ESAT/DGF/DMSI

ECOLE SUPERIEURE

ET D’APPLICATION

DES TRANSMISSIONS

division management

et systèmes d’information

WINDOWS 2000

Chapitre 1: Vue d'ensemble de Windows 2000

COURS SYSTEME
 VUE D'ENSEMBLE DE WINDOWS 2000

1. Généralités..........................................................................................................................2
1.1. Windows 2000 Professionnel........................................................................................2
1.2. Windows 2000 Server...................................................................................................4
2. Les éléments fondamentaux d’Active Directory.................................................................12
3. La sécurité dans W2K.......................................................................................................17
4. Utilisation en environnement hétérogène..........................................................................18
4.1. W2K en tant que serveur membre..............................................................................18
4.2. Mode mixte, mode natif...............................................................................................19
4.3. Relations entre domaines W2K et domaines NT4......................................................21
4.4. Services Unix..............................................................................................................23
4.5. Services Netware........................................................................................................24
4.6. Méta-annuaire.............................................................................................................24
5. Impression d’ensemble.....................................................................................................25
6. Installation d’un serveur....................................................................................................26

23243574.doc Page 1 sur 29

 VUE D'ENSEMBLE DE WINDOWS 2000

1. Généralités
La plate-forme Microsoft Windows 2000 – combinaison de Windows 2000 Professionnel et
de Windows 2000 Serveur - a été créée pour fournir, en une seule gamme de produits, tous
les composants nécessaires à l’informatique d’une entreprise: administration des réseaux,
communication entre logiciels et services intranet/internet.

Plate -forme Windows 2000

Serveurs
Windows 2000
Windows 2000
Datacenter Server
Server

Windows 2000
Advanced Server

Windows 2000
Professionnel

Station
de travail

1.1. Windows 2000 Professionnel

• Amélioration de l’administration du poste client: W2K Professionnel, associé à W2K

Server ou Advanced Server, permet aux administrateurs d’avoir un contrôle total non
seulement sur les paramètres d’installation du système et des applications mais
également sur les données. Ceci permet notamment de mettre en œuvre des
mécanismes de réparation et/ou de restauration automatique qui garantissent les
utilisateurs contre des dommages accidentels et diminuent de façon notable le
nombre de recours au support technique. L’autre avantage est de permettre aux
utilisateurs d’avoir accès aux applications et données dont ils ont besoin depuis
n’importe quel ordinateur sur le réseau. Enfin, le nombre de cas de figures
nécessitant un redémarrage du poste client a été réduit de manière drastique. Les
tests ont permis de relever 5 cas de redémarrage contre plusieurs dizaines pour NT.
• Support de l’administration à distance: Conçu pour faciliter son administration, W2K
Professionnel inclut nativement des "agents clients" qui permettent la mise en œuvre
de solutions d’administration à distance.
• Facilité d’utilisation: L’interface utilisateur a été améliorée pour un accès plus simple
et plus rapide aux informations par l’utilisation de menus personnalisables et aux
listes de documents les plus récemment utilisés. Ce principe est étendu à une
assistance à la saisie (chemins de fichiers, paramètres d’une sélection, …) en
proposant une réponse complète à partir de la frappe des premiers caractères. Cela

23243574.doc Page 2 sur 29

 reste pourtant une évolution douce pour l’utilisateur NT qui pourra s’adapter
facilement à cette interface améliorée.
• Amélioration de la stabilité: W2K Professionnel a montré lors des différents tests un
très haut niveau de stabilité. Les postes clients restent donc plus longtemps
disponibles, ce qui offre aux utilisateurs une garantie d’utilisation et de productivité
accrue.
• Amélioration du support des périphériques: W2K Professionnel supporte à cette date
plus de 7000 périphériques différents, y compris certains dont l’utilisation n’était pas
ou mal assurée par Microsoft dans les versions Windows 95, 98 et/ou NT. Ainsi, le
support du port USB1, de la gestion d’énergie pour les portables, des ports
infrarouges et des moniteurs multiples font partie intégrante de W2K. Toutefois, il est
important lors de l’installation d’un nouveau périphérique ou lors d’une migration vers
W2K Professionnel de vérifier le support des périphériques en consultant la liste de
compatibilité sur la page web du site de Microsoft2 ou du fabricant du matériel.
On distingue en fait deux cas de figure: les périphériques récents et les périphériques
anciens. Nombre de périphériques récents comme les scanneurs ne disposent pas
toujours des pilotes adaptés. Il n'y a cependant pas de souci à se faire dans ce cas
puisque les constructeurs assurent très généralement le portage des pilotes NT vers
W2K. Le problème est plus délicat pour les périphériques anciens dont il faudra
envisager le remplacement.
• Amélioration de l’utilisation pour les utilisateurs itinérants: Les ordinateurs portables
ont bénéficié d’une attention toute particulière. Ainsi, on notera la mise en œuvre
d’une fonction « d’hibernation » qui permet au système d’exploitation, avant que
l’ordinateur ne se mette en veille, de recopier sa mémoire sur le disque. Au « réveil »,
l’état exact de la machine avant « hibernation » est restauré en quelques instants (10
à 15 secondes) après avoir saisi le mot de passe de la session. De même, W2K offre
des fonctionnalités de synchronisation des dossiers pour les ordinateurs qui doivent
se déconnecter et se reconnecter à un réseau. L’utilisateur marque ces dossiers en
utilisant l’option ‘Rendre disponible hors connexion’. Le système crée alors un
« cache » local sur le disque. Déconnecté du réseau, l’utilisateur peut continuer de
travailler sur ses fichiers de manière totalement transparente. Une fois reconnecté
physiquement sur le réseau, les fichiers modifiés se synchronisent automatiquement.
Ces fonctions sont bien sûr applicables aux ordinateurs de bureau à la limitation près,
pour « l’hibernation », de la disponibilité sur celui-ci d’une carte de gestion d’énergie
compatible ACPI3.

1
Universal Serial Bus
2
http://www.microsoft.com/windows 2000/reskit/webresources
3
Advanced Configuration and Power Interface

23243574.doc Page 3 sur 29

 Windows 2000 Professionnel

Gestionnaire
Gestionnaire de
de Protocole
Protocole IPP
IPP Gestionnaire
Gestionnaire
synchronisation
synchronisation Plug
Plug --and
and --Play
Play

•• Assistant
Assistant Gestion
Gestion
•• Kerberos
Kerberos version
version 55 d'installation
d'installation
•• Système
Système de de fichiers
fichiers de
de •• Windows
Windows Installer
Installer
cryptage
cryptage EFS
EFS
•• Système
Système IPSec
IPSec
•• Prise
Prise en
en charge
charge des
des
cartes
cartes àà puce
puce
•• Service
Service secondaire
secondaire
d'ouverture
d'ouverture dede session
session

• Amélioration du stockage: Les progrès principaux portent sur la prise en charge des
systèmes de fichiers Fat32 et NTFS 5 qui permettent une amélioration très sensible
des indexations de fichiers et qui sécurisent l’accès aux données du disque grâce au
système de fichiers chiffrés EFS4. W2K permet également une plus grande facilité de
gestion du stockage en permettant notamment de créer, d’étendre ou de mettre en
miroir un volume NTFS sans redémarrer, de consulter le journal des modifications,
d’utiliser des utilitaires de nettoyage et de défragmentation5, d’optimiser l’espace
disque ou d’allouer des quotas d’espace disque pour chaque utilisateur.
• Amélioration du support des langues: Désormais le noyau des produits Microsoft est
indépendant de la langue utilisée par l’utilisateur. Le « package » d’installation
contient l’intégralité des fichiers complémentaires chargés de transformer l’interface
utilisateur dans sa langue préférée. Ainsi plusieurs utilisateurs ayant un accès au
même poste partagé peuvent, spécifiquement à leur profil, travailler dans des
langues différentes sans réinstallation spécifique.

Une question subsiste: quelle configuration est nécessaire pour utiliser W2K
Professionnel dans des conditions correctes ?

• Toutes les améliorations ou nouvelles fonctionnalités présentées précédemment ont

bien évidemment un coût en terme de configuration matérielle. Microsoft annonce
que la plate-forme minimale est un Pentium 166 avec 32Mo de RAM et un disque de
2 Go. Après vérification et à la lecture des commentaires faits par les pionniers on
peut réévaluer la configuration à un PII 266 avec 64 Mo et un disque de 4 Go. En
effet, ce qu’annonce Microsoft est juste nécessaire à l’installation, mais il n’est pas
question d’utiliser raisonnablement le moindre logiciel sur une telle machine. Avant
migration, il faudra prévoir également une vérification complète de la compatibilité
des périphériques et des modifications éventuelles du BIOS pour exploiter
convenablement W2K Professionnel.

1.2. Windows 2000 Server

4
Encrypted File System
5
Attention: ces utilitaires sont des versions “allégées” de produits commerciaux plus complets,
toutefois ils permettent de faire l’essentiel des tâches courantes dans leur domaine.

23243574.doc Page 4 sur 29

La gamme W2K Server est composée à ce jour de trois produits. Il s’agit de W2K Standard,
Advanced Server et DataCenter.
• L’édition Server offre les services de base pour les organisations de petite ou de
moyenne taille (serveur de fichiers, d’impression, communications, web, …).

Windows 2000 Server

Active
Active Directory
Directory

Protocole
Protocole de
de mise
mise àà Services
Services Terminal
Terminal
Stratégie
Stratégie de
de groupe
groupe jour
jour dynamique
dynamique Server
Server
DNS
DNS

• L’édition Advanced Server est conçue pour les besoins des applications critiques, le
support des bases de données ou même l’hébergement de services web. Les cibles de
cette version sont les grandes et moyennes sociétés et même les fournisseurs d’accès
internet.
• DataCenter sera le système d’exploitation serveur le plus puissant et le plus complet
jamais proposé par Microsoft. Son ambition est de concurrencer directement les grands
systèmes. Ses cibles sont les banques de données, les analyses économiques, les
simulations de grande échelle en science et ingénierie ainsi que le commerce
électronique.

Windows 2000 éditions Advanced Server et

Datacenter Server

Architecture
Architecture Mise
Mise en
en cluster
cluster
de
de la
la mémoire
mémoire àà Évolutivité
Évolutivité SMP
SMP Windows
Windows
l'échelle
l'échelle de
de l'entreprise
l'entreprise


 Advanced
Advanced :: 
 Advanced
Advanced :: jusqu'à
jusqu'à  Haute
jusqu'à
jusqu'à 88 Go
Go huit
huit processeurs
processeurs disponibilité
 Datacenter
 Datacenter ::  Datacenter
 Datacenter ::  Répartition de la
jusqu'à
jusqu'à 64
64 Go
Go jusqu'à
jusqu'à 32
32 charge réseau
processeurs
processeurs

Le cœur de Windows 2000 Server est un ensemble de services basés sur l’annuaire Active
Directory. Le service d’annuaire Active Directory est une combinaison des éléments ci-
dessous:

23243574.doc Page 5 sur 29

 - Annuaire. Il s’agit d’un conteneur physique intégrant différents types d’objets. Un
annuaire téléphonique, par exemple, est un annuaire qui contient des adresses et
des numéros de téléphone.
- Services. Les services permettent d’exploiter toutes les informations et
ressources de l’annuaire. Un service d’annuaire peut, par exemple, être un
logiciel doté de fonctions qui permettent d’interroger le contenu d’un annuaire
téléphonique.

Les services d’annuaire réseau permettent aux administrateurs de définir, d’organiser et de

gérer les objets d’annuaire (données sur les utilisateurs, imprimantes, serveurs…) ainsi que
leurs caractéristiques afin que les utilisateurs et les applications puissent les exploiter.

Définition d'Active Directory

Fonctionnalités
Fonctionnalités dudu Gestion
Gestioncentralisée
centralisée
service
service d'annuaire
d'annuaire

 Point
Point d'administration
d'administration unique
unique
 Organiser
Organiser Les
 
 Les utilisateurs
utilisateursouvrent
ouvrent une
une
 Gérer
 Gérer Ressources
Ressources session
session une une fois
fois pour
pour l'accès
l'accès

 Contrôler
Contrôler complet
complet auxaux ressources
ressources de de
l'annuaire
l'annuaire

Un service d'annuaire, tel que Active Directory, fournit des méthodes de stockage des
données de l'annuaire et met ces données à la disposition des utilisateurs et des
administrateurs du réseau. Par exemple, Active Directory stocke des informations sur les
comptes d'utilisateurs, notamment les noms, les mots de passe, les numéros de téléphone,
etc. et permet à d'autres utilisateurs autorisés du même réseau d'accéder à ces informations.
Active Directory est un annuaire distribué. Les informations peuvent être réparties sur
différents ordinateurs, ce qui accélère l’accès et permet la tolérance de panne. Active
Directory affiche les données de la même manière pour les utilisateurs, quel que soit le lieu à
partir duquel ceux-ci y accèdent et l’emplacement où elles sont stockées.

23243574.doc Page 6 sur 29

 Active directory

Services
Servicesd’annuaire
d’annuaire

Ressources
Ressources

Les fonctionnalités offertes par Active Directory sont plus étendues que celles d’un service
d’annuaire de base, comme indiqué ci-dessous:
- Evolutivité. Active Directory peut contenir plusieurs millions d’objets.
- Extensibilité. Active Directory contient un schéma, qui est la définition de tous les
objets qui peuvent être créés dans Active Directory, ainsi que l’ensemble de leurs
caractéristiques ou attributs. Les applications auxquelles Active Directory est
intégré peuvent définir de nouvelles classes d’objets ou de nouveaux attributs de
classe. Pourtant, il est conseillé de ne pas modifier certains éléments créés par
défaut à l’installation d’Active Directory, comme les classes d’objet et les groupes,
pour des raisons de compatibilité avec certaines applications commerciales.
- Dénomination, résolution de noms et protocoles d’interrogation conformes aux
standards Internet. Ceci permet une intégration immédiate à d’autres produits du
marché. En revanche, la structure d’Active Directory est liée à la notion
d’arborescence de domaines (au sens DNS du monde IP). On ne peut donc pas
facilement modifier cette structure une fois créée.
- Point d’accès unique. Avec une seule ouverture de session sur un même
ordinateur, les administrateurs peuvent gérer des objets situés n’importe où sur le
réseau. Les utilisateurs peuvent ouvrir une session n’importe où sur le réseau et
accéder aux ressources gérées par l’annuaire.
- Tolérance de panne. La duplication à plusieurs maîtres réduit les risques de
pertes de données et de services liés à des événements imprévus.
- Contrôles de sécurité. Active Directory permet une gestion centralisée des
utilisateurs, des groupes, des politiques de sécurité et des ressources de
connectivité réseau. Toutefois, l’octroi de droits d’accès et d’utilisation aux
utilisateurs peut être décentralisé et délégué à plusieurs groupes. Microsoft
déconseille pourtant d’utiliser une délégation trop fine de la sécurité car il est
difficile de revenir en arrière et sa mise en œuvre risque de pénaliser fortement
les performances du système d’information.
- Interopérabilité. Active Directory peut coopérer avec d’autres systèmes
d’exploitation, plates-formes, services et protocoles. Il est conforme aux
recommandations X.500 de l’ISO (International Organization for Standardization)
pour l’implémentation des services d’annuaire. Il prend aussi en charge le
protocole LDAP (Lightweight Directory Access Protocol) dans les versions 2 et 3.

23243574.doc Page 7 sur 29

 Ceci permet à Active Directory de fonctionner avec d’autres services d’annuaire
prenant en charge ce protocole.

Windows 2000 Server utilise désormais le système de fichiers distribués DFS6 qui permet,
outre d’améliorer les temps d’accès aux données, d’offrir à l’administrateur un moyen simple
de concevoir un système de fichiers intégrant des fonctions de tolérance aux pannes et
d’équilibrage de charge. En effet, DFS se présente comme une arborescence composée de
partages qui peuvent être situés un peu partout sur le réseau. L’administrateur peut par
exemple configurer plusieurs serveurs W2K pour qu’ils se partagent la même racine DFS.
Lorsqu’un client se connecte à un arbre DFS réparti sur plusieurs serveurs, Active Directory
dirige le client vers le serveur DFS le plus proche (au sens capacité d’accès réseau). Si ce
serveur vient à « disparaître », le client est aussitôt reconnecté à un autre serveur W2K de la
même racine DFS. De même, W2K Server offre un service de réplication, FRS 7, qui traite la
synchronisation des racines DFS (ce qui permet par exemple de disposer sur le réseau local
de données en théorie distantes). Par défaut, cette réplication se fait toutes les quinze
minutes (valeur utilisée également par Active Directory), ce qui implique que deux utilisateurs
qui ne sont pas situés sur le même site peuvent temporairement travailler sur des données
différentes puisque dupliquées sur deux arborescences DFS. Cette valeur peut être modifiée
mais la charge sur le réseau distant s’en ressentira. Il est donc nécessaire de bien étudier à
l’avance la nécessité et les limites de l’usage d’une telle architecture.

DFS dans un domaine

Domaine: NETARCHITECT

\\NETARCHITECT \DFS

WASHINGTON

Service de
réplication de fichier

DC-CONTRACTS CONTRACTS

LOS ANGELES WASHINGTON

Windows 2000 intègre également de nouvelles solutions pour le stockage, principalement

par l’ajout du système de fichiers NTFS 5. Celui-ci complète le modèle et les fonctionnalités
déjà connus dans NT 4, mais il n’est pas compatible8 avec ce dernier. Les principales
améliorations résident dans une gestion optimisée des volumes qui permet aux
administrateurs d’étendre et de gérer des volumes dynamiques sans avoir à redémarrer le
système, de fixer des quotas de volumes disques en se basant sur des politiques de groupe,
d’assurer la protection des données grâce au format EFS. La défragmentation des volumes
NTFS est fournie en standard, même s’il s’agit là d’une version « allégée » de Diskeeper
d’Executive Software, de même que le gestionnaire de disques logiques est une version

6
Distributed File System
7
File Replication Service
8
Le SP6a de NT permet de lire et écrire dans une partition NTFS 5 existante, mais ne permet pas de
la créer.

23243574.doc Page 8 sur 29

bridée de Veritas Volume Manager de Veritas Software. Microsoft et les fournisseurs de ces
technologies reconnaissent que les technologies ainsi intégrées dans W2K Server
répondront à la majorité des besoins des administrateurs au quotidien, mais que pour des
besoins plus spécifiques ou portant sur des organisations plus complexes, le recours à la
version complète de l’éditeur tiers sera nécessaire. Toutefois, l’intégration sera aisée
puisque l’ensemble des interfaces entre le logiciel complet et W2K sont déjà présentes dans
la version « allégée ».

Défragmenteur Windows2000

Du côté de l’authentification, le protocole NTLanManager, protocole propriétaire de

Microsoft, a été remplacé par un noyau Kerberos 5. Celui-ci est utilisé pour la validation de
l’accès aux ressources d’un domaine W2K. Il permet notamment d’établir le schéma
d’approbation transitive au sein d’une forêt et d’une arborescence W2K sur lequel se fonde
tout le fonctionnement d’Active Directory. Ce préalable était absolument nécessaire pour
développer une structure arborescente apte à s’appliquer aux organisations complexes des
grandes entreprises. Jusqu’à présent, NT 4 obligeait les administrateurs à décrire de
manière explicite tous les liens d’approbation entre les domaines NT ainsi que leurs sens (A
vers B et B vers A pour une relation d’approbation réflexive) avec une structure limitée à
deux niveaux. Désormais, sauf cas particulier décrit explicitement par l’administrateur, dans
une même arborescence l’approbation transitive9 est automatique et réflexive. Ceci permet
de faire disparaître, entre autres, les notions de contrôleur principal – contrôleur secondaire
de NT au profit d’une notion unique de contrôleur de domaine W2K. A cette infrastructure
d’authentification sont associés différents modules qui permettent par exemple d’assurer la
gestion des clés publiques et privées, des certificats10 et de spécifier les autorités de
certification à approuver11. Ceci permet aux deux acteurs de s’authentifier mutuellement et
de chiffrer la transaction.

9
si A approuve B et B approuve C alors A approuve C de fait
10
Basés sur le standard X509
11
Composant enfichable Certificates dans la console d’administration MMC

23243574.doc Page 9 sur 29

 Fonctionnement de Kerberos

Kerberos
contoso.msft
contoso.msft nwtraders.msft
nwtraders.msft

2 3

o n
in ti
e m fica
i
Ch ent
th 4
au
d’
1 5

na.contoso.msft
na.contoso.msft south.nwtraders.msft
south.nwtraders.msft

L’initiative ZAW (Zero Administration for Windows) est la tentative de réponse de Microsoft
au besoin croissant des entreprises de diminuer le coût de possession de leur informatique,
mais également au produit ZenWorks de Novell. Le Gartner Group a effectué une des
études les plus complètes sur ce sujet et a montré que la répartition de ce coût est
approximativement le suivant: 12% pour les coûts d’administration, 16% pour l’assistance
technique, 16% pour l’acquisition des matériels et des logiciels et 56% pour les pertes de
productivité des utilisateurs finaux. Trois raisons principales peuvent expliquer ce dernier
chiffre. La première est la disponibilité des serveurs sur lesquels l’utilisateur accède pour ses
données. La seconde est la disponibilité des réseaux: « no network = no work ». Enfin, la
dernière est le temps d’apprentissage du système d’exploitation et des applications.
Une infrastructure W2K Server apporte un certain nombre de réponses12 pour ces différentes
constatations:
D’une machine à l’autre, l’utilisateur peut conserver le même profil, c’est à dire le même
environnement personnalisé et les mêmes droits d’accès aux applications.
L’installation de nouvelles machines ou de nouveaux logiciels13, ainsi que la mise à jour, se
fait avec un minimum d’administration, mais sous couvert d’une politique préalablement
définie et mise en œuvre par un niveau d’administration habilité.
• L’environnement des utilisateurs est totalement paramétrable par l’administrateur, ce
qui permet de n’autoriser que le strict nécessaire afin d’éviter des modifications
intempestives ou des altérations accidentelles du système d’exploitation ou des
applications.
• Les données des utilisateurs sont dupliquées entre leurs machines et les serveurs ce
qui permet des restaurations plus aisées en cas d’incident.
• Les données peuvent être mises en cache sur le poste client ce qui permet aux
utilisateurs de continuer à travailler même en mode déconnecté.
Les principaux services qui permettent de mettre en œuvre ces fonctionnalités au sein de
W2K Server sont Intellimirror et Remote Install Service.

Les fonctions de connectivité ont également fait l’objet d’une attention particulière. W2K
Server se base essentiellement sur IP pour l’aspect réseau. La pile TCP/IP a d’ailleurs été
12
Certaines de ses fonctionnalités sont déjà présentes dans NT à partir du SP 4 mais limité par le
modèle hiérarchique à deux niveaux de cette plate-forme.
13
Il est à noter que dans le cadre les différents modules logiciels sont auto-réparables puisque le
système garde une image permanente de la configuration idéale.

23243574.doc Page 10 sur 29

totalement réécrite pour tenir compte du maximum des dernières RFC14 de l’IETF. Les
principaux apports concernent:
Le support des réseaux privés virtuels (VPN) en se basant sur les protocoles majeurs du
domaine: PPTP15, L2TP16 et bien sûr IPSec.
Le support d’IPv6 et d’ATM en natif en plus d’IPv4.
Les fonctions de routeur (protocoles RIP v1, RIP v2, RIP pour IPX, OSPF, IGMP v2), et de
serveur d’accès distant (fonctions à réserver aux petites entités).
Les fonctions d’agent de relais DHCP qui permettent une distribution d’adresse IP au-delà de
la barrière que représente un routeur sur un réseau.
Le support des principaux protocoles de gestion de qualité de service (RSVP, Diff-Serv,
802.1p, ISSLow)
De plus, W2K Server fournit les services de gestion des flots de données multimédia grâce à
Windows Media Services et d’intégration avec la téléphonie IP à travers l’interface de
programmation TAPI (Telephony Application Programming Interface).

W2K intègre nativement les services de terminaux alors qu’il s’agissait d’une version
spécifique de NT 4, Terminal Server Edition. Toutefois, le protocole utilisé n’est plus ICA de
Citrix, mais un produit totalement propriétaire. Cette fonction permet de se connecter aux
serveurs distants comme si l’on était sur la console système et permet donc le déploiement
de clients légers au sein d’une organisation. Cette solution permettrait de recycler des postes
trop anciens pour accepter W2K. Toutefois, il ne faudra pas sous-estimer la configuration du
serveur car toutes les applications sont exécutées sur celui-ci, les ressources mémoires et
le(s) processeur(s) étant fortement sollicité(s).

Fonctionnement des services Terminal Server

Serveur
Serveur exécutant
exécutant les
les
RDP
RDP
services
services Terminal
Terminal Server
Server
TCP/IP
TCP/IP

My Documents My Network
Places

Ordinateur
Ordinateur client
client My Computer
Recycle Bin

Internet Explorer

Start 12:00PM

Si toutes les versions de la famille serveur W2K supportent les architectures symétriques
multiprocesseurs (4 processeurs et jusqu’à 4 Go de mémoire physique pour W2K Server, 8
processeurs et 8 Go pour W2K Advanced Server, 32 processeurs et 64 Go pour
DataCenter), seules les versions Advanced Server et DataCenter permettent la mise en
place de clusters de machines (clusters deux nœuds pour W2K Advanced Server et quatre
nœuds pour DataCenter). Il sera donc nécessaire, lors des choix d’équipements d’un site, de

14
Request For Comments: document décrivant le standard étudié par le groupe ad-hoc de l’IETF
15
Point to Point Tunneling Protocol: protocole propriétaire Microsoft disponible sous NT 4.0
16
Layer 2 Tunneling Protocol: norme établie en coopération avec Cisco, Ascend, IBM et 3Com

23243574.doc Page 11 sur 29

fixer le degré d’évolutivité prévisible17 des services fournis et donc, de déterminer quelle
version installer. Les atouts de ce type d’architecture sont utilisés massivement par la future
version Enterprise de Exchange 2000 qui profite de cette potentialité pour séparer le schéma
des données, de leur stockage physique. Ceci permet de faciliter la sauvegarde et la
restauration des données, ainsi que leur administration, en toute transparence pour les
utilisateurs qui continuent à accéder en permanence à leur application de messagerie et de
groupware.

2. Les éléments fondamentaux d’Active Directory

Sans entrer dans le détail de la structure complète d’Active Directory, ce chapitre a pour but
de rappeler les concepts principaux qui sont associés à cet annuaire. La compréhension de
ces concepts est essentielle pour la compréhension des implications de la mise en œuvre
d’Active Directory au sein d’une grande organisation comme l’armée de terre. Les schémas
d’ensemble sont fournis en annexe C.

Active Directory est un service d’annuaire fourni avec la gamme de produits serveurs W2K.
Ces principales caractéristiques sont les suivantes:
- Une base de données répartie entre plusieurs serveur.
- Un modèle de réplication multi-maître permettant la propagation des
mises à jour à travers tout le réseau.
- Un schéma évolutif permettant l’ajout de nouveaux types de données.
- Une organisation de la base de données sur un modèle arborescent
permettant l’héritage des droits et privilèges.

Les définitions à connaître:

Domaine: Un domaine est le conteneur logique d’un ensemble d’objets (utilisateurs,

ordinateurs, groupes) qui font partie de la même structure logique de l’entreprise. Le
domaine représente une frontière à l’intérieur de laquelle les données répondent à une
même référence d’administration et de sécurité.
Il est à noter qu’une fois un nom de domaine créé, il devient difficile, voire impossible pour le
domaine racine, de le modifier. Il n’est pas non plus possible de fusionner ou de scinder
facilement des domaines. Dans chaque cas cela revient à ré-exécuter tout le processus de
création du ou des domaines concernés. On voit donc que l’étude préalable du plan de
nommage est une opération importante. Dans le cas de l’armée de terre, ce travail a été
effectué pour le plan DNS. Il est probable que ce plan de nommage serve de guide pour
celui des domaines W2K.

17
Devrais-je faire face à une augmentation croissante de la charge sur mes serveurs ? Devrais-je
assurer un taux de disponibilité élevé ? , …

23243574.doc Page 12 sur 29

 Domaines

 Limite de sécurité
 Unité de duplication
 Modes des domaines

Mode mixte Mode natif

Contrôleur
Contrôleur de
de domaine
domaine
(Windows
(Windows 2000)
2000)

et
Contrôleur
Contrôleur de
de domaine
domaine Contrôleurs
Contrôleurs de
de domaine
domaine
(Windows
(Windows NT
NT 4.0)
4.0) (Windows
(Windows 2000
2000 uniquement
uniquement ))

Arborescence: Une arborescence est une organisation hiérarchique de conteneurs et

d’objets. Une arborescence peut comporter plusieurs branches. Les extrémités des branches
sont appelées « objets feuilles » et représentent des utilisateurs, des services ou des
ressources. Le choix du découpage logique de l’entreprise en domaines au sein d’une
arborescence a de nombreuses implications à la fois sur le modèle d’administration, sur le
modèle de sécurité, mais également pour le trafic généré sur le réseau. Ainsi la réplication
inter-domaines est plus faible que la réplication intra-domaine, mais il devient nécessaire de
décrire la politique de sécurité et d’administration au sein des domaines concernés. En
théorie, on peut arriver à la description d’une entreprise en un seul domaine. Dans la
pratique, seules les petites entreprises peuvent arriver à cette extrémité.

Arborescences et forêts

(racine)
Approbations
Approbations transitives
transitives
bidirectionnelles
bidirectionnelles
Contoso
Contoso.msft
.msft

Forêt
Arborescence

China
China. . Japan
Japan. .
Nwtraders
Nwtraders.msft Contoso
.msft Contoso.msft
.msft Contoso
Contoso.msft
.msft

Arborescence

China
China. . Japan.
Japan. Domaine
Domaine
Nwtraders
Nwtraders.msft
.msft Nwtraders
Nwtraders.msft
.msft Windows
WindowsNT
NT4.0
4.0

Approbation
Approbationnon
nontransitive
transitive
unidirectionnelle
unidirectionnelle

Objets
Les objets sont des éléments qui peuvent être stockés au sein de l’annuaire. Les utilisateurs,
les groupes, les imprimantes, les ordinateurs ou toute autre entité décrite dans le schéma de
l’annuaire sont des objets.

23243574.doc Page 13 sur 29

Unité d’organisation
Les unités d’organisation sont des conteneurs qui sont employés au sein d’un domaine
comme outils d’administration et de sécurité sur les objets contenus. Une unité
d’organisation peut contenir elle-même d’autres unités d’organisation, ce qui permet de
hiérarchiser l’administration et la sécurité au sein d’un domaine. La description d’un domaine
en une hiérarchie d’unités d’organisation engendre une complexification des règles
d’héritage des droits des utilisateurs, qui peut au mieux faire chuter les performances de
connexion, au pire bloquer le fonctionnement du domaine. Il s’agit donc de rester mesuré
dans l’utilisation d’arborescence d’unités d’organisation.

Unités d'organisation

 Hiérarchie des unités d'organisation

Structure
Structure organisationnelle
organisationnelle Modèle
Modèle d'administration
d'administration de
de réseau
réseau

Paris Ventes

Ventes Utilisateurs

Réparation Ordinateurs

 Contrôle administratif des unités d'organisation

 Unités d'organisation et modèle à domaine unique

Schéma: Le schéma représente la référence unique de la structure des données que

l’annuaire est autorisé à stocker. Le schéma ne peut être modifié que sur le serveur « maître
de schéma » par un administrateur appartenant au groupe « administrateurs de
l’entreprise ». Une fois modifié, comme Active Directory est une base de donnée répartie, la
connaissance de la structure de cette base doit être disponible sur tous les contrôleurs de
domaines de la forêt. De ce fait, toute modification sur le schéma est propagée par
réplication dans toute la forêt. De plus, les temps de latence liés à ce mécanisme de mise à
jour peuvent entraîner des incohérences dans la base. Ainsi, la suppression d’un attribut
d’un objet entraîne une incohérence entre les objets créés avant cette suppression et les
objets basés sur la nouvelle référence. L’administrateur devra alors lancer une requête et
supprimer manuellement cet attribut.
On peut donc constater que la manipulation du schéma est une opération délicate et qui peut
s ‘avérer lourde de conséquence. Il est donc conseillé de confier cette opération à une
structure centralisée. Les demandes de modification du schéma devront être clairement
justifiées et une étude d’impact sera élaborée afin de déterminer les interventions
complémentaires que devra conduire l’équipe d’administration. Il est toujours préférable,
dans la mesure du possible, d’utiliser les objets et les attributs existants plutôt que d’en créer
de nouveaux. Le processus de modification du schéma, ainsi que la signification des objets
et attributs, devront être portés à la connaissance des équipes de développement qui
souhaiteraient intégrer les services d’annuaire Active Directory dans leurs travaux.
L’utilisation à terme d’Exchange 2000, comme système de messagerie, doit être intégrée au
plus tôt dans l’élaboration du schéma de l’annuaire. En effet, la mise en place d’Exchange
2000 conduit à une modification du schéma. Si l’on procède à une mise en place d’Active
Directory puis, ultérieurement à celle d’Exchange 2000, le schéma une fois modifié sera

23243574.doc Page 14 sur 29

répliqué massivement sur tous les contrôleurs de domaine. Si l’on installe le premier serveur
Exchange 2000 dès la racine Active Directory créée, le schéma ainsi modifié sera répliqué
au fur et à mesure de l’installation des nouveaux contrôleurs de domaines et la charge
réseau sera alors lissée dans la durée.

Schéma
Exemples Disponible
Disponible dynamiquement
dynamiquement ,,
de classes peut
peut être
être mis
mis àà jour,
jour,
d'objets : protégé
protégépar
par DACL
DACL

Exemples
d'attributs :
Ordinateurs Les
Les attributs
attributs
Ordinateurs d'Utilisateurs
d'Utilisateurs
peuvent
peuvent contenir
contenir :: Liste
Liste d'attributs
d'attributs
accountExpires
accountExpires accountExpires
accountExpires
badPasswordTime
badPasswordTime badPasswordTime
badPasswordTime
Utilisateurs mail
mail mail
mail
Utilisateurs
name
name cAConnect
cAConnect
dhcpType
dhcpType
eFSPolicy
eFSPolicy
fromServer
fromServer
governsID
governsID
Name
Name
Serveurs
Serveurs ……

Configuration: La configuration est la représentation de toute l’arborescence de la forêt. Elle

permet aux mécanismes internes des différentes partitions de l’annuaire Active Directory de
partager les mêmes informations de topologie de la forêt.

Catalogue global: Le catalogue global est un index de tous les objets d’un annuaire Active
Directory. Il contient les informations nécessaires pour qu’un utilisateur ou une application
puisse retrouver la localisation logique d’un objet sans en connaître l’emplacement physique
réel. Alors que la partition de l’annuaire spécifique au domaine contient toutes les
informations sur tous les objets du domaine, le catalogue global possède quelques
informations, mais sur tous les objets de l’annuaire complet. Le positionnement des serveurs
de catalogue global sur le réseau doit être soigneusement étudié afin d’arriver à un juste
équilibre entre rapidité de réponse à une requête et trafic de réplication engendré. On doit
également déterminer quels sont les objets qui doivent être indexés dans le catalogue global
et quels attributs serviront à leur recherche.

23243574.doc Page 15 sur 29

 Serveur de catalogue global

Attributs
Attributs Domaine
d'objets
d'objets

Domaine Domaine Domaine

Catalogue
Catalogueglobal
global
Requêtes
Requêtes Domaine Domaine

Adhésion
Adhésion àà un ungroupe
groupe
lorsque
lorsquel'utilisateur
l'utilisateur
ouvre
ouvreune
une session
session

Serveur
Serveur de
decatalogue
catalogueglobal
global

Forêt: Une forêt est un ensemble d’une ou plusieurs arborescences de domaines partageant
le même schéma, la même configuration et le même catalogue global. Au sein, d’une même
forêt, les domaines bénéficient du mécanisme d’approbation transitive généré par défaut lors
de la création de ceux-ci. Les mécanismes de sécurité nécessaires à ce fonctionnement sont
fournis par les services Kerberos intégrés à W2K.

Sites: Un site peut être défini comme l’ensemble des sous-réseaux IP partageant une
connexion rapide et fiable. Il est conseillé de ne pas tenter de rassembler dans un même
site, au sens Active Directory, des réseaux reliés à moins de 512 Kb/s pour peu que la
bande passante ne soit pas consommée par le reste du trafic réseau. La notion de site
permet de planifier et de compresser le trafic de réplication intra et inter-domaines entre
deux sites distincts.

Sites

Seattle
New York
Chicago

Los Angeles

Sous -réseau IP
Site
Sous -réseau IP

23243574.doc Page 16 sur 29

3. La sécurité dans W2K
Ce chapitre est certainement celui vers lequel la plupart des lecteurs vont se diriger en
premier après avoir parcouru le sommaire, tant le sujet est sensible.
Il est évident que dans le contexte de « microsoftophobie » que connaît aujourd’hui le monde
de l’informatique, toute information sur une faille de sécurité ou toute rumeur sur des bogues
sont attendues avec impatience.
Dans ce domaine, il s’agit d’être lucide: aucun système d’exploitation n’est ou ne sera
totalement fiable et encore moins sûr. Une fois éliminés les ayatollahs du « tout sauf
Microsoft », il s’agit de juger froidement et par les faits les apports et les risques d’une
solution telle que Microsoft la propose avec W2K.
Les cabinets d’analystes sont tous unanimes: l’effort consenti par Microsoft durant toute la
phase de test du produit a porté ses fruits. Le produit, sans être la panacée, est nettement
plus fiable et sûr que son prédécesseur NT et ne souffre pas de la comparaison avec ses
concurrents.
Outre la réécriture quasi complète du noyau NT, de nombreuses fonctionnalités ont été
intégrées dans W2K pour augmenter la capacité de sécurisation du système et pour fournir
les services nécessaires aux administrateurs pour concevoir, établir et contrôler une politique
de sécurité à l’échelle d’une grande entreprise. Parmi celles-ci on peut noter:
• L’utilisation du protocole d’authentification Kerberos18.
• L’implémentation des fonctions de serveur d’accès distant Radius.
• L’implémentation native du standard IPSec.
• L’implémentation de protocoles VPN comme PPTP et L2TP.
• Les services de gestion d’infrastructure de clés publiques.
• Les services de gestion des lecteurs de cartes à puce ou biométriques.
• Le système de chiffrement des fichiers EFS.
• La technologie IntelliMirror de gestion des comptes utilisateurs, de distribution et de
gestion de configuration des logiciels.

Mais l’avancée significative concerne la possibilité de définition d’une politique de sécurité

basée sur les différentes entités de la structure de l’annuaire Active Directory. On parle de
stratégie système. Ces dernières sont conçues comme le cumul de plusieurs stratégies de
groupe19 (les actions autorisées) et des droits d’accès20 (les ressources autorisées). Les
stratégies de groupe s’appliquent aux sites, aux domaines et aux unités d’organisation. Les
droits d’accès s’appliquent aux groupes et aux objets tels que les utilisateurs ou les
ordinateurs. C’est l’association des différentes règles qui permet de contrôler l’ensemble des
droits d’un utilisateur ou d’une ressource, comme par exemple l’accès à un répertoire
partagé ou le script d’ouverture et de fermeture d’une session. L’ensemble de ces règles
peut être (et devrait être) défini de manière centralisée afin d’harmoniser et donc de fiabiliser
la sécurité système au sein de l’entreprise.

Ce mécanisme, très riche, est toutefois relativement complexe à la fois dans ses concepts et
dans sa mise en œuvre. Ainsi, les stratégies de groupe ne s’appliquent évidemment pas aux
groupes. De même, il n’existe aucune règle pour les conteneurs d’objet. En effet, ces
derniers ne sont que des services de stockage internes à Active Directory et n’ont donc
aucune influence sur les droits d’un utilisateur ou d’une ressource. Les mécanismes de
sécurité agissent de manière verticale depuis le site vers le domaine et sont transmis par
héritage vers les niveaux inférieurs (les UO pouvant contenir elles-mêmes des UO). Ensuite,
18
Avec quelques spécificités Microsoft. Tous les clients Kerberos et les serveurs Kerberos MIT sont
interopérables avec la version Microsoft.
19
Le terme employé dans les documents Microsoft est Group Policy Object.
20
Le terme employé dans les documents Microsoft est Access Control List (la liste de règles) et
Access Control Entity (la règle individuelle).

23243574.doc Page 17 sur 29

pour chaque action de l’utilisateur, le système interroge l’ACE correspondante et vérifie les
droits de celui-ci.

On voit donc que le travail amont de planification de la sécurité W2K est une tâche
importante et lourde de conséquences. Il faudra donc être prudent et ne pas chercher dans
un premier temps une organisation trop complexe qui serait difficile à implémenter, ardue à
maintenir et surtout très pénalisante en terme de performance pour les utilisateurs. Il est
conseillé par Microsoft de ne pas généraliser la délégation d’administration, car ce
mécanisme, qui certes permet d’alléger les tâches d’un groupe d’administrateurs sur des
utilisateurs, peut entraîner de graves problèmes de cohérence dans l’organisation globale de
la sécurité. Pour reprendre l’exemple de Microsoft, l’ensemble des 5000 serveurs déployés
dans le monde entier est administré depuis Redmond par 17 ingénieurs H24. Les sites
locaux ne disposent d’aucun droit sur les systèmes et sont juste autorisés à intervenir sur les
applicatifs.

Ainsi on peut conclure que l’accroissement, unanimement constaté, de la sécurité de la

plate-forme W2K est liée principalement au nécessaire niveau de compétence des équipes
de conception et d’administration et à l’obligation de la phase de préparation à la migration.
Alors que dans le vocabulaire commun on parle de « passage à NT », on parle de
« migration vers W2K », ce qui exprime bien la différence de niveau de préparation. En effet,
jusqu’à présent n’importe quel « apprenti sorcier » pouvait installer NT Server et le faire
fonctionner à peu près correctement sur son LAN. Désormais il lui serait impossible de le
faire avec W2K et encore moins au niveau d’un grand organisme. En contre-partie, les gains
à espérer en terme de fiabilité globale du système d’information, de diminution des charges
de support aux utilisateurs et de diminution de charge d’exploitation des serveurs sont
considérables. Les gains constatés à partir des études menées par plusieurs cabinets
d’analystes sur les premiers déploiements de W2K varient de 17% à 40%.

4. Utilisation en environnement hétérogène

4.1. W2K en tant que serveur membre
Les serveurs membres sont désignés comme des ressources, que ce soit dans un domaine
NT ou dans Active Directory. Ces serveurs ne disposent d’aucune copie des bases de
comptes du domaine ou de l’annuaire. Ils se contentent de fournir des services aux
utilisateurs, tels que les services web, les services d’impression, l’accès aux bases de
données, à la messagerie21, le stockage et la sauvegarde des fichiers, les services applicatifs
d’un SI, …
Un utilisateur accède à un serveur membre en s’authentifiant auprès du contrôleur de
domaine dont dépend ce serveur. Dès lors que l’utilisateur est authentifié, il bénéficie des
droits liés à son compte ainsi qu’aux groupes globaux et locaux auxquels il appartient. Un
serveur membre W2K peut donc parfaitement s’insérer dans un domaine NT4. De même, un
serveur membre NT4 peut être déployé dans un domaine W2K, puisque le contrôleur de
domaine W2K dispose d’une fonctionnalité d’émulation de contrôleur de domaine NT4
comme explicité au paragraphe suivant. En revanche, les stratégies de sécurité et les
potentialités liées à une utilisation d’Active Directory ne peuvent être mises en œuvre de
façon homogène au sein d’un tel réseau. Toutefois, cette indépendance du système
d’exploitation du serveur membre et du contrôleur de domaine, permet d’envisager d’établir
des plans de migration « par palier »22.

21
Il est à noter par exemple que le service de messagerie Exchange 5.5 peut parfaitement être installé
sur un serveur membre fonctionnant sous W2K.

23243574.doc Page 18 sur 29

 Coexistence de Windows 2000 et NT 4.0

Contrôleur principal Windows 2000

Serveur membre Windows 2000

Contrôleur secondaire Windows NT4

Client Windows NT4 Workstation

Serveur membre Windows NT4

Client Windows 2000XP Pro

Client Windows 9x

4.2. Mode mixte, mode natif

Un domaine qui contient à un instant donné des contrôleurs de domaine Windows NT et
W2K est appelé domaine en « mode mixte », en opposition au « mode natif » dans lequel
tous les contrôleurs de domaine sont des serveurs W2K.
Au sein d’un domaine en mode « mixte », les différents contrôleurs de domaine continuent à
proposer des services de domaine, de communications entre contrôleurs de manière
transparente pour les utilisateurs23.
Le premier contrôleur de domaine W2K installé dans le domaine, outre le fait de détenir une
copie en accès écriture de la base annuaire Active Directory du domaine, va assurer le rôle
de contrôleur principal de domaine24 grâce à sa fonction « PDC Emulator »25 (CE QUI
SIGNIFIE QU’ON NE PEUT PAS METTRE EN PLACE UN EMULATEUR DE PDC SANS
ACTIVE DIRECTORY).
Cet émulateur gère les demandes suivantes en provenance des clients NT (serveurs ou
postes de travail):
Modification de comptes (changement de mot de passe par exemple);
Duplication de la base de données des comptes sur les contrôleurs de domaine
secondaires26;
Fourniture de données d’exploration au service Explorateur;
Services d’authentification pour les demandes d’ouverture de session LANManager.
Tous les objets (utilisateurs, ressources, groupes) sont stockés dans Active Directory, mais
ceci n’a aucune incidence pour les postes de génération NT, puisque ceux-ci bénéficient
toujours des mêmes services sous les mêmes protocoles.

22
Migration n’obligeant pas à une stricte dépendance de l’infrastructure de domaine, des serveurs
membres et des postes de travail.
23
Mais pas pour les administrateurs.
24
Primary Domain Controller (PDC)
25
Ce qui signifie qu’il faut au préalable faire disparaître du réseau le contrôleur principal de domaine
NT (PDC) NT4 et ne laisser en fonctionnement que les contrôleurs secondaires NT pour que les
utilisateurs puissent continuer à s’authentifier et à accéder aux ressources.
26
Boundary Domain Controller (BDC)

23243574.doc Page 19 sur 29

En cas de défaillance du « PDC Emulator », les clients ne pourront plus ni modifier leur mot
de passe de domaine ni parcourir les ressources du domaine. Ce service peut être transféré
temporairement à un autre contrôleur de domaine W2K.
Il est à noter que sur un réseau local, un poste client W2K, lors d’une ouverture de session,
va tenter de localiser un DC27 W2K par une requête à son serveur DNS28. S’il ne peut en
trouver un, il utilise le protocole NTLM pour ouvrir une session sur un contrôleur de domaine
NT. La connexion engendre des délais et un trafic plus importants. De plus, les stratégies de
groupe Windows 2000 et les scripts d’ouverture de session ne sont pas traités. Il est donc
recommandé d’installer au moins un contrôleur de domaine W2K sur chaque site où seront
déployés des clients W2K.

Le « mode natif » procure de nombreux avantages, notamment dans le cadre des

fonctionnalités de gestion évoluées et concourt donc à une diminution des charges
d’administration et d’exploitation. Le tableau ci-après résume les différences majeures entre
les deux modes:

Fonctionnalité Mode mixte Mode natif

Duplication à plusieurs maîtres Oui, mais uniquement sur les Oui
contrôleurs de domaine W2K
Etendue de groupe Global, Local Universel, Global,
Domaine local, Local
Groupes de sécurité imbriqués Non Oui
Administration inter-domaines Limitée Totale
Filtre de mots de passe Installés individuellement sur Automatiquement sur tous les
chaque contrôleur de domaine contrôleurs de domaine
Approbations transitives Oui Oui
Authentification Kerberos Disponible uniquement sur les Oui
DC W2K et utilisable par les
clients W2K ou des clients
Kerberos
Requêtes utilisant la Uniquement sur des contrôleurs Oui
modification du bureau ou la de domaine Windows 2000
gestion de configuration
Nombre d’objets du domaine Inférieur ou égal à 40 000 Supérieur à 1 million

Stratégie de Migration

Oui Structure Non

existante satisfaisante ?

Mise à jour

Structure
satisfaisante ? Non
Oui
Restructuration
Inter -forêt Intra -forêt
• Migration des utilisateurs •Déplacement
des objets
• Migration des ressources

Migration terminée !

27
Domain Controller
28
Domain Name Server: système établissant la correspondance entre un nom logique d’une machine
et son adresse IP.

23243574.doc Page 20 sur 29

Attention: Pour migrer un domaine du « mode mixte » vers le « mode natif »,
l’administrateur doit configurer manuellement chacun des DC W2K pour changer de mode.
Dès que cette procédure est enclenchée, elle est irréversible et doit être menée le plus
rapidement possible sur tous les contrôleurs du domaine. Un DC W2K en « mode natif » ne
peut être rétrogradé en « mode mixte ». Si pour résoudre un problème de migration,
l’administrateur doit revenir à l’état initial, il sera contraint à faire une réinstallation du
domaine. Avant d’initialiser le passage en « mode natif », il est préconisé d’établir la stratégie
de retrait suivante:

• Faire une sauvegarde sur bande de chaque serveur du réseau à migrer.

• Créer un BDC sous NT (s’il n’en existe pas déjà un).
• Forcer une synchronisation entre le PDC (en fait le DC W2K qui fournit le service de
« PDC Emulator ») et le BDC.
• Retirer le BDC ainsi synchronisé du réseau et le conserver précieusement jusqu’à la
validation de la migration.

Ainsi en cas de nécessité de retour à l’état initial, l’administrateur peut restaurer le domaine à
partir du BDC et des bandes de sauvegarde.

Passage du mode mixte au mode natif

Passage au mode natif

Windows 2000 Windows 2000

Server Server
Windows NT Windows 2000
Server 4.0 Server

Mode mixte Mode natif

 Mettez à niveau tous les contrôleurs de domaine

vers Windows 2000
 Recréez les paramètres de stratégie du système
Windows NT 4.0 à l'aide des objets stratégie de
groupe de Windows 2000
 Passez au mode natif

4.3. Relations entre domaines W2K et domaines NT4

Un réseau d’entreprise peut à un instant donné être composé de domaines gérés par des
contrôleurs de domaine W2K (mixtes ou natifs) et de domaines gérés par des contrôleurs de
domaine exécutant une version antérieure de Windows NT (nous ne nous limiterons qu’à
envisager des domaines NT4).
La structuration d’administration sera amenée pendant la phase de migration à mettre en
relation ces différents domaines, ne serait-ce que pour maintenir à disposition des
utilisateurs les services distribués auxquels ils avaient accès dans leur ancienne
infrastructure NT.
Comme expliqué au chapitre précédent, ce sont les services de « PDC Emulateur » des DC
W2K qui vont permettre d’assurer cette continuité du fonctionnement de manière
transparente pour les utilisateurs.
Au sein de la forêt Active Directory, les DC sont reliés par des relations d’approbation
transitives et créées par défaut. Au sein du réseau NT, les relations d’approbation ne sont ni
transitives ni créées par défaut. Ces relations doivent donc être décrites explicitement entre
chaque domaine et pour chaque sens de la relation (A->B et B->A). Chaque sens d’une
approbation nécessite deux actions: L’administrateur A doit déclarer vers quel domaine il

23243574.doc Page 21 sur 29

souhaite une approbation (ici le domaine B) et l’administrateur B doit déclarer qu’il autorise
les demandes d’approbation en provenance du domaine A. De même, il est possible d’établir
une relation d’approbation explicite entre un domaine NT et un domaine d’une forêt Active
Directory. Toutefois, cette approbation ne sera pas transitive. Il y aura donc autant de
relations d’approbation (à créer dans les deux sens, d’où quatre actions d’administration)
que le produit du nombre de domaines Active Directory et de domaines NT à relier.
Dans un réseau d’entreprise complexe (beaucoup de domaines NT et/ou forêt AD multi-
domaines), cette structure peut vite devenir relativement lourde à mettre en œuvre (et
surtout à maintenir). Il faut donc réserver cette utilisation à des cas particuliers et en limiter
l’usage dans le temps.

Remarques:
• Pour que ces relations d’approbation puissent être établies, le PDC du domaine NT
et le « PDC Emulator » du domaine W2K doivent pouvoir se reconnaître sur le
réseau. Entre deux DC W2K, le mécanisme de recherche est basé sur l’utilisation de
requêtes DNS. Ce mécanisme ne peut être utilisé avec un PDC NT. C’est le service
de nommage WINS (associé au nommage NetBIOS) qui est utilisé.
En conséquence, le service WINS doit être disponible durant toute la phase de
migration où des relations d’approbation devront être maintenues entre des domaines
NT et des domaines d’une forêt AD. Ce service étant particulièrement « bavard » sur
le réseau29 il est recommandé de limiter dans le temps la période d’utilisation de ce
type d’infrastructure. Il est préférable d’installer au plus tôt une « dorsale » de
contrôleurs de domaines W2K qui fourniront le même type de service, mais basé sur
le service de nommage DNS.
• Entre forêts AD on peut établir (mais de manière explicite) des relations
d’approbation. Ces relations sont transitives par propagation à l’intérieur des forêts
(tout domaine de la forêt A approuve tout domaine de la forêt B), mais pas entre
forêts (si la forêt A approuve la forêt B et que B approuve la forêt C, A n’approuve
pas C). Ceci implique que des organisations multi-forêts seront aussi difficiles à
administrer que ce qui a été montré précédemment. La conséquence est qu’il n’est
pas concevable de laisser se multiplier de manière anarchique des forêts AD en
espérant pouvoir les administrer par relations d’approbation inter-forêts. C’est
pourquoi la solution de créer autant de forêts que d’organismes ne doit pas être
retenue, même si cela pouvait représenter une solution simple pour limiter, voire
éliminer, les flux de réplications sur le réseau distant.
La création de forêts au sein de grande organisation, et donc l’utilisation de l’annuaire
Active Directory W2K, doit rester sous le contrôle d’une seule autorité.

29
En effet, les serveurs WINS doivent tenir à jour la liste complète des services auxquels un
contrôleur de domaine doit pouvoir donner accès de par les relations d’approbation établies avec
d’autres domaines.

23243574.doc Page 22 sur 29

 Mise à niveau d'un domaine vers la racine
de la forêt
tailspintoys .msft
Modèle à domaine unique
tailspintoys
Utilisateurs
Comptes
Comptes d'utilisateur
d'utilisateur Comptes d'utilisateur
Groupes
Groupes globaux
globaux Groupes locaux et globaux
Groupes
Groupes locaux
locaux
Ordinateurs
Groupes
Groupes intégrés
intégrés Comptes d'ordinateur
Comptes
Comptes d'ordinateur
d'ordinateur Intégré
Groupes intégrés

Modèle à domaine principal unique nwtraders. msft

nwtraders Utilisateurs
Comptes Comptes d'utilisateur
Comptes d'utilisateur
d'utilisateur
Groupes
Groupes gobaux
gobaux Groupes globaux

Africa NAmerica
Comptes d'ordinateur Comptes d'ordinateur
Groupes locaux Groupes locaux Africa
Africa NAmerica
NAmerica
Ressources Ressources

4.4. Services Unix

L’interopérabilité de W2K avec certains des systèmes Unix et Linux est possible grâce au
logiciel SFU30 2.0 édité par Microsoft. Il est probable que des éditeurs d’Unix ou des éditeurs
tiers proposeront des solutions équivalentes mais orientées pour une intégration dans leur
propre environnement d’administration. A ce jour, la seule alternative possible pourrait être
l’utilisation d’un serveur « samba »31, mais aucune publication n’a été trouvée sur ce type de
configuration notamment dans une infrastructure W2K en « mode natif ». Des tests ultérieurs
devront être menés pour comparer ces deux solutions.

Les présentations de SFU 2.0 relevées dans les documents et publications estiment que ce
produit permet:
• de faciliter l'échange de données entre deux réseaux;
• d’accéder via une interface ligne de commande depuis un poste Windows vers un
poste UNIX;
• d’écrire des scripts offrant un accès aux « shells », outils et utilitaires UNIX;
• d’alléger les tâches d’administration de réseaux hétérogènes comprenant notamment
le partage de mots de passes utilisateurs.

Chaque poste de travail ou serveur équipé d'un système d'exploitation Windows 2000, pour
lequel des besoins d'interopérabilité W2K–Unix32 existent, nécessitera l'installation de SFU
2.0. Toutefois, certains composants de SFU 2.0 pourront être installés uniquement sur un
serveur, permettant à de multiples postes de travail de bénéficier des services
correspondants: par exemple, le service de passerelle NFS.

A ce jour, SFU 2.0 supporte les versions suivantes d'UNIX: HP-UX 10.2 et versions
ultérieures, Solaris 2.6 et versions ultérieures, Compaq Tru64 UNIX 5.0 et versions
30
Services For Unix
31
Service d’interopérabilité entre NT et Unix permettant notamment d’assurer l’accès aux répertoires
et fichiers des stations ou serveurs Unix pour un client NT et d’assurer la concordance d’un « login /
mot de passe » NT avec le « login / mot de passe » Unix de l’utilisateur.
32
SFU 2.0 prend également en charge l’interopérabilité NT-Unix

23243574.doc Page 23 sur 29

ultérieures, Redhat 5.1 et versions ultérieures, AIX 4.2 et versions ultérieures. D'autres
versions populaires pourraient être supportées à l'avenir en fonction des souhaits exprimés
par les utilisateurs du produit en fonction de leurs besoins d'interopérabilité.

4.5. Services Netware

Microsoft Services pour Netware version 5.0 est un environnement complet destiné à
simplifier l'adoption de Windows 2000 Server dans les environnements Novell Netware. Il a
également pour but de faciliter la migration des ressources Netware vers les serveurs
Microsoft Windows 2000, permettant ainsi de réduire l'administration liée à l'utilisation de
plusieurs plates-formes réseau.

Microsoft Services for Netware 5.0 inclut des utilitaires permettant l'interopérabilité entre
Windows 2000 et Netware:
• Microsoft Directory Synchronization Services (MSDSS) qui permet la synchronisation
bidirectionnelle de l'annuaire Active Directory de Windows 2000 avec la NDS de
Novell, et la synchronisation unidirectionnelle entre Active Directory et les
« Binderies » de Netware.
• Microsoft File Migration Utility (MFMU) pour effectuer la migration des fichiers Novell
Netware vers Windows 2000 Server.
• File & Print Services for Netware 5.0 (FPNW5) qui permet à un système Windows
2000 Server d'apparaître comme un serveur de fichiers et d'impression Netware.

Cette solution assure donc la possibilité de faire coexister de manière durable les deux
infrastructures sur un même site en associant les administrations des deux systèmes
d’annuaires au sein de la console d’administration de W2K. Toutefois, il ne faut pas perdre
de vue que le fait d’offrir une solution de coexistence implique la conservation de l’ancien
système: matériels, tâches d’exploitation, filière de compétence, coûts de maintenance,
migration Netware 4/Netware 5.
La nécessité de maintien d’une double infrastructure d’annuaire (même si les informations
sont synchronisées) doit être particulièrement justifiée compte tenu des implications
exposées ci-dessus. Les cas les plus probables sont l’utilisation de la messagerie
Groupwise, de systèmes d’information se basant sur le moteur de workflow de Groupwise ou
sur l’annuaire NDS de Novell. Or, les décisions prises par l’EMAT concernant les systèmes
de messagerie conduisent à l’abandon dès 2001 de Groupwise. De même, sauf
développements locaux, il n’existe pas de cas recensé de système d’information basé sur
l’annuaire de Novell.

4.6. Méta-annuaire
De plus en plus de grandes entreprises ont démarré des projets de fusion de leurs
annuaires. Toutefois, cette fusion en un « annuaire physique unique » se heurte très souvent
à l’obligation de maintenir en fonctionnement plusieurs annuaires spécifiques. Il n’en reste
pas moins que dans un but d’allégement des tâches d’administration et de diminution des
incohérences des données, la notion d’ « annuaire logique unique » est incontournable.
C’est le rôle d’un méta-annuaire d’offrir la couche service nécessaire pour, soit « fédérer »
l’ensemble des informations en un index unique, soit « administrer » les données en
assurant les fonctionnalités de synchronisation des enregistrements dans les différents
annuaires physiques gérés. Pour accéder aux informations, il est nécessaire de disposer au
niveau du méta-annuaire de connecteurs spécifiques à chaque système d’annuaire.

23243574.doc Page 24 sur 29

A ce jour, les principaux acteurs du marché des méta-annuaires33 fournissent déjà des
connecteurs pour Active Directory. De plus, Active Directory, bien que n’étant pas un
annuaire X500, dispose d’un schéma d’annuaire respectant la syntaxe X500, permet
l’interrogation des données grâce au protocole LDAP v3 et l’exportation de données
d’annuaire grâce au standard LDIF.

5. Impression d’ensemble
Points positifs:
• Stabilité et facilité d’utilisation de la version Professional.
• Intégration dans un seul produit serveur de toutes les fonctions nécessaires à une
infrastructure de type Internet/intranet quelle que soit la taille de l’entreprise (DNS,
annuaire compatible LDAP V2 et V3, assistant connexion réseau, VPN, RAS, partage
de connexion distante, …).
• Meilleure gestion des utilisateurs mobiles (portables) ou errants (login unique quelle
que soit la situation sur le réseau).
• Meilleur support du port USB, des drivers intégrés (Plug & Play), des composants
déplaçables « à chaud » (Hot Plug), de la gestion de l’alimentation.
• Active Directory: annuaire d’entreprise, distribué, évolutif.
• Nombreux composants de sécurité intégrés (authentification basée sur un module
Kerberos, infrastructure de gestion de clé publique – PKI, implémentation native
d’IPSec, modèle de protection des données EFS, infrastructure de gestion de
clusters, …).
• Haute disponibilité grâce à des schémas de réplication des annuaires adaptés aux
contraintes de l’infrastructure réseau.
• Accompagnement des grands comptes.
• Approche par espace de nommage hiérarchique à l’échelle de l’entreprise.
• Meilleure gestion du stockage des données que sur NT 4.0, grâce à une abstraction
des volumes de sauvegarde.
• Middleware COM+.
• Cohérence d’ensemble de la gamme de produits.
• Richesse de l’infrastructure d’administration permettant d’augmenter la productivité
des administrateurs (console d’administration totalement personnalisable, gestion
des profils de sécurité basée sur la description de l’organisation dans ADS,
déploiement automatisé, installation à distance, Terminal Services, …).
• Possibilité de déploiement automatisé des configurations W2K Professional, des
applications, réparation automatique des modules logiciels.
• Utilisation importante des standards issus de l’IETF et du W3C.

Points négatifs:
• Proximité de l’adoption de NT4.0 par les entreprises (et l’armée de terre).
• Nécessité de disposer en interne de fortes compétences dans les domaines de
l’administration et des technologies issues de l’internet.
• Peu de déploiements d’envergure à ce jour (faible retour d’expérience).

33
Siemens, Microsoft, Netscape, Novell

23243574.doc Page 25 sur 29

 • Coût de la migration encore mal maîtrisé (pas de métrique fiable, Gartner Group
annonce une fourchette allant de 2 KF à plus de 18KF par poste34 pour un parc de
2500 PC).
• Complexité de la migration (étude de l’organisation à l’échelle de l’entreprise, mise en
évidence et planification de toutes les tâches à accomplir, formation des architectes
et des équipes techniques, …).
• Concurrence des autres NOS (Network Operating System): Unix – Linux – Netware.
• Encore peu d’offres de services fiables dans les SSII.
• La migration doit être la plus totale pour profiter au maximum de l’apport de W2K.
• Taille du code: comporte potentiellement encore de nombreux problèmes non mis en
évidence.
• Nécessité de disposer d’un noyau d’administrateurs ayant un haut niveau de
compétences (réseaux et système).
• Impact de l’organisation de l’entreprise sur les choix de modélisation d’Active
Directory.
• Remplacement inéluctable des périphériques anciens pour lesquels les pilotes W2K
ne seront jamais fournis.

6. Installation d’un serveur

L’installation de Microsoft Windows 2000 n’est pas plus difficile que celle de son
prédécesseur, Microsoft Windows NT 4.0. Vous vous apercevrez, en fait, que la dernière
incarnation de la technologie Windows NT se trouve facilitée, du fait d’un ensemble
d’améliorations intervenues dans le programme d’installation, mais aussi d’autres, qui
relèvent des capacités du système d’exploitation. Par exemple, Windows 2000 détecte et
configure automatiquement la plupart des périphériques les plus courants, réduit le nombre
de questions auxquelles vous devrez répondre et fournit un chemin de mise à niveau à partir
de versions autres que Windows NT. La ligne de commande du programme d’installation est
elle aussi notablement plus simple.
Les étapes premières du processus d’installation de Windows 2000 ne diffèrent guère de
celles de Windows NT 4.0. Que cette similarité soit ou non intentionnelle , elle vous aidera à
l’installer plus rapidement – si vous êtes déjà familier de ce type de programme de mise en
place et des informations requises pendant ses premiers pas. Les écrans d’installation bleus
vous seront par exemple familiers, comme la sélection de partition et le processus de copie
de fichiers. En un mot, si vous avez déjà installé Windows NT 4.0, vous n’aurez aucun
problème avec Windows 2000. Les étapes ultérieures ont été légèrement modifiées car
Windows 2000 requiert du programme d’installation (en cas de mise à niveau) qu’il installe
divers éléments, tels qu’un rapport de mise à niveau où seront consignés tous les détails
d’éventuelles difficultés de compatibilité.

34
Le modèle utilisé par le Gartner Group (Total Cost of Ownership) intègre l’ensemble des coûts
directs et indirects d’une migration vers W2K, y compris les gains et pertes de revenus de l’entreprise.
Ce modèle est vivement critiqué car nombre des indicateurs utilisés pour l’évaluation sont relativement
subjectifs et les résultats peuvent différer de plus de 200% suivant l’entreprise à laquelle ce modèle
s’applique.

23243574.doc Page 26 sur 29

 Choixdelaméthoded’installation

INSTALLATION DE WINDOWS 2000 server

Insérez le CD-ROM de Windows 2000 dans le lecteur, lorsque l’écran Notification du

programme d’installation s’affiche, appuyer sur ENTREE ensuite l’écran Bienvenue
s’affiche, appuyez sur ENTREE.

Le programme d’installation de Windows 2000 Server vous signale que la disquette de

démarrage de votre ordinateur est nouvelle ou que son contenu a été effacé. Appuyé alors
sur la touche C pour poursuivre l’installation. Lorsque l’écran Contrat de licence de Windows
2000 s’affiche, lisez–le (au moins une fois), appuyez sur F8 pour accepter les conditions du
mode de licence. Lorsque vous accédez à la liste des partitions, appuyez sur la touche C
pour créer une partition sur votre disque.

Lorsque le système vous demande de sélectionner une taille de partition, tapez une valeur
minimum de 2048 dans la zone de texte Créer une partition de taille (en Mo), puis
appuyez sur ENTREE.Dans la liste des partitions, appuyez sur ENTREE pour sélectionner la
partition que vous venez de créer, ensuite appuyer sur ENTREE pour sélectionner
Formater la partition en utilisant le système de fichiers NTFS.

Le programme d’installation formate le disque dur, l’examine, puis copie les fichiers dans les
dossiers d’installation de Windows 2000, puis retirez le CD-ROM du lecteur ensuite
l’ordinateur redémarre automatiquement pour passer à la phase d’installation en mode
d’interface utilisateur graphique. Lorsque l’assistant Installation de Windows 2000 s’affiche,
cliquez sur suivant. La page Installation de périphériques s’affiche et vous invite à
attendre la fin de détection et de l’installation des périphériques par le programme
d’installation. La page Paramètres régionaux s’affiche et vous invite à personnaliser
Windows 2000 pour différentes régions et langues, cliquez alors sur suivant. Dans la page
Personnalisez votre logiciel, taper votre nom puis votre organisme, puis cliquez sur
suivant. La page Mode de licence s’affiche et vous invite à sélectionner un mode de licence
que vous choisirez en fonction de votre organisme (soit par serveur , soit par siège).

23243574.doc Page 27 sur 29

 Mode de licence

Dans la page Nom de l’ordinateur et mot de passe Administrateur, tapez le nom de

l’ordinateur qui vous aura été fourni par votre administrateur système ainsi qu’un mot de
passe pour le compte Administrateur, puis cliquez sur suivant. La page Composants de
Windows 2000 s’affiche et vous permet d’ajouter ou de supprimer des composants, ensuite
cliquez sur suivant.

Choix des composants

Dans la page Réglage de la date et l’heure, réglez la date, l’heure, ainsi que le fuseau
horaire selon vos besoins, puis cliquez sur suivant. La page Paramètres de gestion de
réseau s’affiche et vous informe que Windows est en train d’installer des composants
réseau, puis vous invite à sélectionner des paramètres réseau par défaut ou personnalisés.
Cliquez sur Paramètres personnalisés , puis sur suivant. Dans la page Composants de
réseau, cliquez sur TCP/IP, puis sur Propriétés.

23243574.doc Page 28 sur 29

 Installation des composants réseau

Dans la boite de dialogue Propriétés TCP/IP, cliquez sur Utiliser l’adresse IP suivante,
tapez l’adresse que vous aura donné votre administrateur réseau, puis appuyer sur
TABULATION et renseignez au besoin la case du masque de sous-réseau, la passerelle par
défaut et le serveur DNS. Cliquez sur OK, puis sur suivant.

Configuration du protocole TCP/IP

La page Groupe de travail ou domaine d’ordinateurs s’affiche et vous invite à intégrer un

domaine ou un groupe de travail. Cliquez sur suivant pour intégrer le groupe de travail
proposé par défaut. La page Installation en cours des composants s’affiche et vous
informe que le programme d’installation est en train d’installer des composants de Windows
2000. La page Exécution des tâches finales s’affiche et vous informe que le programme
d’installation est en train d’achever un ensemble de tâches finales. Cliquer sur Terminer .
L’ordinateur redémarre.

Dans un environnement d’entreprise, il n’est pas très rentable d’installer Windows 2000 sur
chaque ordinateur avec son programme de mise en place interactif standard. Pour réduire
notablement le coût total de possession (CTP) vous pouvez effectuer des installations
automatisées sur de multiples machines.

23243574.doc Page 29 sur 29