifier la vitesse de connexion qui dfinie une connexion lente en configurant un seuil plus bas via les modles dadministration dun GPO lemplacement suivant : Modles dadministration\Systme\Stratgie de groupe\ Editer les proprits du paramtre : Dtection dune liaison lente de stratgie de groupe

La stratgie daudit configure un systme pour quil audite des catgories dactivits. Par dfaut, tous les vnements dchec ne sont pas audits. Il est important de dfinir lavance ce que lon souhaite auditer car manipuler les audites via les journaux dvnement peut se relever bien compliquer valuer.

Pour configurer laudit, il faut accomplir trois oprations : Spcifier les paramtres daudit dans la SACL de lobjet (Fichier /Dossier) Activer la stratgie daudit dans la stratgie (Locale ou de Domaine) Evaluer les vnements dans le journal de scurit

Auditer les vnements dchec permet de contrler les tentatives malveillantes daccs aux ressources pour lesquelles laccs est refus ou didentifier les tentatives daccs un fichier ou un dossier auquel lutilisateur demande accder. Il ne faut pas abuser de laudit Windows car les journaux ont tendance grossir trs rapidement. Configurer les entres daudit sur un fichier ou un dossier nactive pas en soi laudit. Laudit doit tre activ en dfinissant le paramtre Auditer laccs aux objets dans un GPO (Local ou de domaine tendu au serveur qui contient lobjet auditer). Pour valuer les vnements relatifs lactivation de laudit sur un serveur, il suffit douvrir les journaux de scurit Windows depuis les outils dadministration. Windows Server 2008 introduit une nouvelle catgorie daudit appele Modification du service dannuaire . Cela permet davoir accs aux valeurs prcdentes dun objet audit lorsque ces attribues sont modifis. Cette catgorie nest pas activ par dfaut car il faut taper la ligne de commande suivante pour : Auditpol /set /subcategory : directory service changes /success:enable Il faut toujours modifier la liste SACL dun objet pour spcifier les attributs auditer.

Chapitre 8 Une nouvelle notion dans Windows Server 2008, ce sont les contrleurs de domaine en lecture seul (RODC : Read Only Domain Controller) Par dfaut, dans un domaine Windows Server 2008, les utilisateurs doivent changer leur mot de passe tous les 42 jours. Ce mot de passe doit contenir au moins 7 caractres et rpondre des exigences de complexit.

La stratgie de mot de passe se configure dans lobjet de stratgie de groupe Default Domain Policy . Lexigence de complexit requiert au moins trois des quatre types de caractres suivants : Majuscule Par exemple A Z Minuscule Par exemple a z Numriques 0 9 Symboles non alphanumriques Par exemple !, #, %, ou &

La stratgie Enregistrer les mots de passe en utilisant un cryptage rversible permet de stocker en clair le mot de passe des utilisateurs car certaines applications en ont besoin. Dans les Bests Practices, il est recommand de supprimer le plus possible ce type dapplications car stocker un mot de passe en clair revient crer une faille de scurit.

Les stratgies de mot de passe grain fin permettent de configurer une stratgie de mot de passe dont ltendue sera un ou plusieurs groupes, ou un ou plusieurs utilisateurs. Pour utiliser ces nouvelles stratgies, il faut tre dans un niveau fonctionnel de domaine Windows Server 2008. Les paramtres de cette nouvelle stratgie sont identiques aux paramtres de stratgie de mot de passe du domaine, sauf quils ne sappliquent pas en tant que GPO mais sont contenu dans une class dobjet spcifique qui maintient le paramtrage de ces stratgies : PSO, Password Settings Objet Un PSO possde dispose dun attribue qui dfini sa priorit. Cette priorit est dfinie par un nombre suprieur 0. Le chiffre 1 indique que la priorit est la plus lev. Laudit permet de journaliser des vnements qui concernent plusieurs types dactivits quils soient une russite ou un chec. Laudit Evnement de connexion au compte consiste journaliser la tentative de connexion dun utilisateur au domaine. Le contrleur de domaine qui authentifie lutilisateur va gnrer un vnement de connexion au compte dans le journal de scurit du contrleur de domaine. Laudit Evnement de connexion consiste journaliser sur un poste client les vnements dauthentification dun utilisateur qui ont t relay un contrleur de domaine. Un poste client nauthentifie pas lutilisateur mais transmet la connexion interactive un contrleur de domaine pour validation. Cette action enregistre un vnement de connexion dans le journal de scurit du poste client. Un RODC (Read Only Domain Controller) permet dauthentifier des utilisateurs situs dans une succursale dune entreprise et qui contient une copie de tous les objets du domaine et de tous les attributs lexception des donnes confidentielles comme les mots de passe. Pour authentifier un utilisateur, un RODC transmet les requtes dauthentification contrleur de domaine principal (en criture).

Etant donnes que les mots de passes des utilisateurs ne sont pas stockes sur les RODC, il est possible de configurer une stratgie de rplication des mots de passe appel PRP (Password Replication Policy). Pour dployer un RODC, il est impratif que le niveau fonctionnel de domaine soit au minimum en Windows Server 2003 et quun contrleur de domaine Windows Server 2008 en criture soit accessible. Si la fort possde certains domaines fonctionnant sous Windows Server 2003, il faudra dabord excuter la commande suivante : Adprep /rodcprep Pour sparer les rles dadministratif sur un RODC, il suffit de taper la commande suivante : dsmgmt Chapitre 9 DNS (Domain Name System) est une composante essentielle des services AD DS. Sans DNS il ny aurait pas dInternet car ce systme permet de convertir une adresse IP en nom de domaine plus commode mmoriser. DNS fonctionne sur les protocoles IPv4 (32 bits) et IPv6 (128 bits)

Lorsquun ordinateur dmarre, le client commence par identifier les enregistrements de ressources SRV (Service Location Records) dun serveur DNS afin didentifier le contrleur de domaine (DC) le plus proche. Une fois que la localisation DNS a t effectue, le processus didentification entre lordinateur et le DC peut dbuter. Sans serveurs DNS, il ny aurait pas dauthentification dordinateurs sur un domaine. DNS communique sur lInternet ou le rseau interne via le port TCP/IP 53. Tous les clients DNS sont configurs sur ce port pour localiser des informations sur les noms des ordinateurs. IPv6 est intgr Windows Server 2008, et les adresses IP sont composes de huit sections de 16 bits pour crer une adresse en 128 bits gnralement affich au format hexadcimal. Lorsquil ny a pas de serveur DHCP (Dynamic Host Configuration Protocol) sur le rseau, les cartes rseaux configures avec le protocole IPv6 reoivent ladresse FE80 :: qui est lquivalent de ladresse APIPA (Automatic Private IP Adressing). Dans ladresse FE80 :: , les deux doubles points reprsentent toutes les sections de 16 bits qui sont composs de zros. Adresses de liaison locale (IPv6) : FE80 :: Attribu par dfaut lorsquIPv6 est activ. Cest lquivalent de ladressage APIPA sur IPv4

(169.254.0.0/16) Adresses de site local (IPv6) : FEC0 :: Ces adresses peuvent tre routes localement uniquement. Il nest pas possible de les router vers Internet. Cest lquivalent des adresses de classe A, B et C sous IPv4 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) Adresses de monodiffusion globales (IPv6) : Toutes les autres IP Ces adresses sont routables sur Internet et permettent une communication directe avec tout type de priphrique. Cest lquivalent des adresses IP publique sous IPv4. Lavantage sous IPv6 est que lattribution des adresses IP peut atteindre au totale 340 milliards de milliards de milliards de milliards soit 2 puissance 128 adresses. Adresse de bouclage (IPv6) : ::1 Permet un nud de senvoyer des paquets lui-mme. Cest lquivalent de ladresse de loopback 127.0.0.1 dans IPv4. Le protocole PNRP (Peer Name Resolution Protocol) est un systme de rsolution de nom comme DNS sauf que la rsolution seffectue sur un systme diffrent. Cest un systme de nommage distribu qui interroge les htes proximit pour rsoudre les noms de domaine. Le protocole PNRP peut stendre des milliards de noms contrairement DNS qui nhberge quun petit nombre de noms. Grce ce systme distribu, PNRP est donc tolrant aux pannes. La publication de noms est instantane, gratuite et nexige pas dintervention humaines. Les serveurs DNS dynamiques (DDNS, Dynamique Domain Name Server) autorisent la mise jour automatique des clients qui peuvent sauto-inscrire sur le serveur DNS. Les serveurs DNS en lecture-criture sont galement nomms serveur DNS Principal et autorise la mise jour manuel via des oprateurs autoriss. Les serveurs DNS en lecture seule sont galement nomms serveur DNS secondaire . Les donnes ne peuvent pas tre modifies manuellement car la rplication est unidirectionnelle du serveur principal. Ce type de serveur est galement install sur les RODC. Le split-brain est le fait dutiliser un nom de domaine Internet identique au nom de domaine DNS du domaine Active Directory. Le Whole-brain est le fait dutiliser un nom de domaine Internet diffrent que celui du domaine Active Directory interne. Il est recommand dutiliser cette mthode.

Processus de rsolution de noms DNS : Un utilisateur demande la page web http://www.google.com/ La requte est envoye au serveur DNS local sur le rseau interne Le serveur DNS local envoy une requte de redirection au serveur de nom .com La requte est envoye au serveur DNS faisant autorit pour le nom google.com Le serveur DNS pour google.com envoi ladresse IP correspondante au client Le traducteur de noms du client utilise ladresse IP pour demander la page web La page web est envoye lutilisateur et saffiche sur lcran

Termes et concepts DNS : Zone DNS intgre Active Directory : Cest une zone qui est hberg dans la base de donnes des services AD DS (NTDS.Edit). Vieillissement : On donne cette appellation un enregistrement DNS qui a expir en raison de sa dure de vie juge trop vieux pour tre considr comme toujours actif. Partition dannuaire dapplication : Cest une partition personnalise qui peut hberger les donnes dannuaire lis aux applications ou des donnes DNS lis au domaine racine dune fort. DDNS : Ce service DNS peut tre mis jour automatiquement par les clients possdant un compte AD DS. Par dfaut, linstallation des services AD DS installent le service DDNS. Notification DNS : Ce sont des alertes automatiques qui avertissent un serveur DNS secondaire que des mises jour sont disponibles afin de lancer le processus de transfert de zone vers des serveurs en lecture seule. Zone DNS de domaine : Cest une zone qui contient les enregistrements dun domaine particulier quil soit issue dun domaine racine, dun domaine enfant ou au sein dune fort AD DS. Zone DNS de fort : Cest une zone qui contient les enregistrements qui se rapportent lensemble dune fort AD DS. Recherche directe : Ce mode de fonctionnement du serveur DNS pour but de faire correspondre les requtes FQDN (transmise par un client) une adresse IP Zone de recherche directe : Cest un conteneur DNS qui contient les correspondances FQDN/IP pour les recherches directes Redirecteur : Cest un mcanisme qui permet aux serveurs DNS de transfrer les requtes inconnues reus des clients vers des serveurs DNS externes approuv. Zones GlobalNames Zone : Cest une zone DNS qui a t conu pour remplacer les serveurs WINS sur un rseau Windows. Ces zones grent des noms NetBIOS. Zone de stub : Cest une zone spciale qui nhberge que les enregistrements des autres serveurs DNS qui assurent la maintenance de la zone en cours. TTL (Time to Live) : Cest la valeur qui est attribu un enregistrement et qui dtermine sa dure de vie avant de considrer lenregistrement comme expir. Recherche inverse : Ce mode de fonctionnement du serveur DNS pour but de faire correspondre les requtes de rsolution dadresses IP en nom FQDN. Enregistrement SOA (Start of Authority) : Cest un enregistrement qui contient des informations de domaine, comme la planification des mises jour des enregistrements, les intervalles utiliss par les autres serveurs pour vrifier les mises jour et la date et lheure de la dernire mise jour Enregistrement SRV : Dsigne lemplacement dun service dans un enregistrement DNS qui comprend ladresse IP du serveur et le port associ au service. Alias (CNAME) : Cest un enregistrement DNS utilis pour indiqu un alias dun nom dj

spcifi comme tant un autre type denregistrement dans une zone spcifique. On lappel aussi enregistrement de nom canonique. Serveur de messagerie (MX) : Cet enregistrement dsigne les noms des serveurs de messagerie vers lesquels les messages lectroniques dun domaine doivent tre achemins Le protocole WPAD (Web Proxy Automatic Discovery Protocol) est utilis par les navigateurs web pour rechercher automatiquement les paramtres de proxy. Le protocole ISATAP (Intrasite Automatic Tunnel Addressing Protocol) est utilis pour permettre aux protocoles IPv4 et IPv6 de cohabiter ensemble. Les paquets IPv6 sont encapsuls au format IPv4 pour tre transmis via des routeurs. Les listes rouges de requtes globales permettent daccroitre la scurit des protocoles WPAD et ISATAP en bloquant des plages dadresses spcifiques. Par dfaut, lors de linstallation du service DNS dans un environnement AD DS, une zone de recherche directe sera cre pour toute la fort et portera le nom suivant : _msdcs.nomdomain Lorsquon installe un contrleur de domaine, la zone de recherche directe est cre automatiquement. Par contre, la zone de recherche indirecte doit tre ajoute manuellement pour prendre en charge la recherche inverse. La configuration de loption de nettoyage des enregistrements et la suppression automatique des enregistrements obsoltes doit seffectuer manuellement. Lattaque des serveurs DNS par dni de service (DoS, Denial-of-Service) est la plus frquente. Cette opration consiste inonder de requte le service DNS jusqu ce quil ne puisse plus rpondre des requtes valides. Lattaque des serveurs DNS par encombrement du rseau consiste modifier les donnes dun serveur afin de le rediriger vers un serveur DNS qui est sous le contrle du pirate. Chaque enregistrement de noms se voit attribuer un TTL. Lorsque cette valeur expire, lenregistrement doit tre supprim pour que les utilisateurs effectuant une recherche nobtiennent pas de rsultats faussement positifs. Cest pourquoi il est important de configurer le nettoyage de la zone pour tous les serveurs DNS. Les enregistrements SOA indique les divers intervalles et paramtres temporels des enregistrements, lintervalle dactualisation et la dure de vie. Il est utile de crer des ZRI (Zone de Recherche Inverse) si vous possdez des applications sur votre rseau qui ncessite dutiliser la rsolution dune adresse IP en nom ou si votre rseau dpasse les 500 ordinateurs.

Les indications de racine permette un serveur DNS dinterroger dautres serveurs DNS principaux en direct sur Internet. Un redirecteur permet de transfrer une requte DNS afin quun autre serveur excute la recherche. Dans les rseaux scuriss, les serveurs DNS interne sont configurs pour utiliser un redirecteur qui renvois les requtes DNS vers un autre serveur DNS chargs de communiquer en direct avec Internet. Dans ce cas prcis, il faut dsactiver la recherche via des indications de racine sur les DNS interne pour les interdire daccder en direct sur Internet. Pour crer des enregistrements dans une Zone de recherche directe GlobalNames (Fonction de remplacement du Wins), il faut dabord activer la fonction via la commande suivante : Dnscmd /config /enableglobalnamessupport 1 Une fois la ZRD GlobalNames active, il faut ajouter des enregistrements de noms en une seule partie via la commande suivante : Dnscmd nomserveurdns /recordadd globalnames nomenuneseulepartie cname nomdns Pour modifier une liste rouge de requtes globale, il faut excuter la commande suivante : Dnscmd /config /globalqueryblocklist wpad isatap manufacturing

Chapitre 10 Sous Windows Server 2003, les rplications AD taient grer via le systme FRS (File Replication Service). Avec Windows Server 2008, une nouvelle fonctionnalit visant remplacer FRS a t ajout : DFS-R (Distributed File System Replication) Pour installer un contrleur de domaine, il est possible dutiliser un fichier de rponses ou de remplir les informations ncessaires la cration du contrleur de domaine via une ligne de commande dcpromo . Pour crer un contrleur de domaine via un fichier de rponse, il suffit de taper la ligne de commande suivante : Dcpromo /unattend : chemin vers le fichier de rponse Un fichier de rponse est enregistr dans le format suivant :

[DCINSTALL] ReplicaOrNewDomain=domain

NewDomain=forest NewDomainDNSName=Nom DNS complet DomainNetBiosName=Nom NetBIOS du domaine ForestLevel={0=Windows 2000 Server Native; 2=Windows Server 2003 Native; 3=Windows Server 2008 Native} DomainLevel={0=Windows 2000 Server Native; 2=Windows Server 2003 Native; 3=Windows Server 2008 Native} InstallDN S=yes DatabasePath= chemin vers un dossier dun volume local LogPath= chemin vers un dossier dun volume local SYSVOLPath chemin vers un dossier dun volme local SafeModeAdminPassword=mot de passe RebootOnCompletion=yes Il est possible dinclure les options du fichier de rponses en ligne de commande :

Dcpromo /unattend /installDNS :yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDNSName:contoso.com /DomainNetbiosName:contoso /databasePath: e:\ntds /logPath: f:\ntds.logs /sysvolpath : g:\sysvol /safeModeAdminPassword :motdepasse /forestLevel :3 /domainLevel :3 /rebootOnCompletion :yes

Si on souhaite installer un contrleur de domaine Windows Server 2008 dans une fort qui contient des serveurs Windows 2000 ou Windows 2003, il est important de prparer la fort afin de mettre jour le schma Active Directory existant avec les nouveaux objets de lAD 2008. Pour prparer une fort Windows 2000 ou Windows 2003, il faut identifier le contrleur de domaine ayant le rle FSMO Contrleur de schma , puis copier le contenu du rpertoire \Sources\Adprep du DVD de Windows Server 2008. Ensuite, il faut ouvrir une invite de commande en se positionnant dans le dossier Adprep pour taper la commande suivante : adprep /forestprep Une fois la fort prpare. Il faut identifier le contrleur de domaine ayant le rle FMSO Matre dinfrastructure pour y copier le contenu du rpertoire \Sources\Adprep du DVD de Windows Server 2008. Ensuite, il faut ouvrir une invite de commande en se positionnant dans le dossier Adprep pour taper la commande suivante :

adprep /domainprep /gpprep Pour installer un RODC dans un domaine de la fort possdant des contrleurs de domaine avec Windows 2000 Server ou Windows Server 20003, il faut aussi prparer le domaine avec la commande suivante : Adprep /rodcprep Lorsquon installe un contrleur de domaine supplmentaire via le mode avanc on a la possibilit de choisir le contrleur de domaine source pour la rplication des donnes ou bien demander une installation partir dun support (quivalent dune sauvegarde IFM : Install From Media). Pour organiser linstallation dun contrleur de domaine en lecture seule dans une succursale qui ne dispose pas de personnel informatique, il est possible de crer le compte dordinateur pour le RODC soit mme dans lOU Domain Controller :

Ensuite, il ne reste plus qu utiliser une ligne de commande sur le serveur RODC pour joindre le domaine : Dcpromo /useexistingaccount :attach Ou Dcpromo /useexistingaccount :attach /unattend : c:\rodcanswer.txt Linstallation IFM correspond linstallation dun contrleur de domaine partir dun support. Pour crer ce support dinstallation, il faut excuter les commandes suivantes sur un contrleur de domaine Windows Server 2008 en criture : Excuter Ntdsutil.exe dans une invite de commande et taper : activate instance ntds puis ifm Ensuite, il faut taper une des lignes de commande suivante pour crer le support : Create sysvol full [chemin] : Cre le support dinstallation avec SYSVOL pour un DC accessible en criture dans le dossier spcifi par [chemin] Create full [chemin] : Cre le support dinstallation sans SYSVOL pour un contrleur de domaine accessible en criture ou une instance AD LDS (Active Directory Lightweight Directory Services) dans le dossier spcifi par [chemin] Create sysvol rodc [chemin] : Cre un support dinstallation avec SYSVOL pour un contrleur de domaine en lecture seule dans le dossier spcifi par [chemin] Create rodc [chemin] : Cre le support dinstallation sans SYSVOL pour un contrleur de domaine en lecture seule dans le dossier spcifi par [chemin] Quand le support est cr, il faut excuter lassistant Installation des services de domaine Active Directory en cochant la case Utiliser linstallation en mode avanc . Choisir ensuite Rpliquer les donnes partir dun support lemplacement suivant .

Pour supprimer un contrleur de domaine, il faut utiliser la commande dcpromo

Si le contrleur de domaine supprimer ne peut contacter le domaine, il faut utiliser la commande dcpromo /forceremoval Les oprations matre unique se nomment galement : Matres doprations Rles de matres doprations Rles de matre unique Jetons doprations Rles FSMO (Flexible Simple Master Operations) Il existe 5 rles FSMO : Matre dattribution des noms de domaines (Unique dans la fort) Contrleur de schma (Unique dans la fort) Matre RID (Unique dans un domaine) Matre dinfrastructure (Unique dans un domaine) Emulateur PDC (Unique dans un domaine)

Le rle de matre dattribution de noms de domaine sert ajouter ou supprimer des domaines dans la fort. Lorsquon ajoute ou supprime un domaine, le matre dattribution des noms de domaine doit tre accessible, sous peine que lopration choue. Le contrleur de schma est charg dapporter des changements au schma de la fort. Tous les autres contrleurs de domaine contiennent des rplicas en lecture seule du schma. Pour modifier le schma ou installer une application qui modifie le schma, il est recommand de le faire sur le contrleur de schma. Dans le cas contraire, les changements demands doivent tre envoys au contrleur de schma pour quil les inscrive dans le schma. Le matre RID (Relative Identifier) joue un rle majeur dans la gnration des SID (Identificateur de scurit) pour des entits de scurit telles que les utilisateurs, les groupes et les ordinateurs. Le SID dune entit de scurit doit tre unique. Comme nimporte quel contrleur de domaine peut crer des comptes et donc des SID, il doit exister un mcanisme qui garantisse que les SID gnrs par un contrleur de domaine soient uniques. Les contrleurs de domaine Active Directory gnrent des SID en assignant un ID relatif (RID) au SID du domaine pour chaque objet de lannuaire. Le matre RID du domaine alloue des pools de RID uniques chaque contrleur de domaine du domaine. Ainsi, chacun deux peut tre certains que les SID quil gnre sont uniques. NB : Le matre RID se comporte exactement un serveur DHCP pour les SID. Au lieu daffecter des adresses IP unique aux ordinateurs dun rseau, le matre RID affectera des pools RID aux

contrleurs de domaine pour la cration des SID. Le matre dinfrastructure agit plus particulirement dans des environnements multi domaine afin de mettre jour la liste des groupes qui hbergent des utilisateurs provenant dun autre domaine. Cest une sorte de dispositif de suivi pour les membres des groupes issus dautres domaines. Si ces membres sont renomms ou supprims de lautre domaine, le matre dinfrastructure du domaine du groupe actualise lattribut member du groupe consquent. Le matre dmulateur PDC accomplit plusieurs fonctions cruciales dans un domaine : Il mule un contrleur principal de domaine pour la compatibilit ascendante Il participe la gestion spciale de lactualisation des mots de passe du domaine Il gre lactualisation des stratgies de groupe dun domaine Il fournit une horloge principale au domaine Il agit comme un navigateur de matre de domaine

Il est recommand de placer les rles contrleur de schma et matre dattribution de noms de domaine sur un mme contrleur de domaine qui fait office de catalogue global.

Il est recommand de placer les rles matre RID et matre dmulateur PDC sur le mme contrleur de domaine. Il est recommand de placer les rles matre dinfrastructure sur un contrleur de domaine qui nest pas un serveur de catalogue global. Si tous les contrleurs de domaine dun domaine sont des serveurs de catalogue globaux, il importe peu de savoir quel serveur tient le rle de matre dinfrastructure. Pour identifier les contrleurs de domaine qui possdent les rles de matre RID , matre dmulateur PDC et matre dinfrastructure , il suffit douvrir le composant logiciel enfichable Utilisateur et ordinateurs Active Directory , de faire un clic droit sur le domaine et de cliquer sur Matres doprations : Pour identifier le contrleur de domaine qui hberge le rle matre dattribution des noms de domaines , il suffit douvrir le composant logiciel enfichable Domaines et approbations Active Directory , de faire un clic droit sur le nud racine et de cliquer sur Matres doprations :

Pour identifier le contrleur de domaine qui hberge le rle contrleur de schma , il suffit douvrir le composant logiciel enfichable Schma Active Directory , de faire un clic droit sur le nud racine et de cliquer sur Matres doprations :

Pour identifier les matres doprations, il est possible dutiliser les commandes suivantes : ntdsutil , dcdiag ou netdom Ntdsutil roles connections connect to server list roles for connected server Dcdiag /test :knowsofroleholders /v Netdom query fsmo

Pour transfrer des rles FSMO, il est possible dutiliser les outils dadministration correspondant chaque rle. En se connectant sur le contrleur de domaine adquat, il est possible de transfrer le rle via le menu Matre doprations : Si un contrleur de domaine crash alors quil hberge un rle FSMO, il est possible de prendre le rle FMSO manquant et le ddier un autre contrleur de domaine en rcuprant le jeton des oprations. Lorsquon prend possession dun des rles suivant, il nest pas possible de remettre en ligne le contrleur de domaine qui accomplissait le rle : Maitre RID Contrleur de schma Matre dattribution des noms de domaine Lorsquon prend possession dun des rles suivant, il est possible de remettre en ligne le contrleur de domaine qui accomplissait le rle puis de lui transfrer de nouveau le rle sa reconnexion : Emulateur PDC Matre dinfrastructure Pour prendre possession dun rle, il faut utiliser la commande ntdsutil : Ntdsutil Roles Connections Connect to server [FQDN_DU_SERVEUR] Quit Seize role Contrleur de schma Matre de schema Matre dattribution des noms de domaine

 Matre RID Emulateur PDC Matre dinfrastructure Dans les prcdentes versions de Windows Server, le rpertoire SYSVOL tait rpliqu sur lensemble des contrleurs de domaine via le service FRS (File Replication Service). Sous Windows Server 2008, nous disposons dsormais du service DFS-R (Distributed File System Replication) qui est plus fiable et plus robuste que le systme FRS. Afin de rpliquer le rpertoire SYSVOL avec le nouveau systme de rplication DFS-R, il faut dabord sassurer que le niveau fonctionnel du domaine est Windows Server 2008. Pour migrer vers le systme de rplication DSF-R, il faut utiliser la commande : dfsrmig.exe La migration vers DFS-R est compose de 4 tapes : 0 (start) : Etape par dfaut du contrleur de domaine. Seul FRS est utilis pour rpliquer SYSVOL cette tape. 1 (prepared) : Une copie du rpertoire SYSVOL est cre dans un dossier nomm SYSVOL_DFSR puis ce dernier est ajout au jeu de rplication existant. DFS-R rplique ensuite le contenu des dossiers SYSVOL_DFSR vers tous les contrleurs de domaine. FRS continue toujours de rpliquer les dossiers SYSVOL dorigine et les clients continuent dutiliser SYSVO L cette tape. 2 (redirected) : Le partage SYSVOL\sysvol est redirig pour tre dsormais SYSVOL_DFSR\sysvol . Les clients utilisent dsormais le dossier SYSVOL_DFSR pour obtenir les scripts douverture de session et les modles de stratgies de groupe. 3 (eliminated) : Le service de rplication FRS est interrompu, ce qui arrte automatiquement la rplication du dossier SYSVOL . La commande dsfrmig.exe comporte 3 options : Setglobalstate [state] : Cette option configure ltat de la migration DFS-R globale en cours qui sapplique tous les contrleurs de domaine. Ltat est spcifi par le paramtre [state], qui est compris entre 0 et 3. Chaque contrleur de domaine sera notifi du nouvel tat de la migration DFS-R et migrera automatiquement vers cet tat. Getglobalstate : Cette option rapporte ltat de migration DFS-R globale en cours. Getmigrationstate : Cette option rapport ltat de migration en cours de chaque contrleur de domaine. Loption gestmigrationstate permet de surveiller lavancement des contrleurs de domaine vers ltat de migration DFS-R global en cours. NB : En cas de problme lors du passage dun tat vers un autre, il est possible de revenir aux tats prcdents en utilisant loption setglobalstate . Toutefois, aprs avoir utilis loption setglobalstate pour spcifier ltat 3 (eliminated), il est impossible de revenir aux tats prcdents.

Chapitre 11 Les sites Active Directory sont des objets de lannuaire qui se trouvent dans le conteneur Configuration : CN=Configuration,DC=domaine racine de la fort Un site pour objectif de grer le trafic de rplication et faciliter la localisation des services. Un rseau fortement connecte reprsente un site Active Directory dans lequel les rplications des changements apports lAD sont presque instantanes. Un rseau moins fortement connects est reprsent par des connexions lentes, moins fiables ou coteuses. Il nest donc pas indispensable de rpliquer les changements immdiatement sur ce type de rseau afin doptimiser les performances, rduire les cots ou conomiser de la bande passante. La localisation de service permet des clients dun site de localiser le contrleur de domaine le plus proche ou un service proximit du site. Les sites Active Directory aident localiser les services, y compris ceux fournis par les contrleurs de domaine. A louverture de session, les clients Windows sont automatiquement dirigs vers un contrleur de domaine de leur site. Si aucun DC nest disponible dans le site, ils sont redirigs vers le DC dun autre site qui sera capable de les identifier. Certains documents indiquent quune liaison est lente lorsque son dbit est infrieur 512 Kbit/s. Il est donc recommand de crer un site pour dterminer cette partie du rseau. Il est recommand de crer un site pour une partie du rseau qui hberge au minimum un contrleur de domaine ou un service de ressource DFS rplique. Pour dfinir un site, il faut crer un objet de classe Site . Cet objet est un conteneur qui permet de grer la rplication entre les contrleurs de domaines. Il est recommand de renommer le site par dfaut afin de lui donner un nom plus reprsentatif de la situation de lentreprise. Un site est utile que lorsque les clients et les serveurs savent quel site ils appartiennent. Pour ce faire, ladresse IP du systme client doit tre associe au site, et ce sont les objets sousrseau qui ralisent cette association. Il faut donc dfinir les sous rseaux :

Un sous rseau est associ un site. Lorsquun client se connectera au domaine, il sera identifi avec son adresse IP afin dtre redirig vers le contrleur de domaine de son site.

Il est important de dfinir chaque sous rseau IP en tant quobjet sous-rseau Active Directory (LAN, WAN, VPN). Si ladresse IP dun client nest pas comprise dans la page dadresses dun sous rseau, ce client sera incapable de dterminer quel sous-rseau il appartient et cela peut entrainer des problmes de performance. Chaque serveur qui rejoint un domaine annonce ces services en crant des enregistrements DNS Emplacement de service ou enregistrement SRV :

Chaque contrleur de domaine contient un rplica de plusieurs contextes de nommage. Un contexte de nommage correspondant aux lments suivants : Domaine : Contient tous les objets stocks dans un domaine (users, ordinateurs et groupes et stratgies de groupes). Configuration : Contient les objets qui reprsentent la structure logique de la fort les domaines et la topologie physique les sites, les sous-rseaux et les services. Schma : Dfinit les classes dobjets et leurs attributs Un contrleur de domaine ayant pour fonction dtre un catalogue global contient un jeu dattributs partiel ou PAS (Partial Attribute Set) de lensemble des domaines de la fort. Cela lui permet deffectuer des recherches dobjet dans un domaine A et B avec plus defficacit. Une application interroge un catalogue global en envoy des requtes LDAP sur le port 3268. Un groupe universel peut contenir des objets provenant de tous les domaines de la fort. Lappartenance aux groupes universels est rplique dans le catalogue global. Lorsquun utilisateur ouvre une session, son appartenance au groupe universel est obtenue depuis un serveur de catalogue global. Si le serveur de catalogue global est indisponible, lappartenance au groupe universel lest galement. Pour empcher un incident de scurit, Windows empche un utilisateur appartenant groupe universel de sauthentifier sur le domaine lorsque le catalogue global est indisponible. Ce fonctionnement ne se produit pas si tous les contrleurs de domaine font office de catalogue global. Pour viter un problme de compte bloqu appartenant un groupe universel, il est possible dactiver la mise en cache des membres des groupes universels laide dUGMC (Universal Group Membership Caching). Lorsque UGMC est activ, un utilisateur appartenant un groupe universel qui ouvre une session sur le domaine aura ses informations dappartenance au groupe mise en cache indfiniment sur le serveur de catalogue global et actualis toutes les 8 heures. Pour configurer UGMC, il faut ouvrir le composant logiciel enfichable Sites et service Active Directory , slectionner le site dans larborescence de la console. Dans le volet de dtails,

il faut cliquer droit sur NTDS Site Settings et slectionner Proprits :

Pour examiner les partitions dannuaire dapplication, il faut utiliser loutil Modification ADSI , de cliquer sur Connexion puis de slectionner Configuration dans la liste droulante du contexte dattribution de noms connu : Lorsque lon cr un contrleur de domaine, ce dernier est ajout automatiquement dans la console Site et Services Active Directory . Le vrificateur de cohrence des donnes galement appel KCC (Knowledge Consistency Checker) cre automatiquement un objet connexion afin de crer les relations bidirectionnelle entre les contrleurs de domaine. Si un contrleur de domaine est supprim, les KCC mettent jour les objets de connexion en rorganisant dynamiquement la topologie de rplication. Il est galement possible de crer des objets de connexion manuellement afin de grer soit mme la topologie de rplication. Un objet de connexion cr manuellement ne sera jamais supprim par la gestion dynamique des KCC. Lorsquune modification est effectue sur un contrleur de domaine, ce dernier envoi une notification de mise jour son premier partenaire de rplication 15 secondes aprs (Dlais de notification initiale). Une fois la notification envoye, le contrleur de domaine attend 3 secondes (Dlais de notification ultrieure) pour notifier ses autres partenaires de rplication. Ces dlais dcals de quelques secondes permettent de rduire le trafic rseau caus par les rplications intrasite. A rception de la notification, le contrleur de domaine demande son partenaire de rplication de lui envoyer lattribut modifi via lagent de rplication dannuaire (DRA, Directory Replication Agent). Dans une topologie de rplication, il ne peut y avoir plus de trois sauts. Cela permet doptimiser la rplication et limiter le trafic sur le rseau. Dans un rseau compos de 3 5 contrleurs de domaine, raison denvirons 15 secondes dattente par saut, une modification dans lAD sera entirement rplique en moins dune minute. Dans une topologie de rplication automatique, si un des contrleurs de domaine nest pas disponible, certains partenaires de rplication ne pourront recevoir de notifications lors dune modification. Cest pourquoi il existe un processus de scrutation des modifications galement appel polling . Ce processus permet de vrifier auprs de son partenaire de rplication si une mise jour a t effectue (Par dfaut la scrutation est effectue toutes les heures). Si le serveur interrog ne rpond pas, le partenaire de rplication lance le KCC afin de vrifier la topologie qui sera reconstruite si le contrleur de domaine est rellement dconnect. Les liens de sites permettent de dfinir les chemins que la rplication doit emprunter en crant des objets Liens de sites . Un lien de site contient deux ou plusieurs sites. Le gnrateur de topologie inter-sites (ITSTG, Intersite Topology Generator), un composant du KCC, construit des objets connexion entre les serveurs de chacun des sites pour permettre la rplication inter-sites.

Par dfaut lorsquon cre une fort, lobjet lien de sites DEFAULTIPSITELINK est cr dans le composant logiciel enfichable Sites et services Active Directory . Dans une structure AD compos de plusieurs sites, il est recommand de crer manuellement des liens de sites qui refltent la topologie physique du rseau.

Les modifications sont rpliques entre contrleurs de domaine au moyen de deux protocoles : DS-RPC (Directory Service Remote Procedure Call) : DS-RPC apparat dans le composant logiciel enfichable Sites et services Active Directory sous la forme IP. IP est utilis pour toute rplication intrasite et est le protocole de prdilection par dfaut pour la rplication inter-sites ISM-SMTP (Inter-site Messaging Simple Mail Transfert Protocol) : Ce protocole nest utilis que lorsque les connexions rseaux entre sites ne sont pas fiables ou ne sont pas toujours disponibles. SMTP ne peut pas tre utilis pour rpliquer le contexte de nommage du domaine. Cest pourquoi la rplication via STM vers le reste de lentreprise doit tre un domaine spar. Trs peu dorganisation utilise SMTP pour la rplication cause de la charge administrative requise pour configurer et grer une autorit de certification (CA).

Un serveur de tte de pont est un serveur responsable de toute la rplication dune partition, dans le site et hors du site. Ces derniers sont chargs de rpliquer les modifications dune partition reues des serveurs ttes de pont des autres sites.

Chaque site peut tre configur pour disposer dun serveur de tte de pont qui rpliquera les donnes vers un serveur de tte de pont dun autre site :

Les liens de sites sont transitifs par dfaut, ce qui veut dire quils sont relis entre eux pour augmenter la tolrance de panne li la rplication. Pour dsactiver la transitivit des liens de sites, il suffit de dsactiver la case Relier tous les liens de sites dans les proprits du protocole IP :

Les cots de liens de site sont utiliss pour grer le flux du trafic de rplication. Les cots les plus levs sont utiliss pour les liens lents et les cots les plus faibles pour les liens rapides. Par dfaut, tous les liens sont configurs avec un cot de 100 : Lorsque la transitivit des liens de sites t dsactiv, il est possible de crer soit mme des liens de sites via des ponts de sites .

La rplication inter-site est base sur la scrutation : Il ny a pas de notification de modification pour dmarrer le processus de rplication. Par dfaut, toutes les 3 heures (180 minutes), un serveur de tte de pont va interroger ses partenaires de rplication pour dterminer si des modifications sont disponibles. Il est possible de modifier cette valeur pour rduire lintervalle de scrutation sachant que la valeur minimale est de 15min. Afin de surveiller et grer la rplication dans le but de la dpanner ou loptimiser, il est possible dutiliser lun de ces deux outils de reporting : Repadmin.exe : Outil de diagnostic de la rplication Dcdiag.exe : Outil de diagnostic des services dannuaires

Repadmin.exe est un outil en ligne de commande qui permet de connatre ltat de la rplication sur chaque contrleur de domaine. Il est possible dutiliser repadmin.exe pour crer la topologie de rplication et forcer la rplication entre contrleurs de domaine. Exemple de commandes repadmin.exe :

NB : Dans les exemples suivants, DSA_LIST reprsente un identifiant rseau (nom DNS, NetBIOS ou adresse IP dun contrleur de domaine) Repadmin /showrepl DSA_LIST : Permet dafficher les partenaires de rplication dun contrleur de domaine Repadmin /showconn DSA_LIST : Permet dafficher les objets connexion dun contrleur de domaine Repadmin /showobjmeta DSA_LIST : Permet dafficher les mtadonnes sur un objet, ses attributs et la rplication Repadmin /kcc : Force le KCC recalculer la topologie de rplication entrante pour le serveur Repadmin /replicate Destination_DSA_LIST Source_DSA_Nom_Contexte_Nommage : Permet de forcer la rplication entre deux partenaire Repadmin /syncall DSA /A /e : Permet de synchroniser un contrleur de domaine avec tous ces partenaires, y compris ceux des autres sites. Dcdiag.exe est un outil en ligne de commande qui permet de diagnostiquer ltat des services dannuaires. Cet outil effectue un certains nombre de tests et gnre un rapport sur la sant globale de la rplication et de la scurit des services de domaine Active Directory. Excut seul, dcdiag.exe excute des tests rcapitulatifs et affiche les rsultats. Exemple de commandes dcdiag.exe : Dcdiag /c : excute presque tous les tests

 Dcdiag /FrsEvent : Affiche toutes les erreurs de fonctionnement du service de rplication de fichiers (FRS) Dcdiag /DFSREvent : Affiche toutes les erreurs de fonctionnement du service de rplication de fichiers (DFS-R) Dcdiag /Intersite : Dtecte les dfaillances qui pourraient empcher ou retarder la rplication inter-sites Dcdiag /KccEvent : Identifie les erreurs du vrificateur de cohrence des donnes Dcdiag /Replications : Vrifie la ponctualit de la rplication entre contrleurs de domaine Dcdiag /Topology : Vrifie que la topologie de rplication est compltement connecte pour tous les DSA Dcdiag /VerifyReplicas : Vrifie que toutes les partitions dannuaire dapplications sont compltements instancies sur les DC hbergeant des rplicas Chapitre 12 Les niveaux fonctionnels de domaine apportent de nouvelles fonctionnalits au domaine et permettent aussi de dfinir les systmes dexploitation autoris sur les contrleurs de domaine. Il existe trois niveaux fonctionnels de domaine : Windows 2000 Natif : Autorise les systmes dexploitation suivant sur les serveurs : Windows 2000 Server, Windows Server 2003 et Windows Server 2008 Windows Server 2003 : Autorise les systmes dexploitation suivant sur les serveurs : Windows Server 2003 et Windows Server 2008. Ce niveau fonctionnel apporte plusieurs nouvelles fonctionnalits comme le renommage dun contrleur de domaine, lattribut LastLogonTimestamp , lattribut userPassword , la redirection du conteneur dutilisateur et dordinateurs par dfaut, la stratgie du gestionnaire dautorisation, la dlgation contrainte et lauthentification slective. Windows Server 2008 : Autorise uniquement les systmes dexploitation Windows Server 2008. Ce niveau fonctionnel de domaine apporte de nouvelles fonctionnalits au domaine comme la rplication DFS-R de SYSVOL, les services de chiffrement avanc (AES 128 et AES256 pour Kerberos), lenregistrement des dernires informations douverture de session interactive et la stratgie de mot de passe grain fin. Il existe trois niveaux fonctionnels de fort : Windows 2000 : Dans ce niveau fonctionnel, les domaines peuvent sexcuter dans tous les niveaux fonctionnels de domaine pris en charge. Windows Server 2003 : Dans ce niveau fonctionnel, les domaines peuvent sexcuter dans les niveaux fonctionnels Windows Server 2003 et Windows Serveur 2008. Ce niveau fonctionnel de fort apporte de nouvelle fonctionnalit comme lapprobation de fort, le renommage de domaine, la rplication de valeurs lies, les algorithmes du vrificateur de cohrences des donnes (KCC) amliors, la conversion dobjets inetOrgPerson en objet utilisateur, la prise en charge de la classe auxiliaire dynamicObjet, la prise en charge des groupes dapplications et des groupes de requtes LDAP et les contrleurs de domaine en lecture seul. Windows Server 2008 : Ce niveau fonctionnel de fort autorise uniquement des domaines sexcutant dans un niveau fonctionnel de fort Windows Serveur 2008 et napporte aucunes nouvelles fonctionnalits.

Pour augmenter le niveau fonctionnel dun domaine, il faut ouvrir le composant logiciel enfichable Domaines et approbations Active Directory , de faire un clic droit sur le domaine puis de choisir Augmenter le niveau fonctionnel du domaine :

Pour augmenter le niveau fonctionnel dune fort, il faut ouvrir le composant logiciel enfichable Domaines et approbations Active Directory , de faire un clic droit sur la racine et cliquer sur Augmenter le niveau fonctionnel de la fort :

Les domaines qui excutent des niveaux fonctionnels de domaine infrieurs Windows Server 2008 ne peuvent prendre en charge quune seule stratgie de mot de passe et de verrouillage des comptes. Seuls les domaines au niveau fonctionnel de domaine peuvent utiliser les stratgies de mot de passe grain fin. Dans un contexte multi domaine, un administrateur peut tre amen dplacer des objets dun domaine A vers un domaine B (Utilisateurs, ordinateurs, etc). Une migration intrafort consiste dplacer des objets issus de domaines Active Directory de la mme fort. Une migration inter fort consiste dplacer des objets issus de domaines Active Directory distinct. Lopration consiste conserver le domaine source et cloner/copier des comptes dans le domaine cible. Cette mthode permet de revenir en arrire en cas de problmes. Pour effectuer des migrations dobjets, il faut utiliser un outil tiers ou tout simplement loutil de migration Active Directory version 3 nomm ADMT v3 (Administration Domain Migration Tools : Disponible sur Internet).

Lors de la migration dun objet dans un autre domaine, ce dernier est copi dans le domaine cible, rcuprant ainsi un nouveau SID. Du fait que lobjet rcupre dans un nouveau SID, il ne possde donc plus daccs aux ressources du domaine source. Pour contourner ce problme, il existe ce que lon appel les sIDHistory qui sont des attributs de lobjet contenant le SID de lobjet dans le domaine source. Cet astuce permet un compte dutilisateur copi dans un nouveau domaine de pouvoir accder aux mmes ressources malgr le fait que sont SID ai t recr dans le nouveau domaine. Lorsquun utilisateur ouvre une session dans un domaine Active Directory, le jeton de lutilisateur est peupl avec le SID principal et lattribut sIDHistory du compte de lutilisateur et

des groupes auxquels ce dernier appartient. Le processus systme LSASS utilise les SID de lattribut de sIDHistory comme tout autre SID situ dans le jeton pour maintenir laccs de lutilisateur vers des ressources du domaine source. Le processus qui consiste remapper des ACL vers des comptes migrs dans le domaine cible est galement appel re-ACLing. Il suffit dutiliser lutilitaire ADMT pour ce type doprations. ADMT traduit les descripteurs de scurit des objets : Des autorisations de fichier et de dossier Des autorisations dimprimante Des autorisations de partage Des autorisations de Registre Des droits dutilisateur Des profils locaux, qui impliquent des changements dautorisations de fichier, de dossier et de registre Des appartenances aux groupes Dans une migration AD inter forts, il faut dabord migrer les groupes du domaine source vers le domaine cible car sil sagit de groupe Globaux, par dfaut, ces derniers ne peuvent accepter que des utilisateurs issue du mme domaine, ce qui poserait un problme pour la migration des utilisateurs. Ces groupes une fois migr maintiendront les SID des groupes source dans leurs attributs sIDHistory, ce qui contribuera conserver laccs aux ressources. Dans une migration AD intra forts, un groupe global est cr dans le domaine cible en tant que groupe universel afin de pouvoir contenir un utilisateur des domaines source et cible. Le nouveau groupe obtient un nouveau SID et son attribut sIDHistory est peupl avec le SID du groupe global du domaine source. Une fois la migration termine, le groupe universel est converti en groupe global. ADMT permet galement de migrer des mots de passe. Il est possible de conserver le mot de passe du domaine source mais ADMT ne gre pas les stratgies de mot de passe du domaine cible. Sinon il est possible de dterminer un mot de passe lors de la migration du compte dutilisateur. ADMT permet galement dautomatiser lactualisation des comptes de services qui auront t migrs. ADMT du mal migrer les objets qui sont intgrs dans les groupes Admins du domaine ou dans le groupe local Administrateurs du domaine . Il existe cependant une option de contournement dans le mode demplois dADMT.

Chapitre 13

Mme si AD DS compacte rgulirement sa base de donnes (Ntds.dit), il est recommand de le faire manuellement. AcctInfo.dll permet de rajouter un onglet supplmentaire dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory Le bouton Domain PW Info de longlet Additional Account Info affiche la stratgie de mot de passe affect au compte dutilisateur : Le bouton SID History de longlet Additional Account Info permet dafficher lattribut SID History dun objet. Le bouton Set PW On Site DC de longlet Additional Account Info permet de modifier le mot de passe dun compte dutilisateur directement sur le contrleur de domaine pour viter les dlais de rplication. Specops Gpudate permet dajouter des fonctionnalits supplmentaires au composant logiciel enfichable Utilisateurs et ordinateur Active Directory : Actualisation distance des GPO dun objet de lannuaire Dmarrage dordinateurs distance avec Wake-on-LAN sil est activ localement Redmarrage et arrt distance de lordinateur slectionn Gnration dun rapport graphique sur les rsultats de lopration

NB : Il faut tlcharger cet outil sur le site de lditeur Specops Gpupdate : http://www.specopssoft.com/products/specops-gpupdate/specops-gpupdate-download Rcapitulatif des outils dadministrations Windows : Domaines et approbations Active Directory : Administrer les relations dapprobations Schma Active Directory : Modifier le schma pour les annuaires AD DS ou AD LDS Sites et services Active Directory : Configurer et grer les tendues de rplications Utilisateurs et ordinateurs Active Directory : Configurer et grer les rles FSMO Modifications ADSI : Interroger, visualiser et modifier les objets de lannuaire CSVDE.exe : Importer des donnes dans les annuaires AD DS ou AD LDS DCDIAG.exe : Diagnostiquer les annuaires AD DS ou les instances AD LDS DCPROMO.exe : Ajouter ou supprimer des contrleurs de domaine DFSRadmin.exe : Gre la rplication DFS Gestionnaire DNS : Assurer la maintenance gnrale des serveurs DNS DNSCMD.exe : Grer les aspects des serveurs DNS DSACLS.exe : Gre les listes de contrles daccs aux objets DSADD.exe : Ajouter des types dobjets spcifiques (user/computer) DSAMAIN.exe : Monter des sauvegardes ou des clichs instantans dAD DS DSBUTIL.exe : Assurer la maintenance de la base de donnes AD DS DSGET.exe : Visualiser les proprits dun objet donne (user/computer)

DSMGMT.exe : Grer les partitions dapplications et les rles de matres doprations DSMOD.exe : Modifier un objet existant dun type donne (user/computer) DSMOVE.exe : Transfrer un objet un autre emplacement de lannuaire DSQUERY.exe : Rechercher dans lannuaire un type dobjet donn DSRM.exe : supprimer un objet dans lannuaire Observateur dvnements : Auditer les journaux dvnements Windows GPfixup.exe : Rpare les dpendances de noms de domaines dans les GPO Group Policy Diagnostic Best Practices Analyzer : Vrifier les GPO Console gestion dela Stratgiede groupe : Crer, grer, sauvegarder les GPO Ipconfig : Afficher et modifier les dtails de la configuration IP Ksetup.exe : Configurer un client pour utiliser un domaine Kerberos V5 Ktpass.exe : Configurer un service Kerberos non Windows LDIFDE.exe : Importer des donnes dans les instances AD LDS Ldp.exe : Effectuer des oprations LDAP dans lannuaire Movetree.exe : Transfrer des objets entre des domaines dune fort Netdom.exe : Grer les comptes dutilisateurs, les domaines et les approbations Nltest.exe : Vrifier ltat de la rplication ou les relations dapprobations Nslookup.exe : Afficher les informations sur les serveurs DNS Ntdsutil.exe : Assurer la maintenance de la base de donnes AD DS Repadmin.exe : Diagnostiquer et dpanner la rplication FRS Gestionnaire de serveur : Grer les domaines AD DS existants ou les instances AD LDS Moniteur systme : Crer des graphiques des performances dun serveur Ultrasound.exe : Outil graphique pour diagnostiquer la rplication FRS avec WMI W32tm.exe : Visualiser les paramtres, grer la configuration Windows Time Sauvegarde de Windows Server : Sauvegarder ou restaurer AD DS ou AD LDS

Une base de donnes AD DS fonctionne comme toutes les bases de donnes. Lorsquun enregistrement est inscrit dans la base, le systme alloue de lespace supplmentaire. Lorsquun enregistrement est dtruit, lespace allou nest pas rcupr. Cest pourquoi il est important deffectuer des tches dadministration visant compacter la base de donnes. Contrairement aux autres versions de Windows, pour effectuer la maintenance des services AD DS, il nest pas utile de redmarrer le contrleur de domaine en mode Restauration des services dannuaire mais il est possible dutiliser la Maintenance Hors ligne . Le service AD DS compacte automatiquement la base de donnes, mais ce compactage ne rcupre pas lespace et se contente de rorganiser les donnes. Pour rcuprer lespace perdu, il faut placer la base de donnes hors-ligne et excuter une squence de compactage et de dfragmentation. Dans Windows Server 2008, le service AD DS nest quun service Windows qui peut tre arrt et dmarr comme nimporte quel service Windows. Pour mettre un contrleur de domaine hors ligne et excuter une maintenance, il faut quil y ait au minimum deux DC dans le domaine. Lorsquon arrte le service AD DS, le DC communique avec un autre DC afin de vrifier quau moins un DC est disponible en permanence au moment de larrt. Windows Server 2008 possde 4 fonctionnalits qui augmentent la scurit des donnes :

 Protection des objets contre une suppression accidentelle Audit de laccs aux services AD DS, qui permet la journalisation des anciennes et nouvelles valeurs et permet de retourner la valeur dorigine lorsque les proprits dun objet ont t modifies. Le conteneur tombstone qui permet de stocker tous les objets supprims de lannuaire. Un objet supprim dispose dune priode de grce durant laquelle il peut encore tre rcupr. Les fonctionnalits de sauvegarde et restauration prises en charge par lutilitaire de sauvegarde Windows Server. La protection des donnes contre les suppressions accident est active par dfaut pour les objets unit dorganisation. Pour les autres objets, il faut activer cette option explicitement via longlet Objet de lobjet slectionn : Laudit des modifications de lannuaire permet de journaliser toutes les modifications apporter aux diffrents objets. Toutes les modifications sont enregistres avec un ID dvnement unique dans le journal des modifications du service dannuaire. Il est possible de vrifier quelle tait lancienne valeur et la nouvelle apport lobjet pour corriger les modifications qui navaient pas lieu dtre. Lorsquun objet est supprim de lannuaire accidentellement, il est possible de le rcuprer via la commande Ldp.exe tant que la priode de grce na pas expir. La restauration dun objet avec cet utilitaire rcupre seulement lobjet et son SID mais ne permet pas de rcuprer le reste de ses attributs. Il faudra donc les spcifier nouveau. Lutilitaire Quest Object Restor for Active Directory permet galement de restaurer des objets supprims qui sont encore contenue dans le rpertoire Deleted Objects,DC=contoso,DC=com . Ce conteneur des objets supprim sappel conteneur tombstone . La restauration dun objet avec cet utilitaire rcupre seulement lobjet et son SID mais ne permet pas de rcuprer le reste de ses attributs. Il faudra donc les spcifier nouveau. Tout objet supprim de lannuaire un dlai de grce de 180 jours par dfaut. Les objets sont dplac dans le rpertoire Deleted Objects . Au-del de cette priode, les objets sont dfinitivement supprims de lannuaire par les oprations de nettoyage de la base de donnes. Lutilitaire de sauvegarde Windows permet de restaurer des objets supprims tout en conservant tous les attributs de lobjet. Windows Server 2008 possde un outil qui permet de monter une base de donnes Active Directory partir dun jeu de sauvegarde afin de visualiser le contenu avant lopration de restauration. Lorsquon utilise lutilitaire de sauvegarde Windows, il est possible dexcuter plusieurs oprations : Sauvegarder le serveur entier, y compris son systme dexploitation Ne sauvegarder que les donnes sur ltat du systme, qui comprennent les donnes de configuration du serveur et la base de donnes de lannuaire, Ntds.dit. Restaurer les donnes ne faisant pas autorit, qui seront ajoutes au DC mais seront actualises par la rplication multi matre quand le DC sera reconnect

 Effectuer des installations IFM (Install From Media) dun DC qui sappuient sur une copie de Ntds.dit venant dun autre DC pour rduire le volume de rplication ncessaire pour crer le DC durant linstallation. Les sauvegardes sont effectues avec Windows Server Backup ou avec loutil en ligne de commande correspondant Wbadmin.exe . Ce sont des fonctionnalits qui doivent tre ajout au serveur. Il nest pas possible de faire une sauvegarde sur un lecteur de bande ou des volumes dynamique. Il faut des lecteurs rseau, des disques durs amovibles ou des DVD/CD. Si un serveur tombe en panne, il est possible dutiliser WinRE (Windows Recovery Environment) pour restaurer le systme. WinRE peut tre install localement ou localis sur le support dinstallation de Windows Server 2008. Pour utiliser la sauvegarde avec Wbadmin.exe, il suffit dexcuter une ligne de commande : Wbadmin start backup allcritical backuptarget :[chemin cible] quiet Pour utiliser la sauvegarde avec Windows, il faut aller dans les outils dadministration et dmarrer Sauvegarde de Windows Server : Lorsque lon sauvegarde ltat du systme sur un serveur excutant le rle AD DS, les donnes sauvegardes sont les suivantes : Le registre La base de donnes denregistrement de classes COM+ Les fichiers de dmarrage Les systmes de fichiers protgs par WRP (Windows Resource Protection) La base de donnes des services de domaine Active Directory (Ntds.dit) Le rpertoire SYSVOL (GPO du domaine / Scripts douverture de session) La sauvegarde Windows Server prend en charge 3 modes de restauration : Restauration complte du serveur Restauration de ltat du systme seulement Restauration dun fichier ou dun dossier seulement Pour crer une sauvegarde complte, il suffit de lancer lutilitaire Sauvegarde de Windows Server aprs avoir install la fonctionnalit de la sauvegarde Windows Server . Pour planifier une sauvegarde de Windows Server, il faut lancer lutilitaire Sauvegarde de Windows Server depuis les outils dadministration, puis de cliquer sur Planification de la

sauvegarde dans le menu Actions : NB : Il nest pas possible dutiliser des lecteurs mapps avec Sauvegarde de Windows Server pour planifier une sauvegarde avec lutilitaire wbadmin.exe , il faut excuter les lignes de commandes suivantes : Identifier lidentificateur du disque : wbadmin get disks > diskidentifers.txt Planifier : wbadmin enable backup addtarget:IDdisque schedule:heures include:disquessource Exemple : wbadmin enable backup addtarget:{f0e2788d-0000-0000-0000-000000000000} schedule:21:00,06:00 include:C: Cette commande planifie une sauvegarde du disque C:\ 9h et 18h sur le disque cible dsign par le GUID spcifi. NB : La cible sera formate chaque nouvelle excution de la sauvegarde planifie. Pour restaurer des donnes sur un DC, il nest pas possible de le faire pendant le systme est en cours dexcution. Il faut imprativement redmarrer le DC en mode DSRM (Directory Services Restore Mode). Il suffit de redmarrer le serveur, dappuyer sur la touche F8 pendant le dmarrage et de slectionner mode de restauration des services dannuaire . DSRM restaure les donnes de lannuaire, tandis que WinRE rcupre le systme entier.

Avec Windows Server 2008, il est possible de visualiser le contenu des donnes avant dentamer une restauration. Pour cela, il suffit de monter le jeu de donnes avec loutil de montage des clichs instantanes de la base de donnes. Pour crer un clich instantan de la base de donnes, il faut taper la commande suivante : Ntdsutil activate instance NTDS snapshot create quit quit

Une fois le clich instantan cr, il est possible de le monter et de le charger en tant serveur LDAP pour en visualiser son contenu (Voir TP).

Pour restaurer des donnes, il est donc possible dutiliser soit lutilitaire de Sauvegarde Windows Server , soit la ligne de commande wbadmin . Pour restaurer les donnes de lannuaire, il faut effectuer une restauration du systme en utilisant les lignes de commandes suivante en mode DSRM (Directory Services Restore Mode) :

 Redmarrer le DC en Mode restauration des services dannuaire : Excuter cette ligne de commande pour lister les sauvegardes disponibles : Wbadmin get versions backuptarget :[lecteur] machine:[nomserveur] Excuter cette ligne de commande pour rcuprer ltat du systme partir dun backup : Wbadmin start systemstaterecovery version :[date] backuptarget:[lecteur] machine:nomserveur quiet Lorsque la restauration est termine, il faut redmarrer le serveur en mode normal. AD DS sait quil a t rcupr partir dune sauvegarde et vrifie lintgrit de la base de donnes. Pour excuter une sauvegarde faisant autorit, il faut marquer les donnes en tant que telles en tapant les commandes suivantes en mode DSRM : Ntdsutil authoritative restore restore database quit quit NB : La commande Restaure Database marque toutes les donnes de la base de donnes NTDS.dit du contrleur de donnes comme faisant autorit. Pour restaurer une portion de lannuaire, il faut utiliser la commande restore dans ntdsutil : Restore subtree OU=OUname,DC=nomDC,DC=nomDC Pour la tolrance aux pannes, installer un DC sur une machine virtuelle est une bonne pratique car en cas de crash, il suffit de revenir une version prcdente de la VM. Une fois restaur, la rplication multi matre se charge du reste pour effectuer les mises jour. Le service VSS (Volume Shadow Copy Service) sous Windows Server 2008, prend des clichs instantans du contenu dun disque intervalles rguliers. En cas de pertes de donnes, il suffit dutiliser les versions prcdentes. Cette fonctionnalit est prsente par dfaut dans Windows Server 2008 et Windows Vista. Chaque clich VSS pse 100 Mo, car il ne capture que les pointeurs de disques et non la structure de disque entire. Il est possible de stocker jusqu 512 clichs la fois. Quand on atteint ce maximum, VSS crase automatiquement les clichs les plus anciens. Cest pourquoi il faut dimensionner les disques en consquence. Pour activer les clichs instantans, il suffit douvrir les proprits dun lecteur et de cliquer sur longlet clichs instantanes . Pour configurer le service VSS, il faut cliquer sur Paramtres puis sur le bouton Activer pour mettre en place les VSS : Il est galement possible dactiver les clichs instantans via une ligne de commande : Vssadmin add shadowstorage /for=d : /on=e: /maxsize=6000mb

 Vssadmin create shadow /for=d: Vssadmin list shadowstorage Vssadmin list shadows Les planifications de clichs instantans sont des tches planifies. Pour contrler une tche planifie, il est possible dutiliser la commande Schtasks.exe (Schedule Tasks) ou le planificateur de tches depuis la console de Gestion de lordinateur :

Pour identifier les goulets dtranglement, il est possible dutiliser les outils suivants : Gestionnaire des tches Observateur dvnements Moniteur de fiabilit Analyseur de performances Gestionnaire de ressources systme Windows (WSRM, Windows System Manager)

Dans longlet Performances du Gestionnaire des tches , il y a un bouton Moniteur des ressources qui permet dafficher des graphiques sur lutilisation de lUC, du disque, du rseau et de la mmoire en une seule fentre : Lobservateur dvnements permet dobtenir des informations essentielles sur ltat de sant du systme. Par dfaut, lobservateur dvnements maintient les journaux Windows suivant : Application Scurit Configuration Systme Evnements transmis

Les contrleurs de domaine hbergent des journaux supplmentaires ddis aux services AD DS : Rplication DFS Service dannuaire Serveur DNS Le moniteur de fiabilit est un outil qui permet didentifier les problmes potentiels. Ce dernier conserve les traces des modifications apportes un systme (Modification systme, installations ou dsinstallations de logiciels, dfaillances des applications, pannes matriels)

Lanalyseur de performances est un outil qui permet de tracer des donnes de performances

sur un systme. WSRM (Windows System Ressources Manager) est une nouvelle fonctionnalit de Windows Server qui permet de profiler des applications afin de dterminer les ressources ncessaires une application. Cette fonctionnalit permet galement de fonctionner en mode de gestion des processus excut sur un serveur afin surveiller la charge de chaque processus, utilisateurs ou sessions et bloquer lun des processus qui aurait dpass son seuil autoris. Lensemble de ces rgles de gestion ne sapplique pas si la charge totale du serveur nexcde pas 70% du CPU.

Chapitre 14 AD LDS (Active Directory Lightwey Directory Services) est un annuaire autonome ddi aux applications. Certaines applications ncessitent de modifier le schma Active Directory pour fonctionner. Il est recommand de modifier le moins possible le schma. Pour installer ce type dapplications, il est recommand dutiliser AD LDS qui est une portion de lannuaire AD DS ddi linstallation des applications. Chaque application spcialise peut possder sa propre instance AD LDS. Les modifications du schma nauront lieu que sur linstance AD LDS ddie et pas sur le schma AD DS. Les instances AD LDS sont bases sur le protocole LDAP. AD LDS nest quune sorte dapplication que lon installe sur un serveur ou un poste client. AD LDS ne supporte pas les stratgies de groupe. AD LDS peut tre install ou dsinstall sans redmarrage du systme. AD LDS peut utiliser sur la rplication multi matre pour assurer la cohrence des donnes.

AD LDS peut tre install et configur indiffremment sur des installations compltes ou minimales de Windows Server 2008. Il faut autant que possible viter dinstaller AD LDS sur des contrleurs de domaine. La cohabitation avec le rle AD DS fonctionne trs bien mais il est recommand de considrer AD LDS comme un rle spcial du rseau. Pour dsinstaller AD LDS, il faut dabord supprimer toutes les instances AD LDS existante, puis employer le Gestionnaire de server pour enlever le rle AD LDS. Pour installer AD LDS, il suffit de rajouter le rle depuis le Gestionnaire de server . Sur une installation minimale de Windows Server 2008, il faut procder de la manire suivante :

 Identifier le package installer en tapant : oclist | more Installer le package : start /w ocsetup DirectoryServices-ADAM-ServerCore NB : Lorsque lon installe le package, il faut faire attention la casse. Linstallation dAD LDS sur une installation complte va crer 20 fichiers et 2 sous-dossiers dans le rpertoire %SystemRoot%\ADAM Linstallation dAD LDS sur une installation minimale va crer 19 fichiers et 1 sous-dossier dans le rpertoire %SystemRoot%\ADAM Le rpertoire %SystemRoot%\ADAM contient des fichiers *.LDF qui sont utiliss pour peupler les instances dAD LDS quand elles sont crs. Pour crer une instance AD LDS, les lments suivant doivent tre runis : Un disque de donnes prsent sur le serveur, distinct du systme dexploitation, qui servira hberger les bases de donnes de lannuaire. Un nom significatif pour linstance AD LDS qui servira identifier lapplication qui sera attache linstance. Dfinir les ports qui seront utiliss pour communiquer avec linstance. Bien quil est possible dutiliser les mmes ports que les services AD DS, il est toutefois recommand dutiliser la plage 50 000. Dfinir le nom de la partition dapplication qui sera utilis avec linstance. Un compte de service pour faire fonctionner linstance. Sil existe plusieurs instances, il est recommand dutiliser un compte de service nomm pour chaque instance plutt que dutiliser le compte Service rseau par dfaut. La bonne pratique veut que lon cre un compte de domaine portant le mme nom que linstance AD LDS, et que ce compte bnficie des droits Ouvrir une session en tant que service dans la stratgie locale de chaque serveur qui hbergera linstance. Dfinir un groupe qui contiendra les comptes dutilisateurs qui administreront linstance. Dposer tous les fichiers LDIF supplmentaires dans le dossier %SystemRoot%\ADAM. Il est galement possible dimporter des fichiers LDIF par la suite. NB : Petit rappel sur les ports AD DS et AD LDS : Port LDAP : 389 Port LDAP sur SSL / Secure LDAP : 636 Port Catalogue Global : 3268 Port Catalogue Global Scuris : 3269 Les fichiers LDIF par dfaut sont les suivants : MS-ADAM-Upgrade-1.ldf : Met le schma dAD LDS au niveau de la dernire version MS-adamschemaw2k3.ldf : Pr requis pour synchroniser une instance avec Active Directory sous Windows Server 2003 MS-adamschema2K8.ldf : Pr requis pour synchroniser une instance avec Active Directory sous Windows Server 2008 MS-AdamSyncMetedata.ldf : Requis pour synchroniser les donnes entre la fort AD DS et une instance dAD LDS via ADAMSync MS-ADLDS-DisplaySpecifiers.ldf : Requis pour le composant logiciel enfichable Sites et

services Active Directory MS-AZMan.ldf : Requis pour supporter le Gestionnaire dautorisations Windows MS-InetOrgPerson.ldf : Requis pour crer les classes dutilisateurs InetOrgPerson MS-User.ldf : Requis pour crer les classes dutilisateurs et les attributs associs MS-UserProxy.ldf : Requis pour crer une classe userProxy lmentaire MS-UserProxyFull.ldf : Requis pour crer une classe userProxy complte

Pour migrer une instance prcdente de LDAP ou ADAM vers AD LDS, il faut dabord exporter les donnes au format *.ldif puis les importer laide de la commande LDIFDE. Pour exporter une instance avec LDIFDE, il faut taper la commande suivante : Ldifde f [NomDeFichier] s [NomDeServer:NumroDePort] m b [NomUtilisateur] [NomDomaine] [MotDePasse] Pour importer une instance avec LDIFDE dans AD LDS, il faut taper la commande suivante : Ldifde i [NomDeFichier] s [NomDeServer:NumroDePort] m b [NomUtilisateur] [NomDomaine] [MotDePasse] NB : Le commutateur h permet dimporter les mots de passe de linstance hrite. Ce commutateur chiffrera tous les mots de passe en utilisant SASL (Simple Authentification Security Layer). AD LDS cre des journaux pendant la cration de linstance. Ces fichiers sont localiss dans le dossier %SystemRoot%\Debug et sont nomms ADAMSetup.log et ADAMSetup_loader.log. Pour importer lun des fichiers *.ldif prsent dans le rpertoire %SystemRoot%\ADAM, il faut taper la commande suivante : Ldifde i f MS-ADLDS-DisplaySpecifiers.ldf s [NomDeServer:NomDePort] m a [NomUtilisateur] [NomDomain] [MotDePasse]

Chapitre 15 Le rle AD CS est bas sur une infrastructure cl publique (PKI, Public Key Infrastructure) AD CS peut fournir des services de certificat lintrieur et lextrieur du rseau

AD CS comprend les composants suivants : Autorits de certification (CA) : Les CA (Certificate Authority) sont des serveurs qui peuvent mettre et grer des certificats. AD CS prend en charge les CA racine et les CA secondaires, ou enfants. Inscription via le web : Cest une interface web laquelle les clients peuvent se connecter pour demander un certificat, utiliser des cartes puce ou obtenir des listes de rvocation de certificat (CRL, Certification Revocation Lists). Rpondeur en ligne : Permet de rpondre des requtes de validation spcifique et met en uvre le protocole OCSP (Online Certificate Status Protocol). Ce systme vite de demander une liste de rvocation des certificats complte et permet de soumettre une demande de validation pour un certificat donn. Service dinscription de priphrique rseau : permet daffecter des certificats des quipements rseau tel que des routeurs, des switchs, ou firewall. Grce aux services dinscription NDES (Network Device Enrollment Service) et SCEP (Simple Certificate Enrollment Protocole), ces quipements qui excutent des systmes dexploitation de bas niveau peuvent aussi participer une PKI gre et maintenue par une installation AD CS.

AD CS prend en charge deux types de CA : CA Autonome et CA dentreprise

Une CA autonome nest pas ncessairement intgr dans un service dannuaire et peut sexcuter sur des postes de travail. Ce type de CA est souvent utilis comme CA racine interne et places hors ligne pour des raisons de scurit aprs quon les a utilises pour gnrer des certificats. Les CA autonomes peuvent sexcuter sur Windows Serveur 2008 Standard Edition, Windows Server 2008 Enterprise Edition et Windows Server 2008 Datacenter Edition. Une CA dentreprise est intgr un service dannuaire AD DS. Ce type de CA met des certificats aux utilisateurs finaux et aux autres dextrmits. Comme ce type de CA est intgr AD DS, une CA dentreprise peut mettre et approuv des certificats automatiquement en rponse aux requtes des membres de lannuaire. Les CA dentreprises peuvent sexcuter sur Windows Server 2008 Enterprise Edition et Windows Server 2008 Datacenter Edition.

Chaque fois quun certificat est prsent, ce dernier doit tre valid par une CRL ou par un rpondeur en ligne. Pour accroitre la scurit, il faut crer des hirarchies de CA. Mais attention tout de mme car toute attaque dune CA de haut niveau ou racine compromet lensemble des certificats qui en dpendent. Cest pourquoi il faut scuriser les CA racine autant que possible.

Il est recommand de crer une CA racine et au moins une CA mettrice. La CA racine donnera un certificat la CA mettrice pour fonctionner. Une fois que la CA mettrice est oprationnelle, il faudra mettra la CA racine hors ligne pour empcher toute attaque ventuelle. Exemple de hirarchie deux couches :

Exemple darchitecture trois couches dans un dploiement gographique :

NB : Il est conseill de ne pas crer darchitecture de plus de trois couches. Plus on cre de couches et plus ladministration deviendra complexe. Affectation des CA selon le type de modle : Une couche CA dentreprise (en ligne) Deux couches CA autonome (hors ligne) CA dentreprise (en ligne Trois couches CA autonome (hors ligne) CA autonome (hors ligne) CA dentreprise (en ligne) Type de CA CA racine CA intermediaire CA mttrice

NB : Il faut viter les infrastructures monocouche car elles sont difficiles protger NB : Les CA racines et les CA intermdiaires doivent tre mise hors ligne pour plus de scurit NB : Il nest pas possible de transformer une CA autonome en CA dentreprise et vice versa une fois AD CS install, tout comme il nest pas possible de renommer un serveur par la suite. Il faut donc prvoir les noms de serveurs en consquence pour les conserver longtemps. NB : Il faut viter dinstaller AD CS sur un contrleur de domaine mme si cela est possible.

Les certificats gnrs contiennent gnralement deux cls : Une cl prive et une cl publique. Pour chiffrer les donnes ont utilise la cl prive. Pour dchiffrer les donnes il faudra utiliser la cl publique. Ce jeu de cl une dure de vie limit qui ncessite un renouvellement de la cl aprs expiration du certificat afin de gnrer un nouveau jeu de cls. Les CA racines fonctionnent avec un certificat dont la dure doit tre la plus longue possible. Il y a ensuite les CA intermdiaires et les CA mettrices qui possdent galement un certificat. Il est possible de fixer un intervalle de 10 ans pour chaque couche de larchitecture. Dans une architecture trois couches, il est recommand de dfinir 30 ans pour la CA racine, 20 ans pour les CA intermdiaires et 10 ans pour les CA mettrices. Ensuite, on peut affecter un ou deux ans aux certificats que lon mettra pour les utilisateurs. Lorsquun certificat de serveur expire, tous les certificats enfants expirent galement. Cest pourquoi il faut donner une dure de vie plus longue aux serveurs.

Il y a rvocation quand on doit annuler un certificat pour une raison donne. La rvocation est la seule mthode pour invalider un certificat mal utilis. La CPS (Certificate Practice Statement) est un document qui relate la politique de gestion des certificats ainsi que la politique de rvocation. Ce document doit tre remis aux utilisateurs sous quelconque forme sur Internet ou des intranets. Le rle AD CS ne peut pas tre install sur Server Core et ncessite une installation complte de Windows Serer 2008. AD CS ne peut tre install sur des serveurs bas sur Itanium. Il faut penser sauvegarder chaque CA mettrice avec des sauvegardes :

Pour restaurer une autorit de certification, il suffit doprer comme suit :

Chapitre 16 AD RMS permet dassurer lintgrit des donnes. A limage des DRM sur les morceaux de musique, Windows Serveur 2008 amliore le service AD RMS de Windows Server 2003 afin dapporter une fonctionnalit de protection supplmentaire pour la proprit intellectuelle. AD RMS sintgre aux services AD DS et peut galement avoir recours aux Services de Certificat Active Directory. AD CS peut gnrer les certificats de linfrastructure cls publiques (PKI) quAD RMS peut incorporer dans des documents. AD FS tend les stratgies AD RMS au-del du pare-feu.

AD RMS sappuie sur une base de donnes SQL Server 2005 ou 2008 pour y stocker la configuration et la journalisation dAD RMS. Dans un environnement de test, il est possible dinstaller AD RMS sur une base de donnes locale WIS (Windows Internal Database), qui ne prend pas en charge les connexions distance. AD RMS fonctionne avec un client AD RMS. Ce client est dj prsent dans les versions de Windows Vista, Windows 7 et Windows Server 2008. Les services Internet IIS (Internet Information Services) 7.0 offrent des services web dont dpendent AD RMS.

La premire fois quon installe AD RMS, on cr un cluster racine AD RMS par dfaut. Ce cluster est conu pour grer les requtes de certificat. AD RMS est administr via une mmc .

Un serveur AD RMS sauto-inscrit lors de la cration. Linscription cre un certificat de licence serveur (SLC, Server Licensor Certificate), ce qui lui permet de sexcuter galement sur des rseaux isols sans accs Internet. AD RMS contient 4 rles dadministration qui permettent de dlguer des tches : Administrateur dentreprise : Permet de grer tous les aspects du service Administrateur de modles : Permet de lister, crer, modifier et exporter des modles de stratgie de droits Auditeurs AD RMS : Permet de grer des journaux et des rapports. Groupe de service AD RMS : Contient le compte de service li AD RMS Un modle de stratgie de droits AD RMS est une dfinition des actions autoris ou refus sur une ressource (Autorisation de lire, crire, copier, imprimer ou coller).

AD RMS nest pas pris en charge et ne sexcute pas dans les installations Server Core de Windows Server 2008. AD RMS utilise des licences au format XrML (Extensible Rights Markup Language) Les prs requis pour linstallation dAD RMS : Processeur : un Pentium 4,3 GHz (Recommand : Deux processeurs Pentium 4,3 GHz) RAM : 512 Mo (Recommand : 1024 Mo) Espace disque : 40 Go (Recommand : 80 Go) OS : Windows Server 2008 sauf Web Edition et systems bases sur Itanium (Recommand : Windows Server Enterprise Edition ou Datacenter) Systme de fichiers : FAT32 ou NTFS (Recommand : NTFS) Messagerie : Message Queuing Service Web : IIS avec ASP.NET Les considrations dAD RMS : URL du serveur Web : Rserver des URL qui ne changeront pas AD DS : Un domaine AD DS excutant Windows 2000 SP3, Windows Server 2003 ou

Windows Server 2003 Emplacement de linstallation : AD RMS doit tre install sur le mme domaine que les utilisateurs Comptes dutilisateur du domaine : Adresse de messagerie configure dans AD DS Compte de service : Le compte doit tre du domaine Serveurs de base de donnes : WID (Windows Internal Database) ou SQL Server 2005 avec SP2 Certificat dinstallation : Il faut un certificat SSL pour le cluster AD RMS. Protection de l a cl du cluster : Stockez la cl du cluster dans la base de donnes de configuration AD RMS Configuration DNS : crez des enregistrements CNAME personnalit pour lURL du cluster racine et le serveur de base de donnes Client activ pour AD RMS : Un navigateur ou une application active pour AD RMS (Word, Outlook, PowerPoint, IE) Systme dexploitation client : Windows Vista, Windows 7 ou Windows XP avec le client AD RMS Certificats AD RMS :

Certificat de licence serveur : Certificat auto-sign et gnr linstallation (250 ans) Certificat de compte de droits : Transmis des utilisateurs approuvs (certificat RM) Certificat de licence client : Gnr lors du lancement dune application protg Certificat dordinateur : Est cr lors de lactivation dune application pour RMS Licence de publication : Est cr lorsquun utilisateur enregistre du contenu protg Licence dutilisation : Attribu un utilisateur qui ouvre un contenu protg