Académique Documents
Professionnel Documents
Culture Documents
ECOLE SUPERIEURE
ET D’APPLICATION
DES TRANSMISSIONS
division management
et systèmes d’information
WINDOWS 2000
COURS SYSTEME
VUE D'ENSEMBLE DE WINDOWS 2000
1. Généralités..........................................................................................................................2
1.1. Windows 2000 Professionnel........................................................................................2
1.2. Windows 2000 Server...................................................................................................4
2. Les éléments fondamentaux d’Active Directory.................................................................12
3. La sécurité dans W2K.......................................................................................................17
4. Utilisation en environnement hétérogène..........................................................................18
4.1. W2K en tant que serveur membre..............................................................................18
4.2. Mode mixte, mode natif...............................................................................................19
4.3. Relations entre domaines W2K et domaines NT4......................................................21
4.4. Services Unix..............................................................................................................23
4.5. Services Netware........................................................................................................24
4.6. Méta-annuaire.............................................................................................................24
5. Impression d’ensemble.....................................................................................................25
6. Installation d’un serveur....................................................................................................26
1. Généralités
La plate-forme Microsoft Windows 2000 – combinaison de Windows 2000 Professionnel et
de Windows 2000 Serveur - a été créée pour fournir, en une seule gamme de produits, tous
les composants nécessaires à l’informatique d’une entreprise: administration des réseaux,
communication entre logiciels et services intranet/internet.
Serveurs
Windows 2000
Windows 2000
Datacenter Server
Server
Windows 2000
Advanced Server
Windows 2000
Professionnel
Station
de travail
1
Universal Serial Bus
2
http://www.microsoft.com/windows 2000/reskit/webresources
3
Advanced Configuration and Power Interface
Gestionnaire
Gestionnaire de
de Protocole
Protocole IPP
IPP Gestionnaire
Gestionnaire
synchronisation
synchronisation Plug
Plug --and
and --Play
Play
•• Assistant
Assistant Gestion
Gestion
•• Kerberos
Kerberos version
version 55 d'installation
d'installation
•• Système
Système de de fichiers
fichiers de
de •• Windows
Windows Installer
Installer
cryptage
cryptage EFS
EFS
•• Système
Système IPSec
IPSec
•• Prise
Prise en
en charge
charge des
des
cartes
cartes àà puce
puce
•• Service
Service secondaire
secondaire
d'ouverture
d'ouverture dede session
session
• Amélioration du stockage: Les progrès principaux portent sur la prise en charge des
systèmes de fichiers Fat32 et NTFS 5 qui permettent une amélioration très sensible
des indexations de fichiers et qui sécurisent l’accès aux données du disque grâce au
système de fichiers chiffrés EFS4. W2K permet également une plus grande facilité de
gestion du stockage en permettant notamment de créer, d’étendre ou de mettre en
miroir un volume NTFS sans redémarrer, de consulter le journal des modifications,
d’utiliser des utilitaires de nettoyage et de défragmentation5, d’optimiser l’espace
disque ou d’allouer des quotas d’espace disque pour chaque utilisateur.
• Amélioration du support des langues: Désormais le noyau des produits Microsoft est
indépendant de la langue utilisée par l’utilisateur. Le « package » d’installation
contient l’intégralité des fichiers complémentaires chargés de transformer l’interface
utilisateur dans sa langue préférée. Ainsi plusieurs utilisateurs ayant un accès au
même poste partagé peuvent, spécifiquement à leur profil, travailler dans des
langues différentes sans réinstallation spécifique.
Une question subsiste: quelle configuration est nécessaire pour utiliser W2K
Professionnel dans des conditions correctes ?
4
Encrypted File System
5
Attention: ces utilitaires sont des versions “allégées” de produits commerciaux plus complets,
toutefois ils permettent de faire l’essentiel des tâches courantes dans leur domaine.
Active
Active Directory
Directory
Protocole
Protocole de
de mise
mise àà Services
Services Terminal
Terminal
Stratégie
Stratégie de
de groupe
groupe jour
jour dynamique
dynamique Server
Server
DNS
DNS
• L’édition Advanced Server est conçue pour les besoins des applications critiques, le
support des bases de données ou même l’hébergement de services web. Les cibles de
cette version sont les grandes et moyennes sociétés et même les fournisseurs d’accès
internet.
• DataCenter sera le système d’exploitation serveur le plus puissant et le plus complet
jamais proposé par Microsoft. Son ambition est de concurrencer directement les grands
systèmes. Ses cibles sont les banques de données, les analyses économiques, les
simulations de grande échelle en science et ingénierie ainsi que le commerce
électronique.
Architecture
Architecture Mise
Mise en
en cluster
cluster
de
de la
la mémoire
mémoire àà Évolutivité
Évolutivité SMP
SMP Windows
Windows
l'échelle
l'échelle de
de l'entreprise
l'entreprise
Advanced
Advanced ::
Advanced
Advanced :: jusqu'à
jusqu'à Haute
jusqu'à
jusqu'à 88 Go
Go huit
huit processeurs
processeurs disponibilité
Datacenter
Datacenter :: Datacenter
Datacenter :: Répartition de la
jusqu'à
jusqu'à 64
64 Go
Go jusqu'à
jusqu'à 32
32 charge réseau
processeurs
processeurs
Le cœur de Windows 2000 Server est un ensemble de services basés sur l’annuaire Active
Directory. Le service d’annuaire Active Directory est une combinaison des éléments ci-
dessous:
Fonctionnalités
Fonctionnalités dudu Gestion
Gestioncentralisée
centralisée
service
service d'annuaire
d'annuaire
Point
Point d'administration
d'administration unique
unique
Organiser
Organiser Les
Les utilisateurs
utilisateursouvrent
ouvrent une
une
Gérer
Gérer Ressources
Ressources session
session une une fois
fois pour
pour l'accès
l'accès
Contrôler
Contrôler complet
complet auxaux ressources
ressources de de
l'annuaire
l'annuaire
Un service d'annuaire, tel que Active Directory, fournit des méthodes de stockage des
données de l'annuaire et met ces données à la disposition des utilisateurs et des
administrateurs du réseau. Par exemple, Active Directory stocke des informations sur les
comptes d'utilisateurs, notamment les noms, les mots de passe, les numéros de téléphone,
etc. et permet à d'autres utilisateurs autorisés du même réseau d'accéder à ces informations.
Active Directory est un annuaire distribué. Les informations peuvent être réparties sur
différents ordinateurs, ce qui accélère l’accès et permet la tolérance de panne. Active
Directory affiche les données de la même manière pour les utilisateurs, quel que soit le lieu à
partir duquel ceux-ci y accèdent et l’emplacement où elles sont stockées.
Services
Servicesd’annuaire
d’annuaire
Ressources
Ressources
Les fonctionnalités offertes par Active Directory sont plus étendues que celles d’un service
d’annuaire de base, comme indiqué ci-dessous:
- Evolutivité. Active Directory peut contenir plusieurs millions d’objets.
- Extensibilité. Active Directory contient un schéma, qui est la définition de tous les
objets qui peuvent être créés dans Active Directory, ainsi que l’ensemble de leurs
caractéristiques ou attributs. Les applications auxquelles Active Directory est
intégré peuvent définir de nouvelles classes d’objets ou de nouveaux attributs de
classe. Pourtant, il est conseillé de ne pas modifier certains éléments créés par
défaut à l’installation d’Active Directory, comme les classes d’objet et les groupes,
pour des raisons de compatibilité avec certaines applications commerciales.
- Dénomination, résolution de noms et protocoles d’interrogation conformes aux
standards Internet. Ceci permet une intégration immédiate à d’autres produits du
marché. En revanche, la structure d’Active Directory est liée à la notion
d’arborescence de domaines (au sens DNS du monde IP). On ne peut donc pas
facilement modifier cette structure une fois créée.
- Point d’accès unique. Avec une seule ouverture de session sur un même
ordinateur, les administrateurs peuvent gérer des objets situés n’importe où sur le
réseau. Les utilisateurs peuvent ouvrir une session n’importe où sur le réseau et
accéder aux ressources gérées par l’annuaire.
- Tolérance de panne. La duplication à plusieurs maîtres réduit les risques de
pertes de données et de services liés à des événements imprévus.
- Contrôles de sécurité. Active Directory permet une gestion centralisée des
utilisateurs, des groupes, des politiques de sécurité et des ressources de
connectivité réseau. Toutefois, l’octroi de droits d’accès et d’utilisation aux
utilisateurs peut être décentralisé et délégué à plusieurs groupes. Microsoft
déconseille pourtant d’utiliser une délégation trop fine de la sécurité car il est
difficile de revenir en arrière et sa mise en œuvre risque de pénaliser fortement
les performances du système d’information.
- Interopérabilité. Active Directory peut coopérer avec d’autres systèmes
d’exploitation, plates-formes, services et protocoles. Il est conforme aux
recommandations X.500 de l’ISO (International Organization for Standardization)
pour l’implémentation des services d’annuaire. Il prend aussi en charge le
protocole LDAP (Lightweight Directory Access Protocol) dans les versions 2 et 3.
Windows 2000 Server utilise désormais le système de fichiers distribués DFS6 qui permet,
outre d’améliorer les temps d’accès aux données, d’offrir à l’administrateur un moyen simple
de concevoir un système de fichiers intégrant des fonctions de tolérance aux pannes et
d’équilibrage de charge. En effet, DFS se présente comme une arborescence composée de
partages qui peuvent être situés un peu partout sur le réseau. L’administrateur peut par
exemple configurer plusieurs serveurs W2K pour qu’ils se partagent la même racine DFS.
Lorsqu’un client se connecte à un arbre DFS réparti sur plusieurs serveurs, Active Directory
dirige le client vers le serveur DFS le plus proche (au sens capacité d’accès réseau). Si ce
serveur vient à « disparaître », le client est aussitôt reconnecté à un autre serveur W2K de la
même racine DFS. De même, W2K Server offre un service de réplication, FRS 7, qui traite la
synchronisation des racines DFS (ce qui permet par exemple de disposer sur le réseau local
de données en théorie distantes). Par défaut, cette réplication se fait toutes les quinze
minutes (valeur utilisée également par Active Directory), ce qui implique que deux utilisateurs
qui ne sont pas situés sur le même site peuvent temporairement travailler sur des données
différentes puisque dupliquées sur deux arborescences DFS. Cette valeur peut être modifiée
mais la charge sur le réseau distant s’en ressentira. Il est donc nécessaire de bien étudier à
l’avance la nécessité et les limites de l’usage d’une telle architecture.
\\NETARCHITECT \DFS
WASHINGTON
Service de
réplication de fichier
DC-CONTRACTS CONTRACTS
6
Distributed File System
7
File Replication Service
8
Le SP6a de NT permet de lire et écrire dans une partition NTFS 5 existante, mais ne permet pas de
la créer.
Défragmenteur Windows2000
9
si A approuve B et B approuve C alors A approuve C de fait
10
Basés sur le standard X509
11
Composant enfichable Certificates dans la console d’administration MMC
Kerberos
contoso.msft
contoso.msft nwtraders.msft
nwtraders.msft
2 3
o n
in ti
e m fica
i
Ch ent
th 4
au
d’
1 5
na.contoso.msft
na.contoso.msft south.nwtraders.msft
south.nwtraders.msft
L’initiative ZAW (Zero Administration for Windows) est la tentative de réponse de Microsoft
au besoin croissant des entreprises de diminuer le coût de possession de leur informatique,
mais également au produit ZenWorks de Novell. Le Gartner Group a effectué une des
études les plus complètes sur ce sujet et a montré que la répartition de ce coût est
approximativement le suivant: 12% pour les coûts d’administration, 16% pour l’assistance
technique, 16% pour l’acquisition des matériels et des logiciels et 56% pour les pertes de
productivité des utilisateurs finaux. Trois raisons principales peuvent expliquer ce dernier
chiffre. La première est la disponibilité des serveurs sur lesquels l’utilisateur accède pour ses
données. La seconde est la disponibilité des réseaux: « no network = no work ». Enfin, la
dernière est le temps d’apprentissage du système d’exploitation et des applications.
Une infrastructure W2K Server apporte un certain nombre de réponses12 pour ces différentes
constatations:
D’une machine à l’autre, l’utilisateur peut conserver le même profil, c’est à dire le même
environnement personnalisé et les mêmes droits d’accès aux applications.
L’installation de nouvelles machines ou de nouveaux logiciels13, ainsi que la mise à jour, se
fait avec un minimum d’administration, mais sous couvert d’une politique préalablement
définie et mise en œuvre par un niveau d’administration habilité.
• L’environnement des utilisateurs est totalement paramétrable par l’administrateur, ce
qui permet de n’autoriser que le strict nécessaire afin d’éviter des modifications
intempestives ou des altérations accidentelles du système d’exploitation ou des
applications.
• Les données des utilisateurs sont dupliquées entre leurs machines et les serveurs ce
qui permet des restaurations plus aisées en cas d’incident.
• Les données peuvent être mises en cache sur le poste client ce qui permet aux
utilisateurs de continuer à travailler même en mode déconnecté.
Les principaux services qui permettent de mettre en œuvre ces fonctionnalités au sein de
W2K Server sont Intellimirror et Remote Install Service.
Les fonctions de connectivité ont également fait l’objet d’une attention particulière. W2K
Server se base essentiellement sur IP pour l’aspect réseau. La pile TCP/IP a d’ailleurs été
12
Certaines de ses fonctionnalités sont déjà présentes dans NT à partir du SP 4 mais limité par le
modèle hiérarchique à deux niveaux de cette plate-forme.
13
Il est à noter que dans le cadre les différents modules logiciels sont auto-réparables puisque le
système garde une image permanente de la configuration idéale.
W2K intègre nativement les services de terminaux alors qu’il s’agissait d’une version
spécifique de NT 4, Terminal Server Edition. Toutefois, le protocole utilisé n’est plus ICA de
Citrix, mais un produit totalement propriétaire. Cette fonction permet de se connecter aux
serveurs distants comme si l’on était sur la console système et permet donc le déploiement
de clients légers au sein d’une organisation. Cette solution permettrait de recycler des postes
trop anciens pour accepter W2K. Toutefois, il ne faudra pas sous-estimer la configuration du
serveur car toutes les applications sont exécutées sur celui-ci, les ressources mémoires et
le(s) processeur(s) étant fortement sollicité(s).
My Documents My Network
Places
Ordinateur
Ordinateur client
client My Computer
Recycle Bin
Internet Explorer
Start 12:00PM
Si toutes les versions de la famille serveur W2K supportent les architectures symétriques
multiprocesseurs (4 processeurs et jusqu’à 4 Go de mémoire physique pour W2K Server, 8
processeurs et 8 Go pour W2K Advanced Server, 32 processeurs et 64 Go pour
DataCenter), seules les versions Advanced Server et DataCenter permettent la mise en
place de clusters de machines (clusters deux nœuds pour W2K Advanced Server et quatre
nœuds pour DataCenter). Il sera donc nécessaire, lors des choix d’équipements d’un site, de
14
Request For Comments: document décrivant le standard étudié par le groupe ad-hoc de l’IETF
15
Point to Point Tunneling Protocol: protocole propriétaire Microsoft disponible sous NT 4.0
16
Layer 2 Tunneling Protocol: norme établie en coopération avec Cisco, Ascend, IBM et 3Com
Active Directory est un service d’annuaire fourni avec la gamme de produits serveurs W2K.
Ces principales caractéristiques sont les suivantes:
- Une base de données répartie entre plusieurs serveur.
- Un modèle de réplication multi-maître permettant la propagation des
mises à jour à travers tout le réseau.
- Un schéma évolutif permettant l’ajout de nouveaux types de données.
- Une organisation de la base de données sur un modèle arborescent
permettant l’héritage des droits et privilèges.
17
Devrais-je faire face à une augmentation croissante de la charge sur mes serveurs ? Devrais-je
assurer un taux de disponibilité élevé ? , …
Limite de sécurité
Unité de duplication
Modes des domaines
Contrôleur
Contrôleur de
de domaine
domaine
(Windows
(Windows 2000)
2000)
et
Contrôleur
Contrôleur de
de domaine
domaine Contrôleurs
Contrôleurs de
de domaine
domaine
(Windows
(Windows NT
NT 4.0)
4.0) (Windows
(Windows 2000
2000 uniquement
uniquement ))
Arborescences et forêts
(racine)
Approbations
Approbations transitives
transitives
bidirectionnelles
bidirectionnelles
Contoso
Contoso.msft
.msft
Forêt
Arborescence
China
China. . Japan
Japan. .
Nwtraders
Nwtraders.msft Contoso
.msft Contoso.msft
.msft Contoso
Contoso.msft
.msft
Arborescence
China
China. . Japan.
Japan. Domaine
Domaine
Nwtraders
Nwtraders.msft
.msft Nwtraders
Nwtraders.msft
.msft Windows
WindowsNT
NT4.0
4.0
Approbation
Approbationnon
nontransitive
transitive
unidirectionnelle
unidirectionnelle
Objets
Les objets sont des éléments qui peuvent être stockés au sein de l’annuaire. Les utilisateurs,
les groupes, les imprimantes, les ordinateurs ou toute autre entité décrite dans le schéma de
l’annuaire sont des objets.
Unités d'organisation
Paris Ventes
Ventes Utilisateurs
Réparation Ordinateurs
Schéma
Exemples Disponible
Disponible dynamiquement
dynamiquement ,,
de classes peut
peut être
être mis
mis àà jour,
jour,
d'objets : protégé
protégépar
par DACL
DACL
Exemples
d'attributs :
Ordinateurs Les
Les attributs
attributs
Ordinateurs d'Utilisateurs
d'Utilisateurs
peuvent
peuvent contenir
contenir :: Liste
Liste d'attributs
d'attributs
accountExpires
accountExpires accountExpires
accountExpires
badPasswordTime
badPasswordTime badPasswordTime
badPasswordTime
Utilisateurs mail
mail mail
mail
Utilisateurs
name
name cAConnect
cAConnect
dhcpType
dhcpType
eFSPolicy
eFSPolicy
fromServer
fromServer
governsID
governsID
Name
Name
Serveurs
Serveurs ……
Catalogue global: Le catalogue global est un index de tous les objets d’un annuaire Active
Directory. Il contient les informations nécessaires pour qu’un utilisateur ou une application
puisse retrouver la localisation logique d’un objet sans en connaître l’emplacement physique
réel. Alors que la partition de l’annuaire spécifique au domaine contient toutes les
informations sur tous les objets du domaine, le catalogue global possède quelques
informations, mais sur tous les objets de l’annuaire complet. Le positionnement des serveurs
de catalogue global sur le réseau doit être soigneusement étudié afin d’arriver à un juste
équilibre entre rapidité de réponse à une requête et trafic de réplication engendré. On doit
également déterminer quels sont les objets qui doivent être indexés dans le catalogue global
et quels attributs serviront à leur recherche.
Attributs
Attributs Domaine
d'objets
d'objets
Catalogue
Catalogueglobal
global
Requêtes
Requêtes Domaine Domaine
Adhésion
Adhésion àà un ungroupe
groupe
lorsque
lorsquel'utilisateur
l'utilisateur
ouvre
ouvreune
une session
session
Serveur
Serveur de
decatalogue
catalogueglobal
global
Forêt: Une forêt est un ensemble d’une ou plusieurs arborescences de domaines partageant
le même schéma, la même configuration et le même catalogue global. Au sein, d’une même
forêt, les domaines bénéficient du mécanisme d’approbation transitive généré par défaut lors
de la création de ceux-ci. Les mécanismes de sécurité nécessaires à ce fonctionnement sont
fournis par les services Kerberos intégrés à W2K.
Sites: Un site peut être défini comme l’ensemble des sous-réseaux IP partageant une
connexion rapide et fiable. Il est conseillé de ne pas tenter de rassembler dans un même
site, au sens Active Directory, des réseaux reliés à moins de 512 Kb/s pour peu que la
bande passante ne soit pas consommée par le reste du trafic réseau. La notion de site
permet de planifier et de compresser le trafic de réplication intra et inter-domaines entre
deux sites distincts.
Sites
Seattle
New York
Chicago
Los Angeles
Sous -réseau IP
Site
Sous -réseau IP
Ce mécanisme, très riche, est toutefois relativement complexe à la fois dans ses concepts et
dans sa mise en œuvre. Ainsi, les stratégies de groupe ne s’appliquent évidemment pas aux
groupes. De même, il n’existe aucune règle pour les conteneurs d’objet. En effet, ces
derniers ne sont que des services de stockage internes à Active Directory et n’ont donc
aucune influence sur les droits d’un utilisateur ou d’une ressource. Les mécanismes de
sécurité agissent de manière verticale depuis le site vers le domaine et sont transmis par
héritage vers les niveaux inférieurs (les UO pouvant contenir elles-mêmes des UO). Ensuite,
18
Avec quelques spécificités Microsoft. Tous les clients Kerberos et les serveurs Kerberos MIT sont
interopérables avec la version Microsoft.
19
Le terme employé dans les documents Microsoft est Group Policy Object.
20
Le terme employé dans les documents Microsoft est Access Control List (la liste de règles) et
Access Control Entity (la règle individuelle).
On voit donc que le travail amont de planification de la sécurité W2K est une tâche
importante et lourde de conséquences. Il faudra donc être prudent et ne pas chercher dans
un premier temps une organisation trop complexe qui serait difficile à implémenter, ardue à
maintenir et surtout très pénalisante en terme de performance pour les utilisateurs. Il est
conseillé par Microsoft de ne pas généraliser la délégation d’administration, car ce
mécanisme, qui certes permet d’alléger les tâches d’un groupe d’administrateurs sur des
utilisateurs, peut entraîner de graves problèmes de cohérence dans l’organisation globale de
la sécurité. Pour reprendre l’exemple de Microsoft, l’ensemble des 5000 serveurs déployés
dans le monde entier est administré depuis Redmond par 17 ingénieurs H24. Les sites
locaux ne disposent d’aucun droit sur les systèmes et sont juste autorisés à intervenir sur les
applicatifs.
21
Il est à noter par exemple que le service de messagerie Exchange 5.5 peut parfaitement être installé
sur un serveur membre fonctionnant sous W2K.
Client Windows 9x
22
Migration n’obligeant pas à une stricte dépendance de l’infrastructure de domaine, des serveurs
membres et des postes de travail.
23
Mais pas pour les administrateurs.
24
Primary Domain Controller (PDC)
25
Ce qui signifie qu’il faut au préalable faire disparaître du réseau le contrôleur principal de domaine
NT (PDC) NT4 et ne laisser en fonctionnement que les contrôleurs secondaires NT pour que les
utilisateurs puissent continuer à s’authentifier et à accéder aux ressources.
26
Boundary Domain Controller (BDC)
Stratégie de Migration
Mise à jour
Structure
satisfaisante ? Non
Oui
Restructuration
Inter -forêt Intra -forêt
• Migration des utilisateurs •Déplacement
des objets
• Migration des ressources
Migration terminée !
27
Domain Controller
28
Domain Name Server: système établissant la correspondance entre un nom logique d’une machine
et son adresse IP.
Ainsi en cas de nécessité de retour à l’état initial, l’administrateur peut restaurer le domaine à
partir du BDC et des bandes de sauvegarde.
Remarques:
• Pour que ces relations d’approbation puissent être établies, le PDC du domaine NT
et le « PDC Emulator » du domaine W2K doivent pouvoir se reconnaître sur le
réseau. Entre deux DC W2K, le mécanisme de recherche est basé sur l’utilisation de
requêtes DNS. Ce mécanisme ne peut être utilisé avec un PDC NT. C’est le service
de nommage WINS (associé au nommage NetBIOS) qui est utilisé.
En conséquence, le service WINS doit être disponible durant toute la phase de
migration où des relations d’approbation devront être maintenues entre des domaines
NT et des domaines d’une forêt AD. Ce service étant particulièrement « bavard » sur
le réseau29 il est recommandé de limiter dans le temps la période d’utilisation de ce
type d’infrastructure. Il est préférable d’installer au plus tôt une « dorsale » de
contrôleurs de domaines W2K qui fourniront le même type de service, mais basé sur
le service de nommage DNS.
• Entre forêts AD on peut établir (mais de manière explicite) des relations
d’approbation. Ces relations sont transitives par propagation à l’intérieur des forêts
(tout domaine de la forêt A approuve tout domaine de la forêt B), mais pas entre
forêts (si la forêt A approuve la forêt B et que B approuve la forêt C, A n’approuve
pas C). Ceci implique que des organisations multi-forêts seront aussi difficiles à
administrer que ce qui a été montré précédemment. La conséquence est qu’il n’est
pas concevable de laisser se multiplier de manière anarchique des forêts AD en
espérant pouvoir les administrer par relations d’approbation inter-forêts. C’est
pourquoi la solution de créer autant de forêts que d’organismes ne doit pas être
retenue, même si cela pouvait représenter une solution simple pour limiter, voire
éliminer, les flux de réplications sur le réseau distant.
La création de forêts au sein de grande organisation, et donc l’utilisation de l’annuaire
Active Directory W2K, doit rester sous le contrôle d’une seule autorité.
29
En effet, les serveurs WINS doivent tenir à jour la liste complète des services auxquels un
contrôleur de domaine doit pouvoir donner accès de par les relations d’approbation établies avec
d’autres domaines.
Africa NAmerica
Comptes d'ordinateur Comptes d'ordinateur
Groupes locaux Groupes locaux Africa
Africa NAmerica
NAmerica
Ressources Ressources
Les présentations de SFU 2.0 relevées dans les documents et publications estiment que ce
produit permet:
• de faciliter l'échange de données entre deux réseaux;
• d’accéder via une interface ligne de commande depuis un poste Windows vers un
poste UNIX;
• d’écrire des scripts offrant un accès aux « shells », outils et utilitaires UNIX;
• d’alléger les tâches d’administration de réseaux hétérogènes comprenant notamment
le partage de mots de passes utilisateurs.
Chaque poste de travail ou serveur équipé d'un système d'exploitation Windows 2000, pour
lequel des besoins d'interopérabilité W2K–Unix32 existent, nécessitera l'installation de SFU
2.0. Toutefois, certains composants de SFU 2.0 pourront être installés uniquement sur un
serveur, permettant à de multiples postes de travail de bénéficier des services
correspondants: par exemple, le service de passerelle NFS.
A ce jour, SFU 2.0 supporte les versions suivantes d'UNIX: HP-UX 10.2 et versions
ultérieures, Solaris 2.6 et versions ultérieures, Compaq Tru64 UNIX 5.0 et versions
30
Services For Unix
31
Service d’interopérabilité entre NT et Unix permettant notamment d’assurer l’accès aux répertoires
et fichiers des stations ou serveurs Unix pour un client NT et d’assurer la concordance d’un « login /
mot de passe » NT avec le « login / mot de passe » Unix de l’utilisateur.
32
SFU 2.0 prend également en charge l’interopérabilité NT-Unix
Microsoft Services for Netware 5.0 inclut des utilitaires permettant l'interopérabilité entre
Windows 2000 et Netware:
• Microsoft Directory Synchronization Services (MSDSS) qui permet la synchronisation
bidirectionnelle de l'annuaire Active Directory de Windows 2000 avec la NDS de
Novell, et la synchronisation unidirectionnelle entre Active Directory et les
« Binderies » de Netware.
• Microsoft File Migration Utility (MFMU) pour effectuer la migration des fichiers Novell
Netware vers Windows 2000 Server.
• File & Print Services for Netware 5.0 (FPNW5) qui permet à un système Windows
2000 Server d'apparaître comme un serveur de fichiers et d'impression Netware.
Cette solution assure donc la possibilité de faire coexister de manière durable les deux
infrastructures sur un même site en associant les administrations des deux systèmes
d’annuaires au sein de la console d’administration de W2K. Toutefois, il ne faut pas perdre
de vue que le fait d’offrir une solution de coexistence implique la conservation de l’ancien
système: matériels, tâches d’exploitation, filière de compétence, coûts de maintenance,
migration Netware 4/Netware 5.
La nécessité de maintien d’une double infrastructure d’annuaire (même si les informations
sont synchronisées) doit être particulièrement justifiée compte tenu des implications
exposées ci-dessus. Les cas les plus probables sont l’utilisation de la messagerie
Groupwise, de systèmes d’information se basant sur le moteur de workflow de Groupwise ou
sur l’annuaire NDS de Novell. Or, les décisions prises par l’EMAT concernant les systèmes
de messagerie conduisent à l’abandon dès 2001 de Groupwise. De même, sauf
développements locaux, il n’existe pas de cas recensé de système d’information basé sur
l’annuaire de Novell.
4.6. Méta-annuaire
De plus en plus de grandes entreprises ont démarré des projets de fusion de leurs
annuaires. Toutefois, cette fusion en un « annuaire physique unique » se heurte très souvent
à l’obligation de maintenir en fonctionnement plusieurs annuaires spécifiques. Il n’en reste
pas moins que dans un but d’allégement des tâches d’administration et de diminution des
incohérences des données, la notion d’ « annuaire logique unique » est incontournable.
C’est le rôle d’un méta-annuaire d’offrir la couche service nécessaire pour, soit « fédérer »
l’ensemble des informations en un index unique, soit « administrer » les données en
assurant les fonctionnalités de synchronisation des enregistrements dans les différents
annuaires physiques gérés. Pour accéder aux informations, il est nécessaire de disposer au
niveau du méta-annuaire de connecteurs spécifiques à chaque système d’annuaire.
5. Impression d’ensemble
Points positifs:
• Stabilité et facilité d’utilisation de la version Professional.
• Intégration dans un seul produit serveur de toutes les fonctions nécessaires à une
infrastructure de type Internet/intranet quelle que soit la taille de l’entreprise (DNS,
annuaire compatible LDAP V2 et V3, assistant connexion réseau, VPN, RAS, partage
de connexion distante, …).
• Meilleure gestion des utilisateurs mobiles (portables) ou errants (login unique quelle
que soit la situation sur le réseau).
• Meilleur support du port USB, des drivers intégrés (Plug & Play), des composants
déplaçables « à chaud » (Hot Plug), de la gestion de l’alimentation.
• Active Directory: annuaire d’entreprise, distribué, évolutif.
• Nombreux composants de sécurité intégrés (authentification basée sur un module
Kerberos, infrastructure de gestion de clé publique – PKI, implémentation native
d’IPSec, modèle de protection des données EFS, infrastructure de gestion de
clusters, …).
• Haute disponibilité grâce à des schémas de réplication des annuaires adaptés aux
contraintes de l’infrastructure réseau.
• Accompagnement des grands comptes.
• Approche par espace de nommage hiérarchique à l’échelle de l’entreprise.
• Meilleure gestion du stockage des données que sur NT 4.0, grâce à une abstraction
des volumes de sauvegarde.
• Middleware COM+.
• Cohérence d’ensemble de la gamme de produits.
• Richesse de l’infrastructure d’administration permettant d’augmenter la productivité
des administrateurs (console d’administration totalement personnalisable, gestion
des profils de sécurité basée sur la description de l’organisation dans ADS,
déploiement automatisé, installation à distance, Terminal Services, …).
• Possibilité de déploiement automatisé des configurations W2K Professional, des
applications, réparation automatique des modules logiciels.
• Utilisation importante des standards issus de l’IETF et du W3C.
Points négatifs:
• Proximité de l’adoption de NT4.0 par les entreprises (et l’armée de terre).
• Nécessité de disposer en interne de fortes compétences dans les domaines de
l’administration et des technologies issues de l’internet.
• Peu de déploiements d’envergure à ce jour (faible retour d’expérience).
33
Siemens, Microsoft, Netscape, Novell
34
Le modèle utilisé par le Gartner Group (Total Cost of Ownership) intègre l’ensemble des coûts
directs et indirects d’une migration vers W2K, y compris les gains et pertes de revenus de l’entreprise.
Ce modèle est vivement critiqué car nombre des indicateurs utilisés pour l’évaluation sont relativement
subjectifs et les résultats peuvent différer de plus de 200% suivant l’entreprise à laquelle ce modèle
s’applique.
Lorsque le système vous demande de sélectionner une taille de partition, tapez une valeur
minimum de 2048 dans la zone de texte Créer une partition de taille (en Mo), puis
appuyez sur ENTREE.Dans la liste des partitions, appuyez sur ENTREE pour sélectionner la
partition que vous venez de créer, ensuite appuyer sur ENTREE pour sélectionner
Formater la partition en utilisant le système de fichiers NTFS.
Le programme d’installation formate le disque dur, l’examine, puis copie les fichiers dans les
dossiers d’installation de Windows 2000, puis retirez le CD-ROM du lecteur ensuite
l’ordinateur redémarre automatiquement pour passer à la phase d’installation en mode
d’interface utilisateur graphique. Lorsque l’assistant Installation de Windows 2000 s’affiche,
cliquez sur suivant. La page Installation de périphériques s’affiche et vous invite à
attendre la fin de détection et de l’installation des périphériques par le programme
d’installation. La page Paramètres régionaux s’affiche et vous invite à personnaliser
Windows 2000 pour différentes régions et langues, cliquez alors sur suivant. Dans la page
Personnalisez votre logiciel, taper votre nom puis votre organisme, puis cliquez sur
suivant. La page Mode de licence s’affiche et vous invite à sélectionner un mode de licence
que vous choisirez en fonction de votre organisme (soit par serveur , soit par siège).
Dans la page Réglage de la date et l’heure, réglez la date, l’heure, ainsi que le fuseau
horaire selon vos besoins, puis cliquez sur suivant. La page Paramètres de gestion de
réseau s’affiche et vous informe que Windows est en train d’installer des composants
réseau, puis vous invite à sélectionner des paramètres réseau par défaut ou personnalisés.
Cliquez sur Paramètres personnalisés , puis sur suivant. Dans la page Composants de
réseau, cliquez sur TCP/IP, puis sur Propriétés.
Dans la boite de dialogue Propriétés TCP/IP, cliquez sur Utiliser l’adresse IP suivante,
tapez l’adresse que vous aura donné votre administrateur réseau, puis appuyer sur
TABULATION et renseignez au besoin la case du masque de sous-réseau, la passerelle par
défaut et le serveur DNS. Cliquez sur OK, puis sur suivant.
Dans un environnement d’entreprise, il n’est pas très rentable d’installer Windows 2000 sur
chaque ordinateur avec son programme de mise en place interactif standard. Pour réduire
notablement le coût total de possession (CTP) vous pouvez effectuer des installations
automatisées sur de multiples machines.