Académique Documents
Professionnel Documents
Culture Documents
O F F I C I E L
22411B
D E
F O R M A T I O N
M I C R O S O F T
Sommaire
Module 1 : Dploiement et maintenance des images de serveur
Leon 1 : Vue densemble des services de dploiement Windows
Leon 2 : Implmentation dun dploiement avec les services
de dploiement Windows
Leon 3 : Administration des services de dploiement Windows
Atelier pratique : Utilisation des services de dploiement Windows
pour dployer Windows Server 2012
1-2
1-9
1-16
1-23
2-2
2-9
2-16
2-22
2-25
2-34
3-2
3-8
3-13
3-18
3-18
3-37
4-2
4-8
4-15
4-22
xiii
5-2
5-12
5-20
5-39
5-46
6-2
6-12
6-20
6-39
6-46
7-2
7-11
7-22
7-29
7-36
7-41
7-56
8-2
8-7
8-14
8-24
8-30
9-2
9-8
9-16
9-22
9-27
10-3
10-10
10-21
10-28
10-32
10-41
10-46
10-50
11-2
11-6
11-14
12-2
12-5
12-9
13-2
13-9
13-18
13-21
xv
Module 1
Dploiement et maintenance des images de serveur
Table des matires :
Vue d'ensemble du module
1-1
1-2
1-9
1-16
1-23
1-29
Les organisations de plus grande taille ont besoin de technologies de dploiement qui puissent rduire ou
liminer lintervention de lutilisateur pendant le processus de dploiement. Vous pouvez utiliser le rle
Services de dploiement dans Windows Server 2012 et Windows Server 2008 pour prendre en charge les
dploiements volume lev de type Lite Touch et Zero Touch. Ce module explore les fonctionnalits des
services de dploiement Windows et explique comment les utiliser pour effectuer des dploiements de
type Lite Touch.
Objectifs
la fin de ce module, les stagiaires seront mme deffectuer les tches suivantes :
Leon 1
1-2
Les services de dploiement Windows vous permettent de dployer des systmes dexploitation
Windows. Pour dployer ces systmes dexploitation sur de nouveaux ordinateurs, vous pouvez utiliser
une installation des services de dploiement Windows partir du rseau. Cela signifie quil nest pas
ncessaire dtre physiquement prsent sur chaque ordinateur. En outre, il nest pas ncessaire dinstaller
chaque systme dexploitation depuis un support local. Les services de dploiement Windows rpondent
donc parfaitement aux besoins de dploiement des grandes organisations.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
dterminer comment utiliser les services de dploiement Windows pour prendre en charge divers
scnarios de dploiement.
Ils utilisent des technologies existantes, telles que lEnvironnement de prinstallation Windows
(Windows PE), un fichier dimage systme Windows (.wim), des fichiers dimage virtuelle de disque
dur (.vhd) et le dploiement bas sur des images.
1-3
Windows XP
Windows 7
Windows 8
Les services de dploiement Windows permettent de crer, stocker et dployer des images dinstallation
des systmes dexploitation pris en charge, et prennent en charge les fichiers image .wim et .vhd. Le
dploiement peut dsormais tre en monodiffusion ou en multidiffusion. La multidiffusion offre une
gestion plus efficace du trafic rseau que consomme le processus de dploiement. Cela peut acclrer le
dploiement sans affecter dfavorablement dautres services rseau.
Les services de dploiement Windows sintgrent troitement avec Windows Vista, Windows Server 2008,
Windows 7, Windows Server 2008 R2, Windows 8 et Windows Server 2012. Un parfait exemple de cette
intgration est la conception de ces systmes dexploitation avec des composants. Ces systmes
dexploitation consistent en lments autodescriptifs, appels composants. Lautodescription se rapporte
au fait que les lments contiennent un manifeste qui rpertorie les diffrentes options de configuration
que vous pouvez dfinir pour chaque composant. Vous pouvez voir les fonctionnalits et les
configurations pour chaque composant. Les mises jour, les Service Packs et les modules linguistiques
sont des composants qui sont appliqus sur les systmes dexploitation qui peuvent tre diviss.
Les pilotes sont galement considrs comme des composants distincts et configurables. Le principal
avantage de ces composants est de pouvoir installer des pilotes, tels que des correctifs logiciels ou des
Service Packs, sur un systme dexploitation hors connexion. Au lieu de mettre jour des images
compltes chaque fois quune nouvelle mise jour, un nouveau Service Pack ou un nouveau pilote est
disponible, vous pouvez installer ces composants dans limage hors connexion pour que Windows les
applique quand vous dployez limage.
Lors du dploiement des images sur le disque dur dun nouvel ordinateur, le systme reoit limage
disque de base avec chacun des composants ajouts, et ce avant que le systme ne dmarre pour la
premire fois.
1-4
Si votre organisation est multilingue ou internationale, vous pouvez utiliser la nature indpendante de la
langue des systmes dexploitation Windows les plus rcents. Le nombre dimages maintenir est encore
rduit parce quil ny a plus de versions localises. Certaines versions de systmes dexploitation Windows
sont limites au nombre de modules linguistiques. Vous pouvez tout moment ajouter ou supprimer des
modules linguistiques dun systme en fonction de vos besoins, et ce sans modifier autrement linstallation.
Si vous devez prendre en charge plusieurs langues, ajoutez tous les modules linguistiques ncessaires
votre fichier de dploiement .wim puis activez-les selon vos besoins, sur tous les ordinateurs ou certains
seulement.
Il formate les paquets de rponse du protocole DHCP (Dynamic Host Configuration Protocol).
Le client des services de dploiement Windows fournit une interface graphique base sur linterface
graphique dinstallation de Windows Server. Elle tablit un canal de communication avec le serveur des
services de dploiement Windows et rcupre une liste dimages dinstallation sur ce serveur. En outre, le
client des services de dploiement Windows fournit des informations dtat de lordinateur cible pendant
le dploiement.
Composants serveur
Les composants serveurs supplmentaires comprennent un serveur TFTP (Trivial File Transfer Protocol)
qui permet aux clients effectuant le dmarrage partir du rseau de charger une image de dmarrage
dans la mmoire. Sy ajoutent : un rfrentiel dimages contenant des images de dmarrage, des images
dinstallation et les fichiers ncessaire la prise en charge du dmarrage rseau, ainsi quun dossier
partag pour hberger les images dinstallation.
Moteur de multidiffusion
1-5
Avec la multidiffusion, le serveur envoie les donnes en une seule fois, et plusieurs cibles reoivent les
mmes donnes. Si vous dployez une image sur plusieurs cibles, cette mthode peut rduire le trafic
rseau une fraction du nombre quivalent de plusieurs transmissions en monodiffusion. Les services de
dploiement Windows fournissent deux types de multidiffusion :
Nombre de clients. Lorsque vous spcifiez un nombre de clients, le serveur attend que le nombre
dfini de clients connects soit atteint, puis il commence envoyer les informations.
Limite dans le temps. Lorsque vous spcifiez une limite dans le temps, le serveur attend jusquau
moment spcifi puis commence le dploiement vers les ordinateurs client connects.
Bien que la diffusion planifie offre une utilisation plus efficace du rseau, elle ncessite nanmoins un
certain travail, chaque ordinateur cible devant tre connect, mis en marche et mis en file dattente.
Diffusion automatique. Une cible peut rejoindre une diffusion automatique tout moment, et le
serveur rpte la transmission tant que des cibles sont connectes. Si la cible commence recevoir
limage en cours de transmission, ou sil lui manque une certaine partie de limage, elle demeure
connecte et rassemble les parties manquantes du fichier quand le serveur redmarre la transmission.
Question : Quel est lavantage de la multidiffusion sur la monodiffusion dans les scnarios
de dploiements importants ?
Scnario 1
1-6
Dans un petit rseau constitu dun serveur unique et denviron 25 ordinateurs sous Windows XP, vous
pourriez utiliser les services de dploiement Windows pour acclrer le processus de mise niveau des
ordinateurs client vers Windows 8. Une fois que vous avez install et configur le rle serveur des services
de dploiement Windows sur le serveur unique, vous pouvez utiliser les services de dploiement Windows
pour effectuer les tches suivantes :
1.
Ajouter boot.wim ( partir du dossier de sources sur le support de Windows Server 2012) comme
image de dmarrage dans les services de dploiement Windows.
2.
Ajouter install.wim ( partir du dossier de sources sur le support de Windows 8) comme image
dinstallation.
3.
Crer une image de capture partir de limage de dmarrage que vous avez prcdemment ajoute.
Remarque : Une image de capture est une image de dmarrage modifie qui contient les
lments ncessaires pour capturer une image de fichier WIM partir dun ordinateur de
rfrence configur.
4.
5.
6.
Installer les applications de productivit et les applications personnalises de la manire prescrite sur
lordinateur de rfrence.
7.
8.
9.
Vous connecter limage de capture que vous avez cre, lutiliser pour capturer le systme
dexploitation local et le tlcharger nouveau sur le serveur des services de dploiement Windows.
10. Dmarrer chacun des ordinateurs cibles existants partir du rseau en utilisant lenvironnement PXE,
et les connecter limage de dmarrage approprie.
11. Slectionner limage dinstallation personnalise.
12. Le dploiement commence.
Dans ce scnario, les avantages pour lorganisation sont les suivants :
Cette solution ne serait toutefois pas adapte de plus grands dploiements, car il faut que linstallateur
commence le dploiement sur lordinateur cible. En outre, linstallateur est requis pour slectionner une
partition de disque sur laquelle installer limage dinstallation slectionne.
Scnario 2
1-7
Dans le deuxime scnario, une organisation de taille moyenne importante souhaite dployer plusieurs
serveurs dans des filiales gographiquement disperses. Envoyer du personnel informatique expriment
sur chaque site pour dployer les serveurs savrerait long et coteux.
Grce aux services de dploiement Windows, le personnel informatique peut solutionner ce problme :
1.
Ajouter boot.wim ( partir du support de Windows Server 2012) comme image de dmarrage dans
les services de dploiement Windows.
2.
Ajouter install.wim ( partir du support de Windows Server 2012) comme image dinstallation.
3.
4.
5.
Excuter une installation standard de Windows Server 2012 partir de limage install.wim.
6.
7.
8.
9.
10. Configurer les comptes dutilisateur AD DS (Active Directory Domain Services) ; Il sagit de la
prconfiguration des comptes dordinateur.
11. Utiliser lAssistant Gestion dinstallation (SIM) dans le Kit dinstallation automatise Windows
(Windows ADK) pour crer un fichier de rponses sans assistance.
12. Configurer le fichier de rponses pour lutiliser avec limage dinstallation capture sur les services de
dploiement Windows.
13. Configurer une stratgie de format de nom personnalise dans les services de dploiement Windows,
de sorte que chaque ordinateur serveur reoive un nom dordinateur appropri pendant le
dploiement.
14. Configurer les services de dploiement Windows pour utiliser une image de dmarrage par dfaut.
15. Configurer les services de dploiement Windows pour rpondre aux requtes PXE et lancer le
dploiement de limage dinstallation automatiquement.
16. Dmarrer chacun des ordinateurs cibles partir du rseau.
Remarque : Pour viter une boucle de dmarrage, il est recommand de configurer le
systme BIOS de lordinateur pour commencer partir du disque dur puis du rseau. Pour plus
dinformations sur comment viter une boucle de dmarrage, reportez-vous au guide de
dploiement des services de dploiement Windows.
1-8
La solution nimplmente pas des transmissions par multidiffusion et nutilise pas la rfrence PXE. Ces
technologies pourraient galement tre utilises pour aider grer le trafic rseau pendant le dploiement.
Il nest pas ncessaire de mettre niveau les paramtres des serveurs existants, car ce sont de
nouvelles succursales sans infrastructure informatique en place.
La configuration des divers serveurs peut varier lgrement ; il y a deux configurations de serveur
de base : installation serveur complte et installation serveur minimale.
La gestion du trafic rseau est cruciale, car le rseau est presque pleine capacit.
Leon 2
1-9
Bien que les services de dploiement Windows ne sont pas compliqus installer et configurer, il est
important que vous compreniez la constitution de leurs composants et comment les configurer
correctement. Ce faisant, vous veillerez ce quils fournissent le niveau appropri dautomatisation du
dploiement et quils rpondent aux besoins de dploiement de votre organisation. Une fois que vous
installez et configurez les services de dploiement Windows, vous devez comprendre comment les utiliser
et utiliser les outils associs pour crer, grer et dployer des images sur des ordinateurs dans votre
organisation.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Le serveur de dploiement active une solution de dploiement de bout en bout, alors que le serveur de
transport fournit une plateforme que vous utilisez pour crer une solution de dploiement personnalise
multidiffusion.
Serveur de dploiement
Serveur de transport
Configuration requise
Pas dimpratifs
dinfrastructure
PXE
Serveur dimage
Aucun
Transmission
Monodiffusion et multidiffusion
Multidiffusion seulement
Gestion
WDSutil.exe seulement
Ordinateur cible.
Wdsmcast.exe seulement
Dmarrage partir du rseau. Le serveur de transport fournit seulement un auditeur PXE ; cest le
composant qui coute et accepte le trafic entrant. Vous devez crire un fournisseur PXE personnalis
pour utiliser un serveur de transport pour dmarrer un ordinateur partir du rseau.
1-11
La configuration requise spcifique linstallation du rle des services de dploiement Windows dpend
de si vous dployez un serveur de dploiement ou seulement un serveur de transport.
Pour installer un serveur de dploiement, votre rseau et serveur cible doivent rpondre aux exigences
suivantes.
AD DS. Votre serveur des services de dploiement Windows doit tre soit membre
dun domaine AD DS, soit un contrleur de domaine pour un domaine AD DS.
DHCP. Vous devez avoir un serveur DHCP fonctionnel avec une tendue active sur le rseau. Cest
parce que les services de dploiement Windows utilisent lenvironnement PXE, qui dpend du
protocole DHCP pour allouer les configurations IP.
DNS. Vous devez avoir un serveur DNS actif sur le rseau, de sorte que les ordinateurs client puissent
localiser les services requis pour le dploiement.
Volume de systme de fichiers NTFS. Le serveur qui excute les services de dploiement Windows
requiert un volume NTFS pour la banque dimages. Les services de dploiement Windows accdent
la banque dimage dans le contexte de lutilisateur qui a ouvert une session. Par consquent, les
comptes dutilisateur de dploiement doivent avoir des autorisations suffisantes sur les fichiers image.
Bien quil ne sagisse pas dune configuration requise, Windows ADK vous permet de simplifier le
processus de cration de fichiers de rponses (unattend.xml) pour une utilisation avec les dploiements
automatiss des services de dploiement Windows.
Remarque : Pour installer le rle des services de dploiement Windows, vous devez tre
membre du groupe Administrateurs locaux sur le serveur. Pour initialiser le serveur, vous devez
tre membre du groupe Utilisateurs du domaine.
2.
Choisissez si vous le souhaitez dinstaller le service pour le rle du serveur de dploiement (qui inclut
le rle du serveur de transport) ou juste le service pour le rle du serveur de transport.
3.
Slectionnez votre serveur dans la console des services de dploiement Windows et lancez lAssistant
de configuration.
2.
3.
Doit tre assez grand pour accueillir les images de dploiement que vous prvoyez utiliser.
Devrait tre un disque physique distinct de celui sur lequel est install le systme dexploitation
afin doptimiser les performances.
Si le rle du serveur DHCP est hberg sur le serveur des services de dploiement Windows avec
dautres services, vous devez :
o
Empcher le serveur PXE dcouter sur le port 67 du protocole UDP (User Datagram Protocol) ; ce
port est utilis par le protocole DHCP.
Configurer loption DHCP 60 sur PXEClient ; cela permet au client PXE de localiser le port du
serveur des services de dploiement Windows.
Remarque : Si vous dployez les services de dploiement Windows sur un serveur qui
excute dj le rle du serveur DHCP, ces modifications sont faites automatiquement. Si vous
ajoutez ultrieurement le rle du serveur DHCP un serveur de dploiement Windows, vous
devez vous assurer dapporter lesdites modifications.
4.
Dterminez comment vous souhaitez que le serveur PXE rponde aux clients :
o
Par dfaut, le serveur PXE ne rpond aucun client ; cest utile quand vous effectuez la
configuration initiale des services de dploiement Windows, car vous navez encore aucune
image disponible pour des clients.
Rpondre aux ordinateurs client connus ; ce sont des ordinateurs que vous avez
prconfigurs.
Rpondre tous les ordinateurs client, que vous les ayez prconfigurs ou non ; si vous
slectionnez cette option, vous pouvez en outre dfinir quune approbation dadministrateur
soit requise pour les ordinateurs inconnus. Tout en attendant lapprobation, les ordinateurs
client sont maintenus dans une file dattente.
Remarque : Sil y a lieu, vous pouvez reconfigurer ces paramtres aprs avoir termin la
configuration initiale.
1-13
Configurez la stratgie de dmarrage PXE pour les clients connus et inconnus. Cette stratgie
dtermine le comportement requis de linstallateur pendant la partie initiale du dploiement. Par
dfaut, tant la stratgie pour les ordinateurs connus que celle pour les ordinateurs inconnus exigent
de linstallateur quil appuie sur F12 pour se connecter au serveur dimage des services de
dploiement Windows. Sil ne le fait pas, lordinateur utilise les paramtres du BIOS pour dterminer
une autre mthode de dmarrage, par exemple via le disque dur ou un CD-ROM. Au lieu de cette
valeur par dfaut, vous pouvez configurer les options suivantes :
o
Continuer le dmarrage PXE sauf si lutilisateur appuie sur chap. Cette option donne
linstallateur la possibilit dannuler le dploiement.
Configurez une image de dmarrage par dfaut. Si vous avez plusieurs images de dmarrage, par
exemple pour prendre en charge plusieurs plates-formes,vous pouvez configurer une image de
dmarrage par dfaut pour chacune delles. Cette image est slectionne aprs un dlai dexpiration
sur lordinateur client PXE.
Associez un fichier de rponses pour linstallation. Vous pouvez dfinir un fichier de rponses associ
pour chaque architecture cliente. Ce fichier de rponses fournit les informations qui sont utilises
pendant la phase dinstallation initiale et permet au serveur dimage des services de dploiement
Windows de slectionner limage dinstallation approprie pour le client, sans intervention de
linstallateur.
Crez les images de dcouverte. Tous les ordinateurs ne prennent pas en charge le dmarrage
rseau PXE. Pour ceux qui ne le font pas, vous pouvez crer une image de dcouverte base sur
une image de dmarrage et lexporter vers un priphrique de stockage amovible. Pour crer une
image de dcouverte, spcifiez :
o
Le nom du serveur des services de dploiement Windows qui sera utilis pour le dploiement.
Vous devez configurer les paramtres dinstallation supplmentaires des services de dploiement Windows.
Ajoutez des images dinstallation. Cest limage du systme dexploitation que vous utilisez pour
installer Windows Server. En gnral, vous commencez par limage dinstallation install.wim, dans le
dossier \sources du DVD de Windows Server 2012. Ensuite, vous pouvez choisir de crer des images
personnalises pour des groupes dordinateurs qui ont des configurations similaires.
Remarque : Avant de pouvoir crer des images dinstallation, vous devez dfinir un groupe
dimages dinstallation dans lequel consolider les images associes. Si vous ne procdez pas ainsi,
le programme dadministration des services de dploiement Windows cre un groupe gnrique.
Associez un fichier de rponses une image dinstallation. Si vous avez cr un fichier de rponses,
par exemple laide de Windows ADK, vous pouvez lassocier une installation pour fournir les
informations ncessaires pour terminer le dploiement de lordinateur sans linteraction de
linstallateur.
Configurez une stratgie de format de nom du client. Vous pouvez utiliser une stratgie de format de
nom du client pour dfinir le nom des ordinateurs inconnus pendant le dploiement. La stratgie
utilise un certain nombre de variables pour crer un nom unique :
a.
b.
c.
d.
e.
%[n]#. Vous pouvez utiliser cette squence pour attribuer un numro squentiel didentification
unique contenant n chiffres au nom dordinateur. Si vous souhaitez utiliser un numro plusieurs
chiffres, compltez la variable avec des zros non significatifs aprs le signe %. Par exemple, %2#
a comme consquence les numros squentiels 1, 2, 3 et ainsi de suite. %02# donne 01, 02 et 03.
1-15
Spcifiez lemplacement AD DS pour les comptes dordinateur. Par dfaut, le mme domaine AD DS
que le serveur des services de dploiement Windows est utilis. Alternativement, vous pouvez
slectionner :
o
Un emplacement AD DS spcifi.
Remarque : Lordinateur des services de dploiement Windows requiert les autorisations Crer
un objet Ordinateur et crire toutes les proprits pour le conteneur AD DS que vous spcifiez.
Configurez les transmissions par multidiffusion. La transmission par monodiffusion est active par dfaut ;
cest--dire que vous navez rien besoin de faire dautre et que vous pouvez dployer des clients en utilisant
la monodiffusion. Cependant, pour activer la transmission par multidiffusion, vous devez spcifier :
Une mthode de transmission par multidiffusion. Choisissez entre Diffusion automatique et Diffusion
planifie. Si vous choisissez la diffusion planifie, vous pouvez dfinir un seuil minimal de clients avant
le dbut de la transmission, ainsi que la date et lheure de dbut.
Dans Windows Server 2012, les services de dploiement Windows vous permettent dajouter et configurer
des packages de pilotes sur le serveur, puis de les dployer sur les ordinateurs client pendant les
installations en fonction de leur matriel.
Utilisez les tapes gnrales suivantes pour configurer les pilotes :
1.
Obtenez les pilotes dont vous avez besoin. Ceux-ci doivent tre sous la forme dun fichier .inf plutt
que .msi ou .exe.
2.
Configurez au besoin des filtres sur le groupe de pilotes. Ces filtres dterminent quels ordinateurs client
reoivent les pilotes en fonction de leurs caractristiques matrielles. Par exemple, vous pouvez crer
un filtre qui applique seulement les pilotes aux ordinateurs qui ont un BIOS fabriqu par A. Datum.
3.
Ajoutez les pilotes comme package de pilotes. Les packages de pilotes doivent tre associs un
groupe de pilotes. Si vous associez le package de pilotes un groupe non filtr, tous les ordinateurs
reoivent le pilote.
Vous pouvez utiliser les services de dploiement Windows pour ajouter des packages de pilotes vos
images de dmarrage de Windows 8 et Windows Server 2012 ; par consquent, il nest pas ncessaire
dexporter limage. Utilisez les outils de Windows ADK pour ajouter manuellement des packages de
pilotes, puis ajoutez limage de dmarrage mise jour.
Question : Quel est lavantage de dfinir une stratgie de format de nom pour les clients ?
Leon 3
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Expliquez comment configurer la transmission par multidiffusion pour dployer vos images.
Configuration de DHCP
Automatisation du dploiement
Configuration de la transmission
Configuration de DHCP
Les clients qui dmarrent en utilisant lenvironnement PXE ont besoin dune configuration IPv4 alloue de
faon dynamique. cet effet, vous devez crer et configurer une tendue DHCP approprie. En outre, si le
protocole DHCP et les rles serveur des services de dploiement Windows sont hbergs conjointement,
vous devez configurer la faon dont le serveur PXE coute les demandes des clients ; il y a en effet un
conflit inhrent car le protocole DHCP et les services de dploiement Windows utilisent tous les deux le
port UDP 67. Pour crer et grer les tendues DHCP, vous pouvez utiliser le composant logiciel enfichable
DHCP ou loutil de ligne de commande Netsh.exe.
1-17
Vous pouvez crer et maintenir des images avec le composant logiciel enfichable des services de
dploiement Windows, Windows SIM, loutil de ligne de commande WDSutil.exe ou loutil de ligne de
commande Dism.exe.
Par exemple, pour ajouter une image de dmarrage, utilisez la commande suivante :
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<chemin daccs> /ImageType:Boot
Pour ajouter une image dinstallation, utilisez les deux commandes suivantes, en appuyant sur Entre
aprs chaque ligne :
WDSUTIL /Add-ImageGroup /ImageGroup:<nom du groupe dimages>
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<chemin daccs au fichier .wim>
/ImageType:Install
Remarque : Vous pouvez galement effectuer ces tches de gestion en utilisant la console
de gestion des services de dploiement Windows, accessible dans le Gestionnaire de serveurs.
Lenvironnement de dmarrage pour Windows Server 2012 repose sur la banque de donnes de
configuration de dmarrage (BCD). Cette banque dfinit comment le menu de dmarrage est configur.
Vous pouvez personnaliser la banque en utilisant Bcdedit.exe.
Remarque : Quand vous personnalisez la banque BCD, vous devez la forcer tre recre
pour que vos modifications prennent effet. Pour ce faire, excutez les deux commandes
WDSutil.exe suivantes (en appuyant sur Entre aprs chaque ligne), afin darrter puis de
redmarrer le serveur des services de dploiement Windows :
wdsutil /stop-server
wdsutil /start-server
Ce qui suit est une liste de limitations pour linterface utilisateur du menu de dmarrage :
Taille de lcran. Seules 13 images peuvent tre affiches dans le menu. Si vous en avez plus,
linstallateur doit les faire dfiler vers le bas pour les voir.
Clavier. Aucun clavier autre que ceux pris en charge par le BIOS nest pris en charge.
Localisation. Aucune localisation autre que celles prises en charge par le BIOS nest prise en charge.
Commencez partir dun serveur diffrent du serveur des services de dploiement Windows.
Pour prconfigurer les ordinateurs, vous pouvez utiliser la commande suivante de loutil de ligne de
commande WDSutil.exe :
WDSUTIL /Add-Device /Device:<nom> /ID:<GUIDorMACAddress>
Automatisation du dploiement
Vous pouvez automatiser de bout en bout les dploiements des services de dploiement Windows.
Pour excuter ces tches, vous pouvez utiliser le composant logiciel enfichable des services de
dploiement Windows et Windows SIM.
Configuration de la transmission
La multidiffusion vous permet de dployer une image sur un grand nombre dordinateurs client sans
consommer une bande passante rseau excessive.
Envisagez dactiver les transmissions par multidiffusion si votre organisation :
Dispose de routeurs qui prennent en charge la propagation des multidiffusions ; cest--dire qui
prennent en charge le protocole IGMP (Internet Group Management Protocol).
Pour grer la transmission par multidiffusion, vous pouvez utiliser le composant logiciel enfichable des
services de dploiement Windows ou loutil de ligne de commande WDSutil.exe. Par exemple, pour crer
une transmission par multidiffusion avec diffusion automatique, utilisez la commande suivante :
WDSUTIL /New-MulticastTransmission /Image:<nom de limage> /FriendlyName:<nom convivial>
/ImageType:Install /ImageGroup:<nom du groupe dimages> /TransmissionType:AutoCast
1-19
Cette dmonstration montre comment administrer des images. Dans cette dmonstration, le processus
sera dcompos en quatre tapes, dcrites ci-dessous :
Procdure de dmonstration
Installer et configurer le rle des services de dploiement Windows
1.
2.
3.
Installez le rle serveur des services de dploiement Windows avec les deux services de rle.
4.
5.
Sur la page Emplacement du dossier dinstallation distance, acceptez les valeurs par dfaut.
Sur la page Paramtres initiaux du serveur PXE, slectionnez loption Rpondre tous
les ordinateurs clients (connus et inconnus).
2.
3.
Ajoutez une nouvelle image de dmarrage en utilisant les informations suivantes pour terminer
la procdure :
4.
a.
b.
c.
2.
Ajoutez un nouveau Groupe dimages avec le nom de groupe Windows Server 2012.
3.
Utilisez lAssistant Ajout dimages pour ajouter une nouvelle image dinstallation ce groupe.
Utilisez les informations suivantes pour terminer le processus :
4.
a.
b.
Sur la page Images disponibles, dsactivez toutes les cases cocher except
Windows Server 2012 SERVERSTANDARDCORE.
c.
d.
Limage de dmarrage par dfaut. Si vous configurez une image de dmarrage par dfaut,
linstallateur ne sera pas invit faire une slection.
Les crans de la console Services de dploiement Windows. Quand lordinateur client utilise le
protocole TFTP pour se connecter au serveur des services de dploiement Windows et slectionner
une image de dmarrage, linstallateur doit alors fournir les informations didentification et
slectionner une image du systme dexploitation installer. Vous pouvez crer un fichier de
rponses Unattend.xml pour automatiser cette phase.
Utilisez Windows SIM pour crer les deux types de fichiers de rponses, puis utilisez le composant logiciel
enfichable des services de dploiement Windows pour associer les fichiers de rponses la phase de
dploiement requise.
1-21
1.
Crez le fichier Unattend.xml dans Windows ADK avec des paramtres appropris aux services
de dploiement Windows.
2.
Copiez le fichier sur le serveur des services de dploiement Windows et collez-le dans un dossier
sous \RemoteInstall.
3.
4.
Affichez la bote de dialogue Proprits pour le serveur des services de dploiement Windows.
5.
Sur longlet Client, activez linstallation sans assistance, puis slectionnez le fichier de rponses que
vous avez cr plus tt.
Ce qui suit est un exemple partiel de fichier de rponses pour lautomatisation de la phase dinstallation
sans assistance client des services de dploiement Windows :
<WindowsDeploymentServices>
<Login>
<WillShowUI>OnError</WillShowUI>
<Credentials>
<Username>Installer</Username>
<Domain>Adatum.com</Domain>
<Password>Pa$$w0rd</Password>
</Credentials>
</Login>
<ImageSelection>
<WillShowUI>OnError</WillShowUI>
<InstallImage>
<ImageName>Windows Server 2021</ImageName>
<ImageGroup>Adatum Server Images</ImageGroup>
<Filename>Install.wim</Filename>
</InstallImage>
<InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
</InstallTo>
</ImageSelection>
</WindowsDeploymentServices>
Crez le fichier unattend.xml dans Windows ADK, avec des paramtres appropris linstallation
de Windows.
2.
Copiez le fichier un emplacement appropri sur le serveur des services de dploiement Windows.
3.
Dans la console Services de dploiement Windows, affichez les proprits de limage dinstallation
approprie.
4.
Activez loption Autoriser limage sinstaller en mode sans assistance, puis slectionnez le fichier
de rponses que vous avez cr plus tt.
Procdure de dmonstration
1.
2.
Crez une nouvelle transmission par multidiffusion en utilisant les informations suivantes :
o
1-23
A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour
soccuper du sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et
client Windows Server 2012.
A. Datum dploie des serveurs dans ses filiales dans lensemble de la zone pour le service Recherche. Vous
avez t charg daider automatiser ce dploiement. Vous suggrez dutiliser les services de
dploiement Windows pour dployer Windows Server 2012 dans les succursales. Des instructions relatives
au dploiement vous ont t envoyes par courrier lectronique. Vous devez lire ces instructions, puis
installer et configurer les services de dploiement Windows pour prendre en charge le dploiement.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Crer les images du systme dexploitation en utilisant les services de dploiement Windows.
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-SVR3
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd
Module 2
2-1
2-2
2-9
2-16
2-22
2-25
2-34
2-40
Le systme de nom de domaine (DNS, Domain Name System) est le service de nom de base dans
Windows Server 2022. Il fournit la rsolution de noms et permet aux clients DNS de localiser des services
rseau, tels que les contrleurs de domaine AD DS (Active Directory Domain Services), les serveurs de
catalogue global et les serveurs de messagerie. Si vous configurez mal votre infrastructure DNS ou que
celle-ci ne fonctionne pas correctement, ces services rseau importants seront inaccessibles vos serveurs
rseau et clients. Par consquent, il est essentiel que vous compreniez comment dployer, configurer,
grer et dpanner ce service critique.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
Leon 2
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
dcrire comment intgrer le systme DNS dans les services de domaine Active Directory ;
2-2
2-3
Comment le service DNS prend en charge les bases du schma de noms de domaine
Active Directory dune organisation
Le systme DNS est charg de rsoudre les ressources dans un domaine des services de domaine Active
Directory (AD DS). Le rle DNS est ncessaire linstallation des services de domaine Active Directory.
Le systme DNS fournit des informations aux clients de station de travail pour leur permettre de se
connecter au rseau. Il rsout les ressources du domaine, telles que les serveurs, les stations de travail,
les imprimantes et les dossiers partags. Si vous configurez un serveur DNS de manire incorrecte, cela
peut tre lorigine de nombreux problmes des services de domaine Active Directory.
Domaine racine
Un point (.) reprsente le domaine racine et ne
se saisit pas dans un navigateur Web. Le point (.)
est utilis par dfaut. La prochaine fois que vous
saisirez une adresse sur un ordinateur, essayez
dajouter le point la fin (par exemple,
www.microsoft.com.). Il existe 23 serveurs de
domaines racines universels.
Remarque : Lors dun dpannage du systme DNS, il est habituel dinclure le point final.
Le domaine de niveau suprieur (TLD) est le premier niveau de lespace de noms DNS. Les domaines TLD
sur Internet incluent, par exemple, Internet .com, .net, .org, .biz et .ca. Les domaines les plus reconnus
sont .com, .net, .org et .gov, qui sont ddis au gouvernement des tats-Unis. Les domaines associs
ce niveau sont plus nombreux et un domaine TLD est ddi chaque pays. Par exemple, celui du Canada
est .ca et celui du Royaume-Uni est .uk. Lorganisation qui rglemente les noms de domaine, appele
ICANN (Internet Corporation for Assigned Names and Numbers), ajoute de nouveaux domaines TLD
de temps en temps.
Le nom de domaine de second niveau correspond la partie du nom de domaine qui apparat avant le
domaine de niveau suprieur. Par exemple, microsoft dans le domaine www.microsoft.com correspond au
nom de domaine de second niveau. Les organisations qui enregistrent des noms de domaine de second
niveau les contrlent. Nimporte qui peut enregistrer un nom de domaine de second niveau au moyen
dun service denregistrement Internet. De nombreux domaines de second niveau sont rgis par des
rgles spciales qui stipulent quelles organisations ou personnes peuvent enregistrer un nom de domaine.
Par exemple, seules les associations but non lucratif peuvent utiliser .org.
Sous-domaine
2-4
Le sous-domaine est rpertori avant les domaines de second niveau et de niveau suprieur. Par exemple,
www dsigne un sous-domaine dans le nom de domaine www.microsoft.com. Les sous-domaines sont
dfinis dans le serveur DNS de lorganisation qui dtient le serveur DNS de second niveau.
Un nom de domaine complet (FQDN, fully qualified domain name) est le nom DNS explicite qui
comprend le nom de lordinateur et les sous-domaines du domaine racine. Par exemple, si lordinateur est
dsign en tant que Server2 dans le domaine sales.south.contoso.com, le nom de domaine complet de cet
ordinateur est server2.sales.south.contoso.com.
majuscules de A Z ;
minuscules de a z ;
chiffres de 0 9 ;
Pour dterminer un espace de noms DNS pour votre environnement AD DS, choisissez parmi les
scnarios suivants :
2-5
Rendre lespace de noms interne identique lespace de noms public. Dans ce scnario, les espaces
de noms internes et publics sont identiques, mais leurs enregistrements sont diffrents. Bien que ce
scnario soit simple, ce qui en fait un choix idal pour les petites organisations, il peut tre difficile
grer pour les rseaux plus grands.
Rendre lespace de noms interne diffrent de lespace de noms public. Dans ce scnario, les espaces
de noms internes et publics sont totalement diffrents. Ils nont aucun lien entre eux. Ce scnario
permet une sparation vidente dans lespace de noms. Dans les rseaux complexes comprenant de
nombreuses applications avec accs par Internet, lutilisation dun nom diffrent prsente de la clart
lors de la configuration de ces applications. Par exemple, les serveurs Edge qui sont placs sur un
rseau de primtre ont souvent besoin de plusieurs cartes dinterface rseau : une connecte au
rseau priv et une destine la maintenance des demandes provenant du rseau public. Si chaque
carte dinterface rseau a un nom de domaine diffrent, il est souvent plus facile de terminer la
configuration de ce serveur.
Faire de lespace de noms interne un sous-domaine de lespace de noms public. Dans ce scnario,
lespace de noms interne est li lespace de noms public, mais il ny a aucune superposition entre
eux. Ceci fournit une approche hybride. Le nom interne est diffrent, ce qui permet la sparation de
lespace de noms. Cependant, le nom interne est galement li au nom public, ce qui offre de la
simplicit. Cette approche est la plus simple implmenter et grer. Cependant, si vous ne pouvez
pas utiliser un sous-domaine de lespace de noms public pour les services de domaine Active
Directory, utilisez des espaces de noms uniques.
Remarque : Dans la plupart des situations, les ordinateurs inclus dans un domaine AD DS
ont un suffixe DNS principal qui correspond au nom de domaine DNS. Il est parfois ncessaire
que ces noms soient diffrents, par exemple, la suite dune fusion ou pendant une acquisition.
Quand les noms diffrent, lespace de noms est dit disjoint. Un scnario despace de noms
disjoint est un scnario dans lequel le suffixe DNS principal dun ordinateur ne correspond pas au
nom de domaine DNS o rside cet ordinateur. Lordinateur dont le suffixe DNS principal ne
correspond pas est dit disjoint. Un autre scnario despace de noms disjoint se produit si le nom
de domaine NetBIOS dun contrleur de domaine ne correspond pas au nom de domaine DNS.
2-6
Lutilisation des espaces de noms uniques pour les espaces de noms internes et publics fournit une
dfinition claire entre le systme DNS interne et externe, et supprimer la ncessit de synchroniser des
enregistrements entre les espaces de noms. Cependant, dans certains cas, avoir plusieurs espaces de noms
peut semer la confusion des utilisateurs. Par exemple, vous pouvez choisir lespace de noms externe de
Contoso.com et lespace de noms interne de Contoso.local. Notez que si vous implmentez une
configuration despace de noms unique, vous ntes plus tenu dutiliser des noms de domaine enregistrs.
Lutilisation dun sous-domaine de lespace de noms public pour les services de domaine Active Directory
supprime la ncessit de synchroniser des enregistrements entre les serveurs DNS internes et externes.
Puisque les espaces de noms sont lis, les utilisateurs trouvent en gnral cette structure facile
comprendre. Par exemple, si votre espace de noms public est Contoso.com, vous pouvez choisir
dimplmenter votre espace de noms interne comme sous-domaine Active Directory ou AD.Contoso.com.
Le fait que les espaces de noms DNS interne et externe correspondent peut poser certains problmes.
Cependant, la configuration DNS mixte peut rsoudre ces problmes. La configuration DNS mixte est
une configuration o votre domaine a deux zones de serveur racine qui contiennent les informations
denregistrement du nom de domaine. Vos htes de rseau interne sont dirigs vers une zone, alors que
les htes externes sont dirigs vers une autre pour la rsolution de noms. Par exemple, dans le cas dune
configuration DNS non mixte pour le domaine Contoso.com, vous pouvez avoir une zone DNS qui
ressemble lexemple prsent dans le tableau suivant.
Hte
Type denregistrement
Adresse IP
www
232.207.2.200
Relais
232.207.2.202
Webserver2
292.268.2.200
Exchange2
292.268.0.202
Quand un ordinateur client sur Internet souhaite accder au relais SMTP laide du nom publi de
relay.contoso.com, il interroge le serveur DNS qui renvoie le rsultat 232.207.2.202. Le client tablit alors
une connexion via SMTP cette adresse IP.
Cependant, les ordinateurs clients sur le rseau intranet de lentreprise utilisent galement le nom publi
de relay.contoso.com. Le serveur DNS renvoie le mme rsultat : une adresse IP publique correspondant
232.207.2.202. Le client tente prsent dtablir une connexion ladresse IP retourne laide de
linterface externe de lordinateur de publication. Selon la configuration du client, lopration peut aboutir
ou ne pas aboutir.
Pour viter ce problme, configurez deux zones pour le mme nom de domaine : une sur chacun des
deux serveurs DNS.
La zone interne pour adatum.com ressemblerait aux informations figurant dans le tableau suivant.
Hte
Type denregistrement
Adresse IP
www
CNAME
Webserver2.contoso.com
Relais
CNAME
Exchange2.contoso.com
Webserver2
292.268.2.200
Exchange2
292.268.0.202
La zone externe pour adatum.com ressemblerait aux informations figurant dans le tableau suivant.
Hte
Type denregistrement
Adresse IP
www
232.207.2.200
Relais
232.207.2.202
MX
Relay.contoso.com
Les ordinateurs clients dans les rseaux internes et externes peuvent dsormais rsoudre le nom
relay.contoso.com ladresse IP interne ou externe approprie.
Procdure de dmonstration
1.
2.
2-7
Combien de clients DNS communiqueront avec le serveur sur lequel vous configurez le rle DNS ?
Plus les rsolveurs clients sont nombreux, plus la charge place sur le serveur est importante. Quand
vous anticipez la charge supplmentaire, pensez dployer des serveurs DNS supplmentaires.
O allez-vous placer les serveurs DNS ? Allez-vous, par exemple, centraliser les serveurs DNS dans un
mme endroit ou est-il prfrable de les placer dans des succursales ? Sil y a peu de clients dans une
succursale, vous pouvez satisfaire la plupart des requtes DNS laide dun serveur DNS central ou en
implmentant un serveur rserv la mise en cache. Un grand nombre dutilisateurs dans une
succursale peuvent bnficier dun serveur DNS local avec des donnes de la zone appropries.
Vos rponses aux questions prcdentes dtermineront le nombre de serveurs DNS que vous devez
dployer et leur emplacement.
Description
2-8
Fichier texte
Le rle de serveur DNS stocke les entres DNS dans un fichier texte que vous
pouvez modifier laide dun diteur de texte.
Active Directory
Le rle de serveur DNS enregistre les entres DNS dans la base de donnes
Active Directory, qui les rplique dautres contrleurs de domaine, mme
sils nexcutent pas le rle DNS de Windows Server 2008. Vous ne pouvez
pas utiliser un diteur de texte pour modifier les donnes DNS que stocke
Active Directory.
Les zones intgres Active Directory sont plus faciles grer que les zones traditionnelles de type texte
et elles sont plus scurises. La rplication des donnes de zone a lieu dans le cadre de la rplication
Active Directory.
Comment les ordinateurs clients rsoudront-ils des noms si leur serveur DNS habituel nest plus
disponible ?
Quelle sera lincidence sur le trafic rseau si les ordinateurs clients commencent utiliser un autre
serveur DNS, peut-tre situ distance ?
Comment comptez-vous implmenter des transferts de zone ? Les zones intgres Active Directory
utilisent la rplication Active Directory pour transfrer la zone vers tous les autres contrleurs de
domaine. Si vous implmentez des zones non intgres Active Directory, vous devez organiser
vous-mme le mcanisme de transfert de zone.
Leon 2
2-9
Linfrastructure DNS sert de base la rsolution de noms sur Internet et dans des domaines AD DS selon
Windows Server 2022. Cette leon fournit des conseils et des informations au sujet des conditions requises
pour configurer le rle de serveur DNS et explique les fonctions de base dun serveur DNS.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Serveurs DNS
Un serveur DNS rpond aux requtes DNS
rcursives et itratives. Les serveurs DNS peuvent
galement hberger une ou plusieurs zones dun
domaine particulier. Les zones contiennent
diffrents enregistrements de ressource. Les
serveurs DNS peuvent galement mettre en
cache des recherches afin de gagner du temps
pour les requtes communes.
Les serveurs DNS sur Internet sont accessibles au public. Ils hbergent des informations de zones
publiques et le serveur racine, ainsi que dautres domaines de niveau suprieur courants tels que .com,
.net et .edu.
Remarque : Ne confondez pas ces serveurs avec les serveurs DNS de votre organisation
qui hbergent votre espace de noms public. Ceux-ci sont situs physiquement sur votre rseau
de primtre.
Rsolutions DNS
Le rsolveur DNS gnre et envoie des requtes itratives ou rcursives au serveur DNS. Un rsolveur DNS
peut tre tout ordinateur excutant une recherche DNS qui requiert une interaction avec le serveur DNS.
Les serveurs DNS peuvent galement publier des demandes DNS sur dautres serveurs DNS.
Une requte faisant autorit est une requte pour laquelle le serveur peut renvoyer une rponse quil
juge correcte parce que la demande est adresse au serveur faisant autorit qui gre le domaine.
Un serveur DNS qui contient dans son cache le domaine demand rpond une requte ne faisant
pas autorit en utilisant des redirecteurs ou des indications de racine. Toutefois, la rponse fournie
risque de ne pas tre exacte parce que seul le serveur DNS faisant autorit pour le domaine donn
peut publier cette information.
Si le serveur DNS fait autorit pour lespace de noms de la requte, il vrifie la zone, puis ragit de lune
des manires suivantes :
Il renvoie une rponse de type Non, ce nom nexiste pas faisant autorit.
Remarque : Une rponse faisant autorit peut tre donne uniquement par le serveur
faisant autorit directe pour le nom demand.
Sil ne fait pas autorit pour lespace de noms de la requte, le serveur DNS local ragit de lune des
manires suivantes :
Il transmet la requte quil ne sait pas rsoudre un serveur spcifique appel redirecteur.
Il utilise les adresses connues de plusieurs serveurs racines pour rechercher un serveur DNS faisant
autorit afin de rsoudre la requte. Ce processus utilise des indications de racine.
Requtes rcursives
Une requte rcursive peut avoir deux rsultats possibles :
2-11
Pour des raisons de scurit, il est parfois ncessaire de dsactiver les requtes rcursives sur un serveur
DNS. Ceci empche le serveur DNS en question de transfrer ses requtes DNS un autre serveur.
Cette dsactivation peut savrer utile lorsque vous ne souhaitez pas quun serveur DNS particulier
communique lextrieur de son rseau local.
Requtes itratives
Les requtes itratives fournissent un mcanisme daccs aux informations de noms de domaine qui se
trouvent dans tout le systme DNS et permettent aux serveurs de rsoudre rapidement et efficacement
des noms sur de nombreux serveurs.
Lorsquun serveur DNS reoit une demande laquelle il ne peut pas rpondre en utilisant ses
informations locales ou ses recherches mises en cache, il fait la mme demande un autre serveur DNS
en utilisant une requte itrative.
Lorsquun serveur DNS reoit une requte itrative, il peut rpondre soit en indiquant ladresse IP du nom
de domaine (sil la connat), soit en adressant la demande aux serveurs DNS responsables du domaine sur
lequel porte la requte.
Les enregistrements de ressources peuvent galement contenir des attributs personnaliss. Les
enregistrements MX, par exemple, comportent un attribut de prfrence, qui savre utile si une
organisation possde plusieurs serveurs de messagerie. En effet, cet attribut indique au serveur denvoi le
serveur de messagerie que lorganisation rceptrice prfre. Les enregistrements du localisateur de service
(SRV) contiennent galement des informations sur le port que le service coute et le protocole que vous
devez suivre pour communiquer avec le service.
Description
Enregistrement de ressource
dadresse dhte (A)
Enregistrement de ressource MX
Enregistrement de ressource de
serveur de noms (NS)
AAAA
Enregistrement de ressource
pointeur (PTR)
2-13
Lorsquun serveur DNS communique avec un serveur dindications de racine, il utilise uniquement une
requte itrative. Si vous slectionnez loption Ne pas utiliser la rcursivit pour ce domaine, le serveur
ne sera pas en mesure dexcuter des requtes sur les indications de racine. Si vous configurez le serveur
pour utiliser un redirecteur, il essaiera denvoyer une requte rcursive son serveur de redirection. Si le
serveur de redirection ne rpond pas cette requte, le serveur rpondra que lhte est introuvable.
Il est important de comprendre que la rcursivit sur un serveur DNS et les requtes rcursives sont deux
choses diffrentes. La rcursivit sur un serveur signifie que le serveur utilise ses indications de racine pour
essayer de rsoudre une requte DNS. La rubrique suivante dcrit les requtes itratives et rcursives de
manire plus approfondie.
Le serveur qui transfre les demandes sur le rseau doit tre capable de communiquer avec le serveur
DNS situ sur Internet. Cela signifie que soit vous le configurez afin de transfrer les demandes un autre
serveur DNS, soit il utilise des indications de racine pour communiquer.
Mthode conseille
Utilisez un serveur DNS de redirection central pour la rsolution de noms Internet. Il permet damliorer
les performances, de simplifier la rsolution des problmes et constitue une mthode conseille pour
assurer la scurit. Vous pouvez isoler le serveur DNS de redirection dans un rseau de primtre, lequel
garantit quaucun serveur au sein du rseau ne communique directement avec Internet.
Redirection conditionnelle
Un redirecteur conditionnel est un paramtre de configuration du serveur DNS qui redirige des requtes
DNS en fonction du nom du domaine DNS contenu dans les requtes. Par exemple, vous pouvez
configurer un serveur DNS afin quil transfre toutes les requtes quil reoit concernant des noms se
terminant par corp.contoso.com ladresse IP dun serveur DNS spcifique ou aux adresses IP de plusieurs
serveurs DNS. Ce transfert peut savrer utile lorsque vous avez plusieurs espaces de noms DNS dans une
fort.
Utilisez des redirecteurs conditionnels si vous avez plusieurs espaces de noms internes. Ainsi, la rsolution
de noms est plus rapide.
Procdure de dmonstration
Configurer les proprits du serveur DNS
1.
2.
3.
b.
Dans longlet Avanc, vous pouvez configurer des options comme scuriser le cache contre la
pollution et DNSSEC.
c.
Dans longlet Indications de racine, vous pouvez voir la configuration des serveurs dindications
de racine.
d.
e.
f.
Dans longlet Analyse, vous pouvez raliser des essais simples et rcursifs par rapport au serveur.
g.
Dans longlet Scurit, vous pouvez dfinir des autorisations sur linfrastructure DNS.
Dans la bote de dialogue Nouveau redirecteur conditionnel, dans la zone Domaine DNS,
saisissez contoso.com.
b.
Cliquez sur la zone <Cliquez ici pour ajouter un adresse IP ou un nom DNS>. Saisissez
232.207.2.2, puis appuyez sur Entre. La validation chouera puisquil sagit simplement dun
exemple de configuration.
2-15
a.
Dans le volet de navigation, cliquez avec le bouton droit sur LON-DC2, puis cliquez sur Effacer
le cache.
Leon 3
Les zones DNS constituent un important concept dans linfrastructure DNS, car elles vous permettent de
sparer et de grer les domaines DNS de manire logique. Cette leon fournit des informations de base
permettant de comprendre les relations entre les zones et les domaines DNS ainsi que des informations
sur les diffrents types de zones DNS disponibles dans le rle DNS de Windows Server 2022.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
expliquer les diffrents types de zone DNS disponibles dans Windows Server 2022 ;
2-17
Un serveur DNS fait autorit pour une zone sil hberge les enregistrements de ressources correspondant
aux noms et aux adresses que les clients demandent dans le fichier de zone.
Principale
Secondaire
Stub
Zone principale
Zone secondaire
Lorsquune zone hberge par un serveur DNS est une zone secondaire, le serveur DNS est une source
secondaire pour les informations de cette zone. La zone au niveau de ce serveur doit tre obtenue partir
dun autre serveur DNS distant qui lhberge galement. Ce serveur DNS doit avoir un accs rseau au
serveur DNS distant pour recevoir les informations mises jour de la zone. tant donn quune zone
secondaire est une copie dune zone principale quun autre serveur hberge, elle ne peut pas tre stocke
dans AD DS. Les zones secondaires peuvent tre utiles si vous rpliquez des donnes partir des zones
DNS qui ne sont pas sur Windows ou si vous excutez le systme DNS sur les serveurs qui ne sont pas des
contrleurs de domaine AD DS.
Zone de stub
Windows Server 2003 a introduit les zones de stub, qui permettent de rsoudre plusieurs problmes lis
aux grands espaces de noms DNS et aux forts multi-arborescentes. Une fort multi-arborescente est une
fort Active Directory qui contient deux noms de domaine de niveau suprieur diffrents.
Si Active Directory stocke la zone, le serveur DNS peut tirer parti du modle de rplication multimatre
pour rpliquer la zone principale. Cela vous permet de modifier des donnes de zone sur tout serveur
DNS. Windows Server 2008 a introduit un nouveau concept appel contrleur de domaine en lecture
seule (RODC, read-only domain controller). Les donnes dune zone intgre Active Directory peuvent
tre rpliques sur des contrleurs de domaine, mme si le rle DNS nest pas install sur le contrleur
de domaine. Si le serveur est un contrleur de domaine en lecture seule, un processus local ne peut pas
crire dans les donnes.
Une zone inverse fonctionne de la mme manire quune zone directe, mais ladresse IP est la partie de
la requte et le nom dhte correspond aux informations renvoyes. Les zones inverses ne sont pas
toujours configures, mais vous devez les configurer pour rduire le nombre de messages davertissement
et derreur. De nombreux protocoles Internet standard se fient aux donnes de recherche des zones
inverses pour valider les informations des zones directes. Par exemple, si la recherche directe indique
que training.contoso.com est rsolu en 292.268.2.45, vous pouvez utiliser une recherche inverse pour
confirmer que 292.268.2.45 est associ training.contoso.com.
Il est important davoir une zone inverse si vous possdez des applications recherchent des htes par
leurs adresses IP. De nombreuses applications consignent ces informations dans des journaux de scurit
ou des vnements. Si vous observez une activit suspecte partir dune adresse IP particulire, vous
pouvez rsoudre lhte laide des informations de la zone inverse.
De nombreuses passerelles de scurit de messagerie lectronique utilisent des recherches inverses pour
confirmer quune adresse IP qui envoie des messages est associe un domaine.
2-19
ladresse IP dun ou de plusieurs serveurs matres que vous pouvez utiliser pour mettre jour la zone
de stub.
Les serveurs matres dune zone de stub correspondent un ou plusieurs serveurs DNS faisant autorit
pour la zone enfant, gnralement le serveur DNS hbergeant la zone principale pour le nom de
domaine dlgu.
Lorsquun rsolveur DNS effectue une opration de requte rcursive sur un serveur DNS hbergeant une
zone de stub, ce serveur utilise les enregistrements de ressources de la zone de stub pour rsoudre la
requte. Le serveur DNS envoie une requte itrative aux serveurs DNS faisant autorit que spcifient
les enregistrements de ressources NS de la zone de stub, comme sil utilisait les enregistrements de
ressources NS de sa mmoire cache. Sil ne trouve pas les serveurs DNS faisant autorit dans sa zone de
stub, le serveur DNS qui hberge la zone de stub essaie la rcursivit standard laide dindications
de racine.
Le serveur DNS stockera les enregistrements de ressources quil reoit des serveurs DNS faisant autorit
quune zone de stub rpertorie dans son cache, mais il ne stockera pas les enregistrements de ressources
dans la zone de stub elle-mme. Seuls les enregistrements SOA, NS et A envoys en rponse la requte
sont stocks dans la zone de stub. Les enregistrements de ressources stocks dans le cache sont conservs
conformment la dure de vie (TTL) indique dans chaque enregistrement de ressource. Les
enregistrements de ressources SOA, NS et A, qui ne sont pas crits dans le cache, expirent conformment
lintervalle dexpiration que lenregistrement SOA de la zone de stub spcifie. Pendant la cration de la
zone de stub, lenregistrement SOA est cr. Les mises jour des enregistrements SOA se produisent
pendant les transferts de la zone principale dorigine la zone de stub.
Si la requte est itrative, le serveur DNS renvoie une rfrence contenant les serveurs spcifis par la
zone de stub.
Communication entre des serveurs DNS qui hbergent des zones parents et enfants
Un serveur DNS qui dlgue un domaine une zone enfant sur un serveur DNS diffrent est inform des
nouveaux serveurs DNS faisant autorit pour la zone enfant uniquement lorsque les enregistrements de
ressources qui les concernent sont ajouts la zone parent que le serveur DNS hberge. Il sagit dun
processus manuel qui requiert que les administrateurs des diffrents serveurs DNS communiquent souvent.
Les zones de stub permettent un serveur DNS qui hberge une zone de stub pour lun de ses domaines
dlgus dobtenir des mises jour des serveurs DNS faisant autorit pour la zone enfant lorsque la zone
de stub est mise jour. La mise jour est effectue depuis le serveur DNS qui hberge la zone de stub et
ladministrateur du serveur DNS qui hberge la zone enfant na pas besoin dtre contact.
Un paramtre de redirecteur conditionnel configure le serveur DNS afin quil transfre une requte
quil reoit un serveur DNS, en fonction du nom DNS contenu dans la requte.
Une zone de stub maintient le serveur DNS qui hberge une zone parent inform de tous les serveurs
DNS faisant autorit sur une zone enfant.
Si vous souhaitez que les clients DNS de rseaux distincts rsolvent leurs noms respectifs sans avoir
interroger les serveurs DNS sur Internet, notamment dans le cas dune fusion dentreprises, vous devez
configurer les serveurs DNS de chaque rseau pour quils redirigent les requtes de noms de lautre
rseau. Les serveurs DNS dun rseau redirigent les noms des clients de lautre rseau vers un serveur DNS
spcifique qui cre un cache volumineux contenant les informations relatives lautre rseau. Cela vous
permet de crer un point de contact direct entre les serveurs DNS des deux rseaux, ce qui rduit le
besoin de rcursivit.
Toutefois, les zones de stub napportent pas le mme avantage de serveur serveur. La raison est quun
serveur DNS hbergeant une zone de stub dans un rseau rpond aux requtes de noms de lautre rseau
par la liste de tous les serveurs DNS qui font autorit sur la zone contenant ce nom, plutt que les
serveurs DNS spcifiques que vous avez dsigns pour traiter ce trafic. Cette configuration complique
tous les paramtres de scurit que vous voulez tablir entre les serveurs DNS spcifiques qui sexcutent
dans chacun des rseaux.
Utilisez les zones de stub quand vous souhaitez quun serveur DNS reste inform des serveurs DNS faisant
autorit pour une zone trangre.
Un redirecteur conditionnel ne constitue pas une mthode efficace pour maintenir un serveur DNS
hbergeant une zone parente inform des serveurs DNS faisant autorit sur une zone enfant. En effet,
ds que les serveurs DNS faisant autorit pour la zone enfant changent, vous devez configurer le
paramtre du redirecteur conditionnel manuellement sur le serveur DNS qui hberge la zone parente.
Plus prcisment, vous devez mettre ladresse IP jour pour chaque nouveau serveur DNS faisant autorit
pour la zone enfant.
Procdure de dmonstration
Crer une zone de recherche inverse
1.
Basculez vers LON-DC2, puis crez une nouvelle zone de recherche inverse pour
le sous-rseau IPv4 272.26.0.0.
2.
5.
3.
Configurez le type comme secondaire, puis dfinissez LON-DC2 en tant que serveur Matre
pour cette zone.
Vous devez diviser une grande zone en zones plus petites afin de distribuer les charges de trafic
entre plusieurs serveurs. Cela amliore les performances de rsolution de nom DNS et cre un
environnement DNS qui tolre mieux les pannes.
2-21
Leon 4
Les transferts de zone DNS dterminent la manire dont linfrastructure DNS dplace les informations de
zone DNS dun serveur vers un autre. Sans transferts de zone, les diffrents serveurs de noms dans votre
organisation grent des copies disparates des donnes de la zone. Vous devez galement considrer que
la zone contient des donnes sensibles et la protection des transferts de zone est importante. Cette leon
dcrit les diffrentes mthodes que le rle de serveur DNS utilise lors du transfert de zones.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Transfert de zone intgral. Un transfert de zone complet se produit lorsque vous copiez la zone
entire dun serveur DNS vers un autre. Un transfert de zone complet est appel AXFR
(All Zone Transfer).
Transfert de zone incrmentiel. Un transfert de zone incrmentiel se produit lorsquune mise jour du
serveur DNS est effectue et que seuls les enregistrements de ressources modifis sont rpliqus sur
lautre serveur. Il sagit dun transfert de zone incrmentiel (IXFR, Incremental Zone Transfer).
Transfert rapide. Les serveurs DNS Windows effectuent galement des transferts rapides, qui
correspondent un type de transfert de zone qui utilise la compression et envoie plusieurs
enregistrements de ressources dans chaque transmission.
Toutes les implmentations de serveurs DNS ne prennent pas en charge les transferts de zone
incrmentiels et rapides. Lors de lintgration dun serveur DNS Windows 2022 avec un serveur DNS BIND
(Berkeley Internet Name Domain), vous devez vrifier que les fonctionnalits dont vous avez besoin sont
prises en charge par la version BIND installe.
Le tableau suivant rpertorie les fonctionnalits que les diffrents serveurs DNS prennent en charge.
Serveur DNS
Transfert de zone
complet (AXFR)
Transfert de zone
incrmentiel (IXFR)
Transfert rapide
2-23
Pris en charge
Pris en charge
Pris en charge
BIND 8.2
Pris en charge
Pris en charge
Pris en charge
Pris en charge
Pris en charge
Pris en charge
Pris en charge
Pris en charge
Pris en charge
Windows 2008 et R2
Pris en charge
Pris en charge
Pris en charge
Windows 2022
Pris en charge
Pris en charge
Pris en charge
Les zones intgres Active Directory rpliquent les informations laide de la rplication des services de
domaine Active Directory multimatres au lieu du processus de transfert de zone. Cela signifie que tout
contrleur de domaine standard qui dtient galement le rle DNS peut mettre jour les informations de
zone DNS, qui se rpliquent ensuite sur tous les serveurs DNS qui hbergent la zone DNS.
DNS Notify
DNS Notify est utilis par un serveur matre pour avertir ses serveurs secondaires configurs que des mises
jour de zone sont disponibles. Les serveurs secondaires interrogent alors leur matre pour obtenir les
mises jour. DNS Notify est une mise jour de la spcification dorigine du protocole DNS qui permet
dinformer les serveurs secondaires lorsquune zone est modifie. Cette mise jour savre utile dans un
environnement o le temps est crucial et o lexactitude des donnes est importante.
Bien que loption spcifiant les serveurs autoriss demander des donnes de zone garantisse leur
scurit en limitant les destinataires de ces donnes, elle ne scurise pas ces donnes pendant leur
transmission. Si les informations de zone sont hautement confidentielles, nous vous recommandons
dutiliser une stratgie de scurit du protocole Internet (IPsec, Internet Protocol Security) pour
scuriser la transmission ou de rpliquer les donnes de zone sur un tunnel de rseau priv virtuel (VPN,
Virtual Private Network). Ainsi, vous empchez les dtecteurs de paquet didentifier des informations
contenues dans la transmission des donnes.
Lutilisation de zones intgres Active Directory permet de rpliquer les donnes de zone dans le cadre
de rplications AD DS normales. Le transfert de zone est alors scuris lors de la rplication des services
de domaine Active Directory.
mettre la zone principale jour et vrifier ensuite les modifications sur la zone secondaire.
Procdure de dmonstration
Activer les transferts de zone DNS
1.
Sur LON-DC2, activez les transferts de zone en configurant loption Autoriser les transferts de zone.
2.
Configurez les transferts de zone Uniquement vers les serveurs lists dans longlet Serveurs
de noms.
3.
Configurez la notification sur Uniquement vers les serveurs lists dans longlet Serveurs de noms.
4.
Ajoutez LON-SVR2.adatum.com en tant que serveur de noms rpertori pour recevoir des transferts.
Basculez vers LON-SVR2 et dans le Gestionnaire DNS, slectionnez Transfert partir du matre. Il
est parfois ncessaire deffectuer cette tape un certain nombre de fois avant les transferts de zone.
Notez galement que le transfert peut se produire automatiquement tout moment.
2.
Revenez LON-SVR2, puis vrifiez que le nouvel enregistrement est prsent dans la zone secondaire.
Cela peut ncessiter un Transfert partir du matre manuel et une actualisation de lcran avant
que lenregistrement soit visible.
Leon 5
2-25
Le service DNS est crucial dans linfrastructure Active Directory. Lorsque le service DNS rencontre des
problmes, il est important de savoir comment les rsoudre et de savoir identifier les problmes courants
pouvant se produire dans une infrastructure DNS. Cette leon dcrit les problmes courants qui se
produisent dans le service DNS, les sources dinformations DNS courantes et les outils que vous pouvez
utiliser pour rsoudre les problmes.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
expliquer comment grer la dure de vie, le vieillissement et le nettoyage des enregistrements DNS ;
expliquer comment identifier des problmes lis DNS laide des outils DNS ;
expliquer comment analyser le systme DNS laide du journal des vnements DNS et de
lenregistrement de dbogage.
Outil
Description
TTL
Vieillissement
Se produit lorsque les enregistrements insrs dans le serveur DNS atteignent leur
date dexpiration et sont supprims. Le vieillissement permet de maintenir lexactitude
de la base de donnes de zone. Dans le cadre dun fonctionnement normal, le
vieillissement doit grer les enregistrements de ressources DNS obsoltes.
Nettoyage
Si elle nest pas gre, la prsence denregistrements de ressources obsoltes dans les donnes de zone
peut engendrer des problmes. Par exemple :
Si un grand nombre denregistrements de ressources obsoltes restent dans les zones du serveur,
ils peuvent finir par occuper lespace disque du serveur et provoquer des transferts de zone
inutilement longs.
Un serveur DNS qui charge les zones avec des enregistrements de ressources obsoltes risque
dutiliser des informations obsoltes pour rpondre aux requtes des clients, ce qui risque damener
les ordinateurs clients rencontrer des problmes de rsolution de noms ou de connectivit sur
le rseau.
Dans certains cas, la prsence dun enregistrement de ressource obsolte dans une zone peut
empcher un autre ordinateur ou priphrique dhte dutiliser un nom de domaine DNS.
Pour rsoudre ces problmes, le service de serveur DNS comporte les fonctionnalits suivantes :
Horodatage, selon la date et lheure du jour dfinies sur le serveur, pour tous les enregistrements
de ressources ajouts dynamiquement aux zones de type principal. En outre, les horodatages sont
enregistrs dans les zones principales standard pour lesquelles vous activez le vieillissement et le
nettoyage.
Pour les enregistrements de ressources que vous ajoutez manuellement, vous utilisez une valeur
dhorodatage gale zro pour indiquer que le processus de vieillissement naffecte pas ces
enregistrements et quils peuvent rester dfinitivement dans les donnes de zone, sauf si vous
modifiez leur horodatage ou si vous les supprimez.
Vieillissement des enregistrements de ressources dans les donnes locales, en fonction dune priode
dactualisation spcifie, pour toutes zones ligibles.
Seules les zones de type principal que le service de serveur DNS charge peuvent participer
ce processus.
Lorsquun serveur DNS excute une opration de nettoyage, il peut dterminer que les enregistrements
de ressources ont vieilli au point dtre devenus obsoltes et les supprimer ensuite des donnes de zone.
Vous pouvez configurer des serveurs afin quils excutent automatiquement des oprations de nettoyage
rcurrentes, ou vous pouvez initialiser une opration de nettoyage immdiate au niveau du serveur.
Remarque : Par dfaut, le mcanisme de vieillissement et de nettoyage du service de
serveur DNS est dsactiv. Vous devez lactiver uniquement lorsque vous comprenez entirement
tous les paramtres. Sinon, vous risquez de configurer le serveur afin quil supprime
accidentellement des enregistrements qui ne devraient pas tre supprims. Si un enregistrement
est supprim accidentellement, non seulement les utilisateurs ne pourront pas rsoudre les
requtes le concernant, mais ils pourront crer cet enregistrement et en devenir propritaire,
mme sur les zones que vous configurez des fins de mise jour dynamique scurise. Cela
prsente un risque important pour la scurit.
Le serveur utilise le contenu de chaque horodatage propre aux enregistrements de ressources, ainsi que
dautres proprits de vieillissement et de nettoyage que vous pouvez ajuster ou configurer, pour
dterminer le moment auquel il nettoie les enregistrements.
2-27
Avant de pouvoir utiliser les fonctionnalits de vieillissement et de nettoyage du systme DNS, plusieurs
conditions doivent tre remplies :
Vous devez activer les fonctionnalits de nettoyage et de vieillissement sur le serveur DNS et la zone.
Par dfaut, le vieillissement et le nettoyage des enregistrements de ressources est dsactiv.
Vous devez ajouter des enregistrements de ressources dynamiquement ou les modifier manuellement
afin de les utiliser dans des oprations de vieillissement et de nettoyage.
En gnral, seuls les enregistrements de ressources que vous ajoutez dynamiquement laide du
protocole de mise jour dynamique DNS peuvent faire lobjet dun vieillissement et dun nettoyage.
Pour les enregistrements que vous ajoutez aux zones en chargeant un fichier de zone de type texte depuis
un autre serveur DNS ou en les ajoutant manuellement une zone, un horodatage gal zro est dfini.
Cet horodatage rend ces enregistrements inligibles une utilisation dans des oprations de vieillissement
et de nettoyage.
Pour modifier cette valeur par dfaut, vous pouvez administrer individuellement ces enregistrements, les
rinitialiser et les autoriser utiliser une valeur dhorodatage actuelle (diffrente de zro). Celle-ci permet
ces enregistrements de vieillir et dtre nettoys.
Procdure de dmonstration
Configurer la dure de vie
1.
2.
Dans longlet Source de noms, configurez la valeur Dure de vie minimale (par dfaut) 2 heures.
Cliquez avec le bouton droit sur LON-DC2, puis slectionnez loption Vieillissement de
serveur/Proprits de nettoyage pour configurer les options de vieillissement et de nettoyage.
2.
Activez Nettoyer les enregistrements de ressources obsoltes, puis utilisez les valeurs par dfaut.
Des problmes peuvent se produire lorsque vous ne configurez pas le serveur DNS, ainsi que ses zones et
ses enregistrements de ressources, correctement. Lorsque des enregistrements de ressources provoquent
des problmes, il peut savrer parfois plus difficile didentifier le vrai problme parce que les problmes
de configuration ne sont pas toujours vidents.
Le tableau suivant rpertorie les problmes de configuration susceptibles de provoquer des problmes de
serveur DNS.
Problme
Result
Enregistrements manquants
Enregistrements incomplets
Les outils utiliss pour rsoudre ces problmes et dautres problmes de configuration sont les suivants :
Nslookup. Utilisez cet outil pour interroger des informations DNS. Il sagit dun outil flexible, capable
de fournir des informations prcieuses propos de ltat du serveur DNS. Vous pouvez galement
lutiliser pour rechercher des enregistrements de ressources et valider leur configuration. Vous
pouvez, en outre, tester des transferts de zone, des options de scurit et la rsolution des
enregistrements MX.
Windows PowerShell. Vous pouvez utiliser les applets de commande Windows PowerShell pour
configurer et dpanner diffrents aspects du systme DNS.
Dnscmd. Grez le service de serveur DNS laide de cette interface de ligne de commande. Cet
utilitaire permet de crer des scripts dans des fichiers de commandes dans le but dautomatiser des
tches de gestion DNS de routine ou de procder un simple travail dinstallation et de configuration
sans assistance de nouveaux serveurs DNS sur votre rseau.
2-29
IPconfig. Utilisez cette commande pour afficher et modifier les dtails de la configuration IP que
lordinateur utilise. Cet utilitaire inclut des options de ligne de commande supplmentaires que vous
pouvez utiliser pour dpanner les clients DNS et les prendre en charge. Vous pouvez consulter le
cache DNS local dun client laide de la commande ipconfig /displaydns et vous pouvez effacer le
cache local laide de la commande ipconfig /flushdns.
Remarque : Vous pouvez galement utiliser les applets de commande Windows PowerShell
suivants :
Onglet Analyse sur le serveur DNS. Sous longlet Analyse du serveur DNS, vous pouvez configurer un test
qui permet au serveur DNS de dterminer sil peut rsoudre des requtes locales simples et excuter
une requte rcursive dans le but de vrifier que le serveur peut communiquer avec des serveurs en
amont. Vous pouvez galement planifier ces tests pour quils sexcutent de manire rgulire.
Ce sont des tests de base, mais ils constituent un bon point de dpart pour dpanner le service DNS.
Les causes possibles de lchec dun test incluent les suivantes :
o
Cette dmonstration montre comment utiliser Nslookup.exe pour tester la configuration du serveur DNS.
Procdure de dmonstration
1.
2.
Description
408
Le serveur DNS na pas pu ouvrir le socket pour ladresse [IPaddress]. Vrifiez quil
sagit dune adresse IP valide pour le serveur.
Pour corriger le problme, vous pouvez effectuer les oprations suivantes :
1.
2.
Si ladresse IP spcifie nest plus valide et quelle tait la seule adresse active
que le serveur DNS pouvait utiliser, le serveur risque de ne pas avoir dmarr
en raison de cette erreur de configuration. Pour corriger ce problme,
supprimez la valeur suivante du Registre et redmarrez le serveur DNS :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Paramet
ers\ListenAddress
3.
423
Le serveur DNS envoie des demandes dautres serveurs DNS sur un port autre
que son port par dfaut (port TCP 53).
Cela risque dempcher les rponses aux requtes renvoyes par ces serveurs
dtre reues sur le port DNS que le serveur est configur pour utiliser. Pour
viter ce problme, le serveur DNS envoie des requtes dautres serveurs DNS
laide dun port non-DNS arbitraire, puis la rponse est reue indpendamment
de ladresse IP utilise.
Si vous souhaitez que le serveur DNS utilise uniquement son port DNS configur
pour envoyer des requtes dautres serveurs DNS, utilisez la console DNS pour
effectuer lune des modifications suivantes dans la configuration des proprits
du serveur sous longlet Interfaces :
o
(suite)
ID dvnement
Description
2-31
424
708
3250
Le serveur DNS a crit une nouvelle version de la zone [zonename] dans le fichier
[filename]. Vous pouvez consulter le nouveau numro de version en cliquant sur
longlet Donnes denregistrement.
Cet vnement doit apparatre uniquement si vous configurez le serveur DNS en
tant que serveur racine.
6527
2.
Rception. Le fichier journal enregistre les paquets que le serveur DNS reoit.
Requte standard. Indique que des paquets contenant des requtes standard, conformment au
document RFC (Request for Comments) 2034, sont enregistrs dans le fichier journal du serveur DNS.
Mises jour. Indique que des paquets contenant des requtes dynamiques, conformment au
document RFC 2236, sont enregistrs dans le fichier journal du serveur DNS.
Notifications. Indique que des paquets contenant des notifications, conformment au document
RFC 2996, sont enregistrs dans le fichier journal du serveur DNS.
UDP. Indique que des paquets envoys et reus via le protocole de datagramme utilisateur (UDP,
User Datagram Protocol) sont enregistrs dans le fichier journal du serveur DNS
TCP. Indique que des paquets envoys et reus via le protocole TCP sont enregistrs dans le
fichier journal du serveur DNS
Requte. Enregistre des informations sur les paquets de demande dans le fichier journal du
serveur DNS. Un paquet de requte est caractris par un bit de requte/rponse (QR) dfini
zro dans len-tte du message DNS.
Un bit QR est un champ un bit qui spcifie si ce message est une requte (0) ou une rponse.
Rponse. Enregistre des informations sur les paquets de rponse dans le fichier journal du
serveur DNS. Un paquet de rponse est caractris par un bit QR dfini 2 dans len-tte
du message DNS.
2-33
Filtrer les paquets par adresse IP. Cette option fournit dautres options de filtrage des paquets
enregistrs dans le fichier journal du serveur DNS. Cette option permet denregistrer dans le journal
des informations sur les paquets envoys partir dadresses IP spcifiques vers un serveur DNS ou
inversement.
Taille maximale (octets). Cette option vous permet de dfinir la taille de fichier maximale du fichier
journal du serveur DNS. Lorsque le fichier journal du serveur DNS atteint sa taille maximale spcifie,
le serveur DNS remplace les informations des paquets les plus anciens par les nouvelles informations.
Si vous ne spcifiez pas de taille de fichier journal maximale, le fichier journal du serveur DNS peut
occuper une grande quantit despace disque.
Par dfaut, toutes les options denregistrement de dbogage sont dsactives. Lorsque vous les activez de
manire slective, le service de serveur DNS peut excuter un enregistrement supplmentaire au niveau
du suivi des types slectionns dvnements ou de messages pour le dpannage gnral et le dbogage
du serveur.
Lenregistrement de dbogage DNS peut utiliser les ressources de manire intense, ce qui risque de nuire
aux performances gnrales du serveur et consomme de lespace disque. Par consquent, vous devez
lutiliser uniquement de manire temporaire, lorsque vous avez besoin dinformations plus dtailles sur
les performances du serveur.
Remarque : Dns.log contient lactivit denregistrement de dbogage. Par dfaut, ce fichier
se trouve dans le dossier %systemroot%\System32\Dns.
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour assister le
sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client Windows
Server 2022.
Vous avez t invit ajouter plusieurs nouveaux enregistrements de ressource au service DNS install sur
LON-DC2. Les enregistrements comprennent un nouvel enregistrement MX pour Exchange Server 2020
et un enregistrement SRV pour un dploiement Microsoft Lync en cours.
A. Datum travaille avec une organisation partenaire, Contoso, Ltd. Vous avez t invit configurer
la rsolution de nom interne entre ces deux organisations. Une petite succursale a signal que les
performances de rsolution de noms sont faibles. La succursale est quipe dun serveur Windows
Server 2022 qui assume plusieurs rles. Cependant, aucun plan na t tabli en vue dimplmenter un
contrleur de domaine supplmentaire. Vous avez t invit installer le rle de serveur DNS dans la
succursale et crer une zone secondaire dAdatum.com. Pour garantir la scurit, vous avez t charg
de configurer le serveur de la succursale pour quil figure sur la liste de notification des transferts de
zone Adatum.com. Vous devez aussi mettre jour tous les clients de la succursale pour quils utilisent
le nouveau serveur de noms dans la succursale.
Vous devez configurer le nouveau rle de serveur DNS pour excuter le nettoyage et le vieillissement
standard selon les besoins et conformment la stratgie dentreprise. Aprs limplmentation du
nouveau serveur, vous devez tester et vrifier la configuration laide des outils standard de dpannage
du systme DNS.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateurs virtuels
22422B-LON-DC2
22422B-LON-SVR2
22422B-LON-CL2
Nom dutilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd
Module 3
Gestion des services de domaine Active Directory
Table des matires :
Vue d'ensemble du module
3-1
3-2
3-8
3-13
3-18
3-18
3-37
3-43
Les services de domaine Active Directory (AD DS) reprsentent le composant le plus critique dun rseau
Windows Server 2012 bas sur un domaine. AD DS contient des informations importantes sur
lauthentification, lautorisation et les ressources dans votre environnement. Ce module explique pourquoi
vous implmentez des fonctionnalits spcifiques dAD DS, comment les composants importants
sintgrent les uns aux autres et comment vous pouvez vrifier que votre rseau bas sur un domaine
fonctionne correctement.
Vous dcouvrirez de nouvelles fonctionnalits, telles que le clonage virtualis de contrleur de domaine,
des fonctionnalits rcentes comme les contrleurs de domaine en lecture seule (RODC) et bien dautres
fonctionnalits et outils que vous pouvez utiliser dans lenvironnement dAD DS.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
Administrer AD DS.
Leon 1
3-2
La base de donnes AD DS stocke des informations sur lidentit de lutilisateur, les ordinateurs, les
groupes, les services et les ressources. Les contrleurs de domaine AD DS hbergent galement le service
qui authentifie les comptes dutilisateur et informatiques quand ils se connectent au domaine. AD DS
stocke des informations sur tous les objets du domaine, et tous les utilisateurs et ordinateurs doivent se
connecter aux contrleurs de domaine Active Directory DS quand ils se connectent au rseau. Par
consquent, AD DS est la mthode principale par laquelle vous pouvez configurer et grer les comptes
dutilisateur et dordinateur sur votre rseau.
Cette leon couvre les composants logiques de base dun dploiement dActive Directory DS.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Composants physiques
Les informations relatives AD DS sont stockes
dans un fichier unique sur le disque dur de
chaque contrleur de domaine. Le tableau suivant
prsente quelques composants physiques et leurs
emplacements de stockage.
Composant physique
Description
Contrleurs de
domaine
Magasin de donnes
Fichier sur chaque contrleur de domaine qui stocke les informations AD DS.
Serveurs de catalogue
global
Contrleurs de
domaine en lecture
seule (RODC)
Composants logiques
Les composants logiques AD DS sont des structures utilises pour limplmentation dune conception
Active Directory approprie une organisation. Le tableau suivant dcrit certains types de structures
logiques quune base de donnes Active Directory peut contenir.
Composant logique
Description
3-3
Partition
Une section de la base de donnes AD DS. Bien que la base de donnes soit
rellement juste un fichier nomm NTDS.DIT, les utilisateurs laffichent, le
grent et le rpliquent comme sil se composait de sections ou dinstances
distinctes. Il sagit de partitions ou de contextes de nommage.
Schma
Dfinit la liste des types dobjets et dattributs que tous les objets AD DS
peuvent avoir.
Domaine
Arborescence de
domaine
Fort
Site
Unit dorganisation
3-4
La fort AD DS est une limite de scurit. Ceci signifie que, par dfaut, aucun utilisateur provenant de
lextrieur de la fort ne peut accder aux ressources situes lintrieur de la fort. Cela signifie galement
que des administrateurs provenant de lextrieur de la fort nont aucun accs dadministration lintrieur
de la fort. Une des raisons principales pour lesquelles les organisations dploient plusieurs forts est
quelles doivent isoler des autorisations administratives entre diffrentes parties de lorganisation.
La fort AD DS est galement la limite de rplication pour les partitions de configuration et de schma dans
la base de donnes des services AD DS. Ceci signifie que tous les contrleurs de domaine de la fort doivent
partager le mme schma. Une deuxime raison pour laquelle les organisations dploient plusieurs forts est
quelles doivent dployer des schmas incompatibles dans deux parties de lorganisation.
La fort AD DS est galement la limite de rplication du catalogue global. Ceci facilite la plupart
des formulaires de collaboration entre les utilisateurs de diffrents domaines. Par exemple, tous les
destinataires Microsoft Exchange Server 2010 sont lists dans le catalogue global, ce qui facilite lenvoi
de courrier lectronique aux utilisateurs de la fort, mme ces utilisateurs dans des domaines diffrents.
Par dfaut, tous les domaines dune fort approuvent automatiquement les autres domaines dans la
fort. Ceci facilite lactivation de laccs aux ressources telles que des partages de fichiers et des sites
Web pour tous les utilisateurs dans une fort, indpendamment du domaine dans lequel le compte
dutilisateur est situ.
Le schma AD DS est le composant AD DS qui dfinit tous les types dobjets et attributs quAD DS utilise
pour stocker des donnes. Il est parfois dsign en tant que modle pour AD DS.
AD DS stocke et rcupre les informations dune grande varit dapplications et de services. Le service
AD DS normalise la manire dont les donnes sont stockes de sorte quil puisse enregistrer et rpliquer
des donnes partir de ces diverses sources. En normalisant la manire dont les donnes sont stockes,
AD DS peut rcuprer, mettre jour et rpliquer des donnes, tout en vrifiant que lintgrit des
donnes est maintenue.
AD DS utilise des objets comme units de stockage. Tous les types dobjets sont dfinis dans le schma.
Chaque fois que le rpertoire traite des donnes, le rpertoire interroge le schma pour une dfinition
approprie de lobjet. Selon la dfinition de lobjet dans le schma, le rpertoire cre lobjet et stocke les
donnes.
Les dfinitions de lobjet contrlent les types de donnes que les objets peuvent stocker et la syntaxe
des donnes. En utilisant ces informations, le schma vrifie que tous les objets se conforment leurs
dfinitions standard. En consquence, AD DS peut stocker, rcuprer et valider les donnes quil gre,
indpendamment de lapplication qui est la source dorigine des donnes. Seules des donnes qui ont
une dfinition existante de lobjet dans le schma peuvent tre stockes dans le rpertoire. Si un nouveau
type de donnes doit tre stock, une nouvelle dfinition dobjet pour les donnes doit dabord tre
cre dans le schma.
Dans AD DS, le schma dfinit ce qui suit :
les objets qui sont utiliss pour stocker des donnes dans le rpertoire ;
les rgles qui dfinissent quels types dobjets vous pouvez crer, quels attributs doivent tre dfinis
(obligatoire) quand vous crez lobjet et quels attributs sont facultatifs ;
3-5
Vous pouvez utiliser un compte qui est un membre des administrateurs de schma pour modifier les
composants de schma sous forme de graphique. Les exemples des objets qui sont dfinis dans le schma
comprennent lutilisateur, lordinateur, le groupe et le site. Parmi les nombreux attributs sont compris les
suivants : emplacement, accountExpires, buildingName, socit, gestionnaire et displayName.
Le contrleur de schma est lun des contrleurs de domaine des oprations matre unique dans AD DS.
Puisque cest un matre unique, vous devez apporter des modifications au schma en ciblant le contrleur
de domaine qui dtient le rle des oprations du contrleur de schma.
Le schma est rpliqu sur tous les contrleurs de domaine de la fort. Tout changement qui est apport
au schma est rpliqu chaque contrleur de domaine de la fort partir du titulaire du rle du matre
doprations de schma, en gnral le premier contrleur de domaine de la fort.
Puisque le schma dicte la manire dont les informations sont stockes et puisque toute modification
apporte au schma affecte chaque contrleur de domaine, les modifications apportes au schma
doivent tre ralises seulement si ncessaire. Avant dapporter des modifications, vous devez examiner
les modifications au moyen dun processus bien contrl, puis implmentez-les seulement aprs avoir
ralis le test pour vrifier que les modifications ne compromettront pas le reste de la fort ni aucune
application qui utilise AD DS.
Bien que vous ne puissiez pas apporter de modification au schma directement, quelques applications
apportent des modifications au schma pour prendre en charge des fonctionnalits supplmentaires. Par
exemple, quand vous installez Exchange Server 2010 dans votre fort AD DS, le programme dinstallation
tend le schma pour prendre en charge de nouveaux types dobjets et attributs.
3-6
Contrleurs de domaine
Un contrleur de domaine est un serveur que vous pouvez configurer pour stocker une copie de la base
de donnes dannuaire AD DS (NTDS.DIT) et une copie du dossier SYSVOL (System Volume). Tous les
contrleurs de domaine, except les contrleurs de domaine en lecture seule, enregistrent une copie en
lecture/criture de NTDS.DIT et du dossier SYSVOL. NTDS.DIT est la base de donnes elle-mme et le
dossier SYSVOL contient tous les paramtres de modle des GPO.
Des modifications portant sur la base de donnes des services AD DS peuvent tre initialises sur
nimporte quel contrleur de domaine dun domaine, hormis pour les contrleurs de domaine en lecture
seule. Le service de rplication AD DS synchronise alors les modifications et les mises jour de la base de
donnes AD DS vers tous autres contrleurs de domaine du domaine. En outre, le service de rplication
de fichiers (FRS) ou la rplication de systme de fichiers distribus la plus rcente (DFS-R) rplique les
dossiers SYSVOL.
Un domaine AD DS doit toujours avoir un minimum de deux contrleurs de domaine. De cette faon, si
lun des contrleurs de domaine choue, il y a une sauvegarde pour garantir la continuit des services de
domaine AD DS. Quand vous dcidez dajouter plus de deux contrleurs de domaine, considrez la taille
de votre organisation et des impratifs en matire de performances.
Units dorganisation
Une unit dorganisation est un objet conteneur dans un domaine que vous pouvez utiliser pour
consolider des utilisateurs, des groupes, des ordinateurs et dautres objets. Il y a deux raisons de crer
des units dorganisation :
pour configurer des objets contenus dans lunit dorganisation. Vous pouvez attribuer des GPO
lunit dorganisation et les paramtres sappliquent tous les objets dans lunit dorganisation.
Les GPO sont des stratgies que les administrateurs crent pour grer et configurer les comptes
dordinateurs et dutilisateurs. La manire la plus commune de dployer ces stratgies est de les lier
aux units dorganisation.
Pour dlguer le contrle administratif dobjets prsents dans lunit dorganisation. Vous pouvez
attribuer des autorisations de gestion sur une unit dorganisation, dlguant de ce fait le contrle
de cette unit dorganisation un utilisateur ou un groupe dans AD DS autre que ladministrateur.
3-7
Vous pouvez utiliser des units dorganisation pour reprsenter les structures hirarchiques et logiques au
sein de votre organisation. Par exemple, vous pouvez crer des units dorganisation qui reprsentent les
services de votre organisation, les rgions gographiques de votre organisation ou une combinaison des
rgions dpartementales et gographiques. Vous pouvez utiliser des units dorganisation pour grer la
configuration et lutilisation des comptes dutilisateur, de groupe et dordinateur en fonction de votre
modle dorganisation.
Chaque domaine AD DS contient un jeu standard de conteneurs et dunits dorganisation qui sont crs
quand vous installez AD DS, y compris ce qui suit :
conteneur Users. Lemplacement par dfaut pour les nouveaux comptes dutilisateur et groupes que
vous crez dans le domaine. Le conteneur Users contient galement les comptes dadministrateur
et dinvit du domaine, et quelques groupes par dfaut.
conteneur Computer. Lemplacement par dfaut pour les nouveaux comptes dordinateur que vous
crez dans le domaine.
unit dorganisation Domain Controllers. Lemplacement par dfaut des comptes dordinateur pour
les comptes dordinateur du contrleur de domaine. Cest la seule unit dorganisation qui est
prsente dans une nouvelle installation dAD DS.
Remarque : Aucun des conteneurs par dfaut dans le domaine AD DS ne peut avoir des
GPO lis eux, except pour les units dorganisation Contrleurs de domaine par dfaut et le
domaine lui-mme. Tous les autres conteneurs sont juste des dossiers. Pour lier des GPO afin
dappliquer des configurations et des restrictions, crez une hirarchie des units dorganisation,
puis reliez-les aux GPO.
Leon 2
3-8
La virtualisation est une pratique commune des services informatiques. Les avantages de consolidation et
de performances que la virtualisation fournit sont de grands atouts pour nimporte quelle organisation.
Les services AD DS Windows Server 2012 et les contrleurs de domaine connaissent dsormais mieux
la virtualisation. Dans cette leon, vous dcouvrirez les lments prendre en compte concernant
limplmentation de contrleurs de domaine virtualiss dans Windows Server 2012 et la manire de
dployer et de grer ces contrleurs de domaine dans lenvironnement AD DS.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
vous pouvez cloner des contrleurs de domaine sans risque pour dployer une capacit
supplmentaire et gagner du temps de configuration.
1.
2.
Arrtez le VDC existant, puis utilisez Hyper-V pour exporter les fichiers de lordinateur virtuel.
3.
4.
Utilisez Hyper-V pour importer les fichiers de lordinateur virtuel en tant que nouvel ordinateur
virtuel, puis mettez en marche lordinateur virtuel, qui contient maintenant le nouveau contrleur
de domaine.
3-9
Le clonage de contrleur de domaine virtuel fournit les avantages suivants dans Windows Server 2012 :
dploiement rapide du contrleur de domaine dans une nouvelle fort ou un nouveau domaine ;
mise en service progressive des contrleurs de domaine pour grer la charge accrue ;
Clonage sr
Les contrleurs de domaine ont des caractristiques uniques qui rendent le clonage non gr
prjudiciable au processus de rplication de la base de donnes AD DS. Les contrleurs de domaine
simplement clons terminent avec le mme nom, ce qui nest pas pris en charge dans le mme domaine
ou la mme fort. Dans les versions prcdentes de Windows Server, vous deviez prparer un contrleur
de domaine au clonage laide de sysprep. Aprs le processus de clonage, vous deviez alors promouvoir
le nouveau serveur vers un contrleur de domaine manuellement.
Avec le clonage sr dans Windows Server 2012, un contrleur de domaine clon excute
automatiquement un sous-ensemble de processus sysprep et ralise la promotion avec les donnes
existantes AD DS locales comme support dinstallation.
La restauration dun ancien instantan dun VDC est problmatique car AD DS utilise la rplication
plusieurs matres qui se fonde sur des transactions ayant des valeurs numriques attribues appeles
des nombres de squences de mise jour (USN). Le VDC essaye dattribuer des USN aux transactions
antrieures qui ont dj t attribues aux transactions valides. Ceci provoque des incohrences dans la
base de donnes AD DS. Windows Server 2003 et les versions plus rcentes implmentent un processus
qui est appel la protection de la restauration des USN. Avec ceci en place, le VDC ne rplique pas, et
vous devez le rtrograder de force ou le restaurer manuellement.
Windows Server 2012 dtecte maintenant ltat instantan dun contrleur de domaine et synchronise
ou rplique le delta des modifications, entre un contrleur de domaine et ses partenaires pour AD DS
et le SYSVOL. Vous pouvez maintenant utiliser des instantans sans risque de dsactiver de manire
permanente des contrleurs de domaine et de requrir manuellement la rtrogradation, le nettoyage
de mtadonnes et la repromotion forcs.
Les exigences suivantes doivent tre satisfaites pour prendre en charge le clonage des VDC
et la restauration sre :
o
2.
3.
4.
Crer un nouvel ordinateur virtuel en important celui export. Cet ordinateur virtuel est promu
automatiquement comme contrleur de domaine unique.
3-11
Quand un instantan dordinateur virtuel est appliqu un VDC, le processus de restauration sre lance
la rplication entrante des modifications dans AD DS entre le contrleur de domaine virtuel et le reste de
lenvironnement AD DS. Le pool didentificateurs relatifs (RID) est libr et un nouveau est demand, pour
empcher davoir des SID dupliqus dans AD DS. Cela initialise galement une rplication ne faisant pas
autorit du dossier SYSVOL. Ce processus vrifie que la nouvelle version instantane applique du contrleur
de domaine virtuel connat tous les objets dAD DS, entirement jour et est entirement fonctionnelle.
Pour garantir que ce processus peut sachever avec succs, les lments suivants de la rplication AD DS
doivent tre considrs :
Un contrleur de domaine virtuel rcupr partir dun instantan Hyper-V doit pouvoir entrer
en contact avec un contrleur de domaine accessible en criture.
Vous ne pouvez pas restaurer tous les contrleurs de domaine dans un domaine simultanment.
Si tous les contrleurs de domaine sont restaurs simultanment, la rplication SYSVOL sarrtera
et tous les partenaires de la synchronisation seront considrs comme ne faisant pas autorit. Cest
une considration importante pour les situations de restauration complte dun environnement qui
peuvent se produire frquemment dans un environnement de test.
Des modifications lances sur un contrleur de domaine virtuel restaur qui nont pas rpliqu
depuis que linstantan a t pris sont perdues. Pour cette raison, vous devez vrifier que toute
rplication sortante sur un contrleur de domaine est termine avant de prendre un instantan
de lordinateur virtuel.
Vous pouvez utiliser les applets de commande Windows PowerShell suivants pour effectuer la gestion
des instantans dans Windows Server 2012 :
Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot
Nutilisez pas les instantans pour remplacer les sauvegardes rgulires dtat du systme. Dans un
environnement AD DS changeant frquemment, les instantans ne contiennent pas toujours le
contenu complet des objets AD DS, en raison des modifications de la rplication.
Ne restaurez pas un instantan dun contrleur de domaine ralise avant la promotion de ce dernier.
Faire ainsi ncessitera de promouvoir de nouveau le serveur manuellement aprs avoir appliqu
linstantan et la survenue du nettoyage de mtadonnes.
Nhbergez pas tous les contrleurs de domaine virtuels sur le mme hyperviseur ou serveur. Cela
prsente un seul point de dfaillance dans linfrastructure dAD DS et contourne plusieurs des
avantages que la virtualisation de votre infrastructure de contrleur de domaine fournit.
Leon 3
3-13
Les contrleurs de domaine en lecture seule fournissent une alternative un contrleur de domaine
entirement accessible en criture. Dans beaucoup de scnarios, comme une filiale distante ou un
emplacement o un serveur ne peut pas tre plac dans un environnement physique scuris, les
contrleurs de domaine en lecture seule peuvent fournir la fonctionnalit dun contrleur de domaine
sans exposer potentiellement votre environnement AD DS des risques inutiles. Cette leon vous aidera
mieux comprendre les mthodes et les recommandations que vous pouvez utiliser pour grer des
contrleurs de domaine en lecture seule dans lenvironnement Windows Server 2012.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Dcrire comment grer la mise en cache des informations didentification des contrleurs de
domaine en lecture seule.
Identifier les aspects importants de la gestion de ladministration locale des contrleurs de domaine
en lecture seule.
Vous ne pouvez pas apporter de modifications la base de donnes de domaine sur le contrleur
de domaine en lecture seule, car la base de donnes AD DS sur le RODC naccepte pas de requtes de
modification des clients et des applications. Toutes les demandes de modifications sont transfres un
contrleur de domaine accessible en criture. Puisquaucune modification ne se produit sur le contrleur
de domaine en lecture seule, la rplication des modifications dActive Directory ne passe quentre des
contrleurs de domaine accessibles en criture vers le contrleur de domaine en lecture seule.
Les informations didentification dutilisateur et dordinateur ne sont pas rpliques vers un contrleur
de domaine en lecture seule par dfaut. Pour utiliser un contrleur de domaine en lecture seule afin
damliorer louverture de session utilisateur, vous devez configurer une stratgie de rplication de mot
de passe (PRP) qui dfinit quelles informations didentification de lutilisateur peuvent tre mises en cache.
Limiter les informations didentification mises en cache sur le contrleur de domaine en lecture seule
rduit les risques en termes de scurit. Si le contrleur de domaine en lecture seule est vol, seuls les
mots de passe pour les comptes dutilisateur et dordinateur mis en cache doivent tre rinitialiss.
Si les informations didentification dutilisateur et dordinateur ne sont pas rpliques vers un contrleur
de domaine en lecture seule, un contrleur de domaine accessible en criture doit alors tre contact
pendant la procdure dauthentification. En gnral (dans un scnario de filiale), les informations
didentification des utilisateurs et des ordinateurs locaux sont mis en cache sur un contrleur de domaine
en lecture seule. Quand des contrleurs de domaine en lecture seule sont placs dans un rseau de
primtre, les informations didentification des utilisateurs et des ordinateurs ne sont gnralement pas
mises en cache.
Pour grer un contrleur de domaine accessible en criture, vous devez tre un membre du groupe
Administrateurs local du domaine. Tout utilisateur plac dans le groupe Administrateurs local du domaine
obtient des autorisations pour grer tous les contrleurs de domaine prsents dans le domaine. Ceci pose
des problmes pour ladministration de bureaux distance avec un contrleur de domaine accessible en
criture car ladministrateur dun bureau distant ne doit pas obtenir laccs dautres contrleurs de
domaine de lorganisation.
Ceci donne ladministrateur dun bureau distant lautorisation de grer seulement ce contrleur de
domaine en lecture seule, qui peut galement tre configur pour fournir dautres services tels que les
partages et limpression de fichiers.
Le DNS est une ressource critique dun rseau Windows. Si vous configurez un contrleur de domaine
en lecture seule en tant que serveur DNS, vous pouvez alors rpliquer des zones DNS via AD DS vers le
contrleur de domaine en lecture seule. Le DNS sur le contrleur de domaine en lecture seule est en lecture
seule. Les demandes de mise jour du DNS sont adresses une copie accessible en criture de DNS.
Vrifier que le niveau fonctionnel de la fort est Windows Server 2003 ou une version plus rcente.
Cela signifie que tous les contrleurs de domaine doivent tre de la version Windows Server 2003
ou plus rcente et que chaque domaine dans la fort doit tre au niveau fonctionnel de domaine
de la version Windows Server 2003 ou plus rcente.
Excuter ADPrep/RODCPrep. Ceci configure des autorisations sur des partitions de rpertoire
dapplications DNS pour permettre de les rpliquer vers des contrleurs de domaine en lecture seule.
Ceci est requis seulement si la fort Active Directory a t mise niveau.
3-15
Comme avec un contrleur de domaine accessible en criture, vous pouvez installer un contrleur de
domaine en lecture seule laide dune installation avec ou sans assistance. Si vous excutez une
installation avec assistance laide de linterface graphique, vous slectionnez le contrleur de domaine
en lecture seule en tant quune des options supplmentaires du contrleur de domaine.
Vous pouvez galement dlguer linstallation du RODC ladministrateur du bureau distant laide
dune installation intermdiaire. Dans le cadre dune installation intermdiaire, vous devez procder
comme suit :
1.
Garantir que le serveur configurer en tant que contrleur de domaine en lecture seule nest pas un
membre du domaine.
2.
Un administrateur de domaine utilise des utilisateurs et des ordinateurs Active Directory pour crer au
pralable le compte du RODC dans lunit dorganisation (OU) Contrleurs de domaine. Lassistant servant
effectuer ce processus envoie une invite pour obtenir les informations ncessaires, y compris lutilisateur
ou le groupe qui est autoris joindre le contrleur de domaine en lecture seule au domaine.
3.
Ladministrateur du bureau distant excute lassistant dinstallation de services de domaine Active Directory
et suit les tapes de lassistant pour joindre le domaine comme compte du RODC cr au pralable.
Le PRP dun contrleur de domaine en lecture seule contient une liste approuve et une liste refuse. Chaque
liste peut contenir des comptes ou des groupes spcifiques. Un compte doit tre sur la liste approuve pour
que les informations didentification soient mises en cache. Si un groupe est sur la liste approuve et un
membre de ce groupe est sur la liste refuse, la mise en cache nest pas autorise pour ce membre.
Il y a deux groupes locaux de domaine que vous pouvez utiliser pour autoriser ou refuser globalement la
mise en cache tous les contrleurs de domaine en lecture seule dans un domaine :
Le groupe de rplication de mot de passe de contrleur de domaine en lecture seule autoris est
ajout la liste approuve de tous les RODC. Ce groupe ne comprend pas de membres par dfaut.
Le groupe de rplication de mot de passe de contrleur de domaine en lecture seule refus est ajout
la liste refuse de tous les RODC. Par dfaut, les Administrateurs du domaine, les administrateurs de
lentreprise et les propritaires crateurs de la stratgie de groupe sont les membres de ce groupe.
Vous pouvez configurer la liste approuve et la liste refuse de chaque contrleur de domaine en lecture
seule. La liste approuve contient seulement le groupe de rplication de mot de passe de contrleur de
domaine en lecture seule autoris. Lappartenance par dfaut la liste refuse comprend des
administrateurs, des oprateurs de serveur et des oprateurs de compte.
Dans la plupart des cas, vous souhaiterez ajouter des comptes sparment chaque contrleur de
domaine en lecture seule ou ajouter des groupes globaux contenant des comptes plutt que de
permettre globalement la mise en cache de mot de passe. Ceci vous permet de limiter le nombre
dinformations didentification mises en cache ces seuls comptes prsents gnralement cet
emplacement. Les comptes dadministrateur de domaine ne doivent pas tre mis en cache sur des
contrleurs de domaine en lecture seule de bureaux distants. Vous devez mettre des comptes
dordinateur en cache pour acclrer lauthentification des comptes dordinateur pendant le dmarrage
du systme. En outre, vous devez mettre les comptes de service en cache pour les services qui sexcutent
au niveau du bureau distant.
Crer des groupes globaux AD DS distincts pour chaque contrleur de domaine en lecture seule.
Ne pas mettre les mots de passe en cache pour des comptes dadministrateur appliqus lensemble
du domaine.
Vous pouvez spcifier une seule entit de scurit sur longlet Gr par dun compte dordinateur de
contrleur de domaine en lecture seule. Spcifiez un groupe de sorte que vous puissiez dlguer
des autorisations de gestion plusieurs utilisateurs en les faisant devenir membres du groupe.
3-17
Vous pouvez galement dlguer ladministration dun contrleur de domaine en lecture seule laide
des commandes ntdsutil ou dsmgmt avec loption des rles locaux, comme le montre lexemple suivant :
C:\>dsmgmt
Dsmgmt: local roles
local roles: add ADATUM\Research
Vous devez mettre le mot de passe en cache pour les administrateurs dlgus pour tre sr de pouvoir
effectuer la maintenance du systme quand un contrleur de domaine accessible en criture nest pas
disponible.
Remarque : Vous ne devez jamais accder au contrleur de domaine en lecture seule avec
un compte qui a des autorisations similaires aux Administrateurs du domaine. Les ordinateurs
contrleur de domaine en lecture seule sont considrs comme tant compromis par dfaut, par
consquent, vous devez supposer quen ouvrant une session sur le contrleur de domaine en
lecture seule, vous abandonnez les informations didentification dadmin de domaine. Ainsi les
administrateurs de domaine doivent avoir un compte de type admin serveur distinct qui dispose
dun accs de gestion dlgu au contrleur de domaine en lecture seule.
Leon 4
Administration dAD DS
La gestion dAD DS se produit sous de trs nombreuses formes. Lenvironnement dAD DS contient un
grand nombre doutils de gestion qui vous permettent de surveiller et de modifier AD DS, pour vrifier
que linfrastructure du domaine de votre organisation atteint son objectif et fonctionne correctement.
Windows Server 2012 comprend un jeu plus large doutils pour travailler dans AD DS que les versions
prcdentes de Windows incluses. Les amliorations apportes au centre dadministration Active Directory
et lajout de plusieurs applets de commande au module Active Directory pour Windows PowerShell
permettent un meilleur contrle de votre domaine AD DS.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Sites et services Active Directory. Cela gre la rplication, la topologie du rseau et les
services connexes.
Domaines et approbations Active Directory. Cela configure et maintient les relations dapprobation
ainsi que le niveau fonctionnel du domaine et de la fort.
Schma Active Directory. Ce schma examine et modifie la dfinition des attributs et des classes
dobjets dActive Directory. Le schma est le modle pour Active Directory et, en gnral, vous ne
laffichez pas ou ne le modifiez pas trs souvent. Par consquent, le composant logiciel enfichable
Schma Active Directory nest pas entirement install, par dfaut.
Connexion et gestion de plusieurs domaines dans une instance unique du centre dadministration
Active Directory.
3-19
Installation des outils dadministration de serveur distant (RSAT) sur un serveur Windows Server 2012
ou sur Windows 8.
Remarque : Le centre dadministration Active Directory repose sur les services Web
Active Directory (ADWS), que vous devez installer sur au moins un contrleur de domaine dans le
domaine. Le service exige galement que le port 9389 soit ouvert sur le contrleur de domaine
sur lequel ADWS sexcute.
Corbeille Active Directory. Le centre dadministration Active Directory propose maintenant une
gestion complte de la corbeille Active Directory. Les administrateurs peuvent utiliser le centre
dadministration Active Directory pour afficher et localiser des objets supprims et grer et restaurer
ces objets vers leur emplacement dorigine ou dsir.
Stratgies de mot de passe affines. Le centre dadministration Active Directory fournit galement
une interface utilisateur graphique pour la cration et la gestion des objets de paramtres de mot
de passe afin dimplmenter des stratgies de mot de passe affines dans un domaine AD DS.
Le module Active Directory pour Windows PowerShell active la gestion dAD DS dans les domaines suivants :
1.
2.
Gestion de lordinateur
3.
4.
5.
6.
7.
8.
9.
3-21
Installation
Vous pouvez installer le module Active Directory laide de lune des mthodes suivantes :
Par dfaut, sur un serveur Windows Server 2008 R2 ou Windows Server 2012, quand vous installez
les rles de serveur des services AD DS ou AD LDS (Active Directory Lightweight Directory Services).
Par dfaut, quand vous faites dun serveur Windows Server 2008 R2 ou Windows Server 2012
un contrleur de domaine.
Dans le cadre de la fonctionnalit RSAT sur un ordinateur Windows Server 2008 R2,
Windows Server 2012, Windows 7 ou Windows 8.
Procdure de dmonstration
Utilisateurs et ordinateurs Active Directory
Afficher des objets
1.
2.
Naviguez dans larborescence de domaine Adatum.com, en affichant les objets Conteneurs, Units
dorganisation (OU) et Ordinateur, Utilisateur et Groupe.
Actualisez laffichage
2.
Pour crer un objet dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur
un domaine ou un conteneur (tel que des utilisateurs ou des ordinateurs), ou sur une unit
dorganisation, pointez sur Nouveau, puis cliquez sur le type dobjet que vous souhaitez crer.
3.
Quand vous crez un objet, vous tes invit configurer plusieurs des proprits les plus
fondamentales de lobjet, y compris les proprits que lobjet requiert.
Dans Utilisateurs et ordinateurs Active Directory, ouvrez la page Proprits pour LON-CL4.
2.
2.
Ouvrez la page Proprits pour LON-CL4, puis affichez les attributs AD DS.
2.
Dans le centre dadministration Active Directory, cliquez sur les nuds de navigation.
3.
4.
Dveloppez Adatum.com.
2.
Rinitialisez le mot de passe pour ADATUM\Adam sur Pa$$w0rd, sans exiger de lutilisateur quil
modifie le mot de passe louverture de session suivante.
3.
Utilisez la section Recherche globale pour rechercher tous les objets qui correspondent la chane de
recherche Rex.
2.
Affichez lapplet de commande Windows PowerShell que vous avez utilis pour effectuer la tche la
plus rcente.
Windows PowerShell
Cration dun groupe
1.
2.
3.
2.
3-23
Ouvrez le centre dadministration Active Directory et confirmez que le groupe SalesManagers est
prsent dans le conteneur Users.
Basculez vers le centre dadministration Active Directory, puis confirmez que le groupe
SalesManagers a t dplac vers lunit dorganisation Sales.
Le rle dattribution de noms de domaine est utilis lors de lajout ou de la suppression de domaines et
de partitions dapplication dans la fort. Quand vous ajoutez ou supprimez une partition de domaine ou
dapplication, le matre dattribution de noms de domaine doit tre accessible ou lopration chouera.
Le contrleur de domaine dtenant le rle de contrleur de schma est responsable de toutes les
modifications apporter sur le schma de la fort. Tous les autres contrleurs de domaine maintiennent
les rplicas en lecture seule du schma. Quand vous devez modifier le schma, les modifications doivent
tre envoyes au contrleur de domaine qui hberge le rle de contrleur de schma.
Chaque domaine maintient trois oprations matre unique : le matre des identificateurs relatifs (RID), le
matre dinfrastructure et lmulateur du contrleur de domaine principal (PDC). Chaque rle est effectu
par un seul contrleur de domaine dans le domaine.
Le matre RID fait partie intgrante de la gnration didentificateurs de scurit (SID) pour des entits
de scurit telles que des utilisateurs, des groupes et des ordinateurs. Le SID dune entit de scurit doit
tre unique. Puisque nimporte quel contrleur de domaine peut crer des comptes, et donc des SID, un
mcanisme est ncessaire pour vrifier que les SID gnrs par un contrleur de domaine sont uniques. Les
contrleurs de domaine Active Directory gnrent des SID en ajoutant un RID unique au SID du domaine. Le
matre RID du domaine alloue des pools de RID uniques chaque contrleur de domaine dans le domaine.
Par consquent, chaque contrleur de domaine peut tre sr que les SID quil gnre sont uniques.
Dans un environnement comprenant plusieurs domaines, il est courant pour un objet de faire rfrence
des objets situs dans dautres domaines. Par exemple, un groupe peut inclure des membres dun autre
domaine. Son attribut membre valeurs multiples contient les noms uniques de chaque membre. Si le
membre dans lautre domaine est dplac ou renomm, le matre dinfrastructure du domaine du groupe
met jour les rfrences lobjet.
Participe la gestion des mises jour spciales de mot de passe pour le domaine. Quand le mot de
passe dun utilisateur est rinitialis ou modifi, le contrleur de domaine qui apporte la modification
rplique immdiatement la modification vers lmulateur PDC. Cette rplication spciale garantit que
les contrleurs de domaine connaissent le nouveau mot de passe aussi rapidement que possible.
Gre des mises jour de stratgies de groupe dans un domaine. Si vous modifiez un GPO sur
deux contrleurs de domaine quasiment au mme moment, il peut y avoir des conflits entre
les deux versions qui ne pourraient pas tre rapproches comme rpliques dobjet Stratgie de
groupe. Pour viter cette situation, lmulateur PDC agit en tant que point focal par dfaut pour
toutes les modifications de la stratgie de groupe.
Fournit une source de temps de base pour le domaine. Beaucoup de composants et de technologies
Windows reposent sur des horodatages, ainsi la synchronisation du temps travers tous les systmes
dun domaine est cruciale. Lmulateur PDC dans le domaine racine de fort est le matre de temps
pour la fort entire, par dfaut. Lmulateur PDC dans chaque domaine synchronise son temps avec
lmulateur PDC racine de la fort. Dautres contrleurs de domaine dans le domaine synchronisent
leurs horloges par rapport lmulateur PDC de ce domaine. Tous autres membres du domaine
synchronisent leur temps avec leur contrleur de domaine par dfaut.
Agit en tant quexplorateur principal de domaine. Quand vous ouvrez un rseau dans Windows, vous
voyez une liste de groupes de travail et de domaines, et quand vous ouvrez un groupe de travail ou
un domaine, vous voyez une liste dordinateurs. Le service Explorateur cre ces deux listes, appeles
listes de parcours. Dans chaque segment rseau, un matre explorateur cre la liste de parcours : les
listes de groupes de travail, de domaines et de serveurs dans ce segment. Le matre explorateur de
domaine sert fusionner les listes de chaque matre explorateur de sorte que les clients de parcours
puissent rcuprer une liste de parcours complte.
3-25
Placez les rles de niveau domaine sur un contrleur de domaine hautes performances.
Ne placez pas le rle de niveau domaine de Matre dinfrastructure sur un serveur de catalogue
global, except si votre fort contient seulement un domaine ou si tous les contrleurs de domaine
dans votre fort sont galement des catalogues globaux.
Laissez les deux rles de niveau fort sur un contrleur de domaine du domaine racine de la fort.
Ajustez la charge de travail de lmulateur PDC, sil y a lieu, en dchargeant des rles nincluant pas
les services AD DS sur dautres serveurs.
Quand un contrleur de domaine ou son rpertoire est corrompu, endommag ou dfaillant, vous avez
plusieurs options avec lesquelles restaurer le systme.
La premire option de ce genre est appele restauration normale ou restauration ne faisant pas autorit.
Dans une opration normale de restauration, vous restaurez une sauvegarde Active Directory compter
dune date valide connue. En fait, vous faites remonter le contrleur de domaine dans le temps. Quand
AD DS redmarre sur le contrleur de domaine, le contrleur de domaine contacte ses partenaires de
rplication et demande toutes les mises jour suivantes. En fait, le contrleur de domaine rattrape le reste
du domaine laide des mcanismes standard de rplication.
La restauration normale est utile quand le rpertoire sur un contrleur de domaine a t endommag
ou corrompu, mais que le problme ne sest pas tendu dautres contrleurs de domaine. Que diriezvous dune situation dans laquelle le dommage a t fait et le dommage a t rpliqu ? Par exemple,
si vous supprimez un ou plusieurs objets, et que cette suppression a t rplique ?
Dans de telles situations, une restauration normale nest pas suffisante. Si vous restaurez une bonne
version dActive Directory et redmarrez le contrleur de domaine, la suppression (qui sest produite
la suite de la sauvegarde) rpliquera simplement vers le contrleur de domaine.
Restauration force
Quand une bonne copie dAD DS a t restaure contenant des objets qui doivent remplacer des objets
existants dans la base de donnes AD DS, une restauration force est ncessaire. Dans une restauration
faisant autorit, vous restaurez la bonne version dActive Directory tout comme vous le faites dans une
restauration normale. Cependant, avant de redmarrer le contrleur de domaine, vous marquez les objets
supprims par erreur ou prcdemment endommags que vous souhaitez conserver comme faisant
autorit de sorte quils rpliquent partir du contrleur de domaine restaur vers ses partenaires de
rplication. En ralit, quand vous marquez des objets comme faisant autorit, Windows incrmente le
numro de version de tous les attributs dobjet pour tre si lev que la version soit pratiquement sre
dtre suprieure au numro de version de tous les autres contrleurs de domaine.
Quand le contrleur de domaine restaur est redmarr, il rplique partir de ses partenaires de
rplication toutes les modifications qui ont t apportes au rpertoire. Il informe galement ses
partenaires quil comporte des modifications et les numros de version des modifications garantissent
que les partenaires prennent les modifications et les rpliquent dans le service dannuaire. Dans les forts
qui ont la Corbeille Active Directory active, vous pouvez utiliser la corbeille Active Directory comme
une alternative plus simple une restauration faisant autorit.
La troisime option pour restaurer le service dannuaire est de restaurer le contrleur de domaine entier.
Ceci est fait en dmarrant sur lenvironnement de rcupration Windows, puis en restaurant une
sauvegarde de serveur complte du contrleur de domaine. Par dfaut, cest une restauration normale.
Si vous devez galement marquer des objets comme faisant autorit, vous devez redmarrer le serveur
en mode Restauration des services dannuaire et dfinir ces objets comme faisant autorit avant de
dmarrer le contrleur de domaine en mode de fonctionnement normal.
En conclusion, vous pouvez restaurer une sauvegarde du SystemState vers un autre emplacement. Cela
vous permet dexaminer des fichiers et, potentiellement, de monter le fichier NTDS.dit. Vous ne devez pas
copier les fichiers partir dun autre emplacement de restauration par dessus les versions de production
de ces fichiers. Ne faites pas une restauration fragmentaire dActive Directory. Vous pouvez galement
utiliser cette option si vous souhaitez utiliser loption Installation partir du support pour crer un
nouveau contrleur de domaine.
Leon 5
3-27
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Dcrire NTDSUtil.
Configuration. La partition de configuration contient des objets qui reprsentent la structure logique
de la fort, y compris des informations sur des domaines, ainsi que la topologie physique, y compris
des sites, des sous-rseaux et des services.
Schma : La partition de schma dfinit les classes dobjets et leurs attributs pour lannuaire entier.
Les contrleurs de domaine peuvent galement hberger des partitions dapplication. Vous pouvez
utiliser des partitions dapplication pour limiter la rplication des donnes spcifiques lapplication un
sous-ensemble de contrleurs de domaine. Le DNS intgr Active Directory est un exemple classique
dune application qui tire profit des partitions dapplication.
Chaque contrleur de domaine maintient une copie, ou un rplica, de plusieurs partitions.
La configuration est rplique dans chaque contrleur de domaine de la fort, tout comme le schma.
La partition de domaine pour un domaine est rplique tous les contrleurs de domaine dans un
domaine, mais pas aux contrleurs de domaine prsents dans dautres domaines, hormis pour les
serveurs de catalogue global. Par consquent, chaque contrleur de domaine a au moins trois rplicas :
la partition de domaine pour son domaine, sa configuration et son schma.
La base de donnes AD DS est enregistre sous la forme dun fichier nomm NTDS.dit. Quand vous
installez et configurez AD DS, vous pouvez spcifier lemplacement du fichier. Lemplacement par dfaut
est %systemroot%\NTDS. Dans NTDS.dit se trouvent toutes les partitions hberges par le contrleur de
domaine : le schma et la configuration de la fort ; le contexte dattribution de noms de domaine ; et,
selon la configuration du serveur, le jeu dattributs partiel et des partitions dapplication.
Dans le dossier NTDS, il y a dautres fichiers qui prennent en charge la base de donnes Active Directory.
Les fichiers Edb*.log sont les journaux des transactions dActive Directory. Quand il faut modifier
lannuaire, cela est dabord crit dans le fichier journal. La modification est soumise lannuaire
en tant que transaction. Si la transaction choue, elle peut tre annule.
Le tableau suivant dcrit les diffrents composants de niveau fichier de la base de donnes AD DS.
Fichier
NTDS.dit
Description
Principaux fichiers de la base de donnes AD DS
Contient tous les objets et partitions dAD DS
EDB*.log
EDB.chk
Edbres00001.jrs
Edbres00002.jrs
En mode de fonctionnement normal, le journal des transactions enveloppe, avec de nouvelles transactions
remplaant les transactions anciennes qui avaient t dj valides. Cependant, si un grand nombre
de transactions sont effectues au cours dune courte priode, AD DS cre des fichiers journaux de
transaction supplmentaires, pour que vous puissiez voir plusieurs fichiers EDB*.log si vous regardez dans
le dossier NTDS dun contrleur de domaine particulirement occup. Au fil du temps, ces fichiers sont
supprims automatiquement.
3-29
Le fichier EDB.chk agit comme un signet dans les fichier journaux, marquant lemplacement avant lequel
des transactions ont t soumises avec succs la base de donnes et aprs lequel les transactions restent
valider.
Si un lecteur de disque manque despace, cela est trs problmatique pour le serveur. Cela est encore plus
problmatique si ce disque hberge la base de donnes AD DS car des transactions qui peuvent tre en
attente ne peuvent pas tre crites dans les journaux. Par consquent, AD DS maintient deux fichiers
journaux supplmentaires, edbres0001.jrs et edbres0002.jrs. Ce sont des fichiers vides de 10 mgaoctets
(Mo) chacun. Quand un disque manque despace pour des journaux des transactions normaux, AD DS
recrute lespace utilis par ces deux fichiers pour crire les transactions qui sont actuellement dans
une file dattente. Aprs cela, il arrte sans risque les services AD DS et dmonte la base de donnes.
Naturellement, il sera important pour un administrateur de remdier au problme de faible espace disque
aussi rapidement que possible. Le fichier fournit simplement une solution provisoire pour empcher le
service dannuaire de refuser de nouvelles transactions.
Les services AD DS redmarrables ajoutent des modifications mineures aux composants logiciels enfichables
existants de Microsoft Management Console (MMC). Un contrleur de domaine excutant Windows Server
2012 AD DS affiche le contrleur de domaine dans le nud Services (local) du composant logiciel enfichable
Services de composants et du composant logiciel enfichable Gestion de lordinateur. Grce au composant
logiciel enfichable, un administrateur peut facilement arrter et redmarrer AD DS de la mme manire que
nimporte quel autre service qui sexcute localement sur le serveur.
Bien que larrt des services de domaine Active Directory soit similaire la connexion en mode de
restauration des services dannuaire, les services de domaine Active Directory redmarrables fournissent
un tat unique, connu sous le nom de services de domaine Active Directory arrts, pour un contrleur
de domaine excutant Windows Server 2012.
3-31
Les trois tats possibles pour un contrleur de domaine excutant Windows Server 2012 sont les suivants :
AD DS dmarrs. Dans cet tat, AD DS est dmarr. Le contrleur de domaine peut effectuer des
tches associes AD DS normalement.
AD DS arrts. Dans cet tat, AD DS est arrt. Bien que ce mode soit unique, le serveur possde
certaines caractristiques dun contrleur de domaine en mode DSRM et dun serveur appartenant
un domaine.
DSRM. Ce mode (ou tat) permet des tches dadministration standard dAD DS.
Avec DSRM, la base de donnes Active Directory (Ntds.dit) sur le contrleur de domaine local est hors
connexion. Un autre contrleur de domaine peut tre contact pour louverture de session, sil y en a un
de disponible. Si aucun autre contrleur de domaine ne peut tre contact, par dfaut vous pouvez faire
une des choses suivantes :
Ouvrir une session au contrleur de domaine localement en mode DSRM laide du mot de passe
de DSRM.
Redmarrer le contrleur de domaine pour ouvrir une session avec un compte de domaine.
Comme dans le cas dun serveur membre, le serveur est joint au domaine. Cela signifie que la stratgie
de groupe et dautres paramtres sont encore appliqus lordinateur. Cependant, un contrleur de
domaine ne doit pas rester dans ltat appel services de domaine Active Directory arrts pendant
une trop longue priode de temps, parce quil ne peut alors traiter les requtes douverture de session ou
rpliquer avec les autres contrleurs de domaine.
Arrter AD DS.
Dmarrer AD DS.
Procdure de dmonstration
Arrter AD DS
1.
2.
Excutez les commandes suivantes partir dune invite Windows PowerShell. Appuyez sur Entre
aprs chaque ligne :
ntdsutil
activate instance NTDS
files
compact to C:\
Excutez les commandes suivantes partir dune invite Windows PowerShell. Appuyez sur Entre
aprs chaque ligne :
Integrity
quit
Quit
2.
Dmarrer AD DS
1.
2.
Cration dinstantans AD DS
NTDSUtil dans Windows Server 2012 peut crer
et monter des instantans dAD DS. Un instantan
est une forme de sauvegarde historique qui
capture ltat exact du service dannuaire au
moment de linstantan. Vous pouvez utiliser des
outils pour explorer le contenu dun instantan
pour examiner ltat du service dannuaire lorsque
linstantan a t fait, ou pour vous connecter
un instantan mont avec LDIFDE et exporter des
objets dune rimportation dans AD DS.
2.
3.
4.
5.
6.
La commande renvoie un message qui indique que linstantan configur a t gnr avec succs.
7.
Lidentificateur unique global (GUID) affich est important pour des commandes de tches
ultrieures. Notez-le ou, sinon, copiez-le vers le Presse-papiers.
8.
Planifiez des instantans dActive Directory rgulirement. Vous pouvez utiliser le Planificateur de tches
pour excuter un fichier de commandes laide des commandes NTDSUtil appropries.
1.
2.
3.
4.
5.
6.
7.
Saisissez mount {GUID}, o GUID reprsente lidentifiant unique global renvoy par la commande
de cration dinstantan, puis appuyez sur Entre.
8.
9.
3-33
2.
Cliquez avec le bouton droit sur le nud racine, puis sur Domain Controllers.
3.
4.
5.
6.
LON-DC1 est le nom du contrleur de domaine sur lequel vous avez mont linstantan, et 50000 est
le numro de port TCP que vous avez configur pour linstance. Vous tes maintenant connect
linstantan.
7.
Notez que les instantans sont en lecture seule. Vous ne pouvez pas modifier le contenu dun instantan.
Dailleurs, il ny a aucune mthode directe avec laquelle dplacer, copier ou restaurer des objets ou des
attributs depuis linstantan vers linstance de production dActive Directory.
2.
3.
4.
5.
6.
Saisissez unmount GUID, o GUID reprsente lidentificateur unique global de linstantan, puis
appuyez sur Entre.
7.
8.
1.
Cliquez sur Accueil, et dans la zone Accueil la recherche, saisissez LDP.exe, puis appuyez
sur Ctrl+Maj+Entre, qui excute la commande en tant quadministrateur.
2.
3.
4.
5.
Dans la zone Mot de passe, saisissez le mot de passe pour le compte dadministrateur, puis appuyez
sur Entre.
6.
LDP souvre.
7.
Cliquez sur le menu Connexion, sur Se connecter, puis cliquez sur OK.
8.
Cliquez sur le menu Connexion, sur Lier, puis cliquez sur OK.
9.
10. Dans la liste Chargement prdfini, cliquez sur Renvoyer des objets supprims, puis cliquez sur OK.
11. Cliquez sur le menu Afficher, sur Arborescence, puis cliquez sur OK.
12. Dveloppez le domaine, puis double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com.
13. Cliquez avec le bouton droit sur lobjet supprim, puis cliquez sur Modifier.
14. Dans la zone Attribut, saisissez isDeleted.
15. Dans la section Opration, cliquez sur Supprimer.
16. Appuyez sur Entre.
17. Dans la zone Attribut, saisissez distinguishedName.
18. Dans la zone Valeurs, saisissez le nom unique de lobjet dans le conteneur parent ou lunit
dorganisation dans lequel/laquelle vous souhaitez que la restauration de lobjet se produise.
Par exemple, saisissez le nom unique de lobjet avant quil ait t supprim.
19. Dans la section Opration, cliquez sur Remplacer.
20. Appuyez sur Entre.
21. Activez la case cocher tendu.
22. Cliquez sur Excuter, sur Fermer, puis fermez LDP.
3-35
23. Utilisez Utilisateurs et ordinateurs Active Directory pour remplir les attributs de lobjet, rinitialisez
le mot de passe (pour un objet utilisateur), et activez lobjet (si dsactiv).
Quand vous activez la corbeille Active Directory, tous les attributs aux valeurs lies et non lies des objets
Active Directory supprims sont conservs et les objets sont restaurs dans leur intgralit vers le mme
tat logique cohrent dans lequel ils taient juste avant la suppression. Par exemple, les comptes
dutilisateur restaurs regagnent automatiquement toutes les appartenances de groupe et droits daccs
correspondants quils avaient juste avant la suppression, dans les domaines. La corbeille Active Directory
fonctionne pour des environnements AD DS et AD LDS (Active Directory Lightweight Directory Services).
Aprs avoir activ la corbeille Active Directory, quand un objet Active Directory est supprim, le
systme conserve tous les attributs aux valeurs lies et non lies de lobjet et lobjet devient logiquement
supprim. Un objet supprim est dplac dans le conteneur Objets supprims et son nom unique est
mconnaissable. Un objet supprim demeure dans le conteneur Objets supprims dans un tat
logiquement supprim pendant toute la dure de la dure de vie dun objet supprim. Pendant la dure
de vie dobjet supprim, vous pouvez rcuprer un objet supprim avec la corbeille Active Directory
et en refaire un objet Active Directory vivant.
La dure de vie dun objet supprim est dtermine par la valeur de lattribut msDSdeletedObjectLifetime. Pour un lment supprim aprs que la corbeille Active Directory a t activ
(objet recycl), la dure de vie dun objet recycl est dtermine par la valeur de lattribut existant
tombstoneLifetime. Par dfaut, msDS-deletedObjectLifetime est dfini sur null. Quand msDSdeletedObjectLifetime est dfini sur null, la dure de vie dun objet supprim est dfinie sur la valeur de
la dure de vie dun objet recycl. Par dfaut, la dure de vie dun objet recycl, qui est enregistre dans
lattribut tombstoneLifetime, est galement dfinie sur null. Quand lattribut tombstoneLifetime est dfini
sur null, la dure de vie dun objet recycl se transfre par dfaut sur 180 jours. Vous pouvez modifier
les valeurs des attributs msDS-deletedObjectLifetime et tombstoneLifetime tout moment. Quand
msDS-deletedObjectLife est dfini sur une certaine valeur autre que null, il nassume plus la valeur
de tombstoneLifetime.
linvite du module Active Directory pour Windows PowerShell, utilisez lapplet de commande
Enable-ADOptionalFeature.
partir du centre dadministration Active Directory, slectionnez le domaine, puis cliquez sur
Activer la corbeille Active Directory dans le volet de tches.
Seuls des lments supprims aprs lactivation de la corbeille Active Directory peuvent tre restaurs
partir de la corbeille Active Directory.
Dans Windows Server 2012, le centre dadministration Active Directory fournit une interface graphique
pour restaurer des objets AD DS qui sont supprims. Quand la corbeille Active Directory a t active,
le conteneur Objets supprims est visible dans le centre dadministration Active Directory. Les objets
supprims seront visibles dans ce conteneur jusqu ce que leur dure de vie dobjet supprim ait expir.
Vous pouvez choisir de restaurer les objets leur emplacement dorigine ou un autre emplacement
dans AD DS.
3-37
A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour
soccuper du sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et
client Windows Server 2012.
A. Datum fait plusieurs modifications dorganisation qui requirent des modifications portant sur
linfrastructure AD DS. Un nouvel emplacement requiert une mthode scurise de fournir AD DS sur site
et vous avez t invit tendre les fonctions de la corbeille Active Directory lorganisation entire.
Ordinateur(s) virtuel(s)
22411B-LON-DC1
22411B-LON-SVR1
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Module 4
Gestion des comptes dutilisateurs et de service
Table des matires :
Vue d'ensemble du module
4-1
4-2
4-8
4-15
4-22
4-26
La gestion des comptes dutilisateurs dans un environnement dentreprise peut tre une tche ardue.
Assurez-vous de configurer correctement les comptes dutilisateurs dans votre environnement et de les
protger contre lutilisation non autorise et contre les utilisateurs qui abusent de leurs privilges de
compte. Si vous utilisez des comptes de service ddis pour les services systme et les processus darrire
plan, et que vous dfinissez des stratgies de comptes appropries, vous pouvez vous assurer que votre
environnement Windows Server 2012 donne aux utilisateurs et aux applications laccs dont ils ont
besoin pour fonctionner correctement.
Ce module indique comment grer dimportants groupes de comptes dutilisateurs, explique les
diffrentes options disponibles pour fournir la scurit par mot de passe adapte aux comptes dans votre
environnement, et prsente comment configurer des comptes pour assurer lauthentification des services
systme et des processus en arrire plan.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
Leon 1
4-2
Les utilisateurs et les ordinateurs Active Directory, ainsi que le centre dadministration Active Directory
fournissent des interfaces utilisateur graphiques pour la cration dun ou plusieurs comptes dutilisateurs.
Mme sil est facile de naviguer dans linterface fournie par ces outils, la cration de plusieurs utilisateurs
ou la ralisation de modifications pour plusieurs utilisateurs peut tre complique. Windows Server 2012
vous offre un certain nombre doutils qui vous permettent de grer des comptes dutilisateurs de faon
plus efficace dans votre domaine de services de domaine Active Directory (AD DS). Cette leon prsente
les outils qui vous permettent deffectuer des tches telles que la modification dattributs dutilisateur
pour de nombreux dutilisateurs, la recherche d utilisateurs, ainsi que limportation et lexportation
dutilisateurs partir et vers des sources de donnes ou rpertoires externes.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
expliquer comment exporter des utilisateurs laide de loutil change de donnes de valeurs
spares par des virgules ;
expliquer comment importer des utilisateurs laide de loutil change de donnes de valeurs
spares par des virgules ;
dcrire comment importer des comptes dutilisateurs laide du standard Internet LDIFDE
(LDAP Data Interchange Format) ;
Loutil change de donnes de valeurs spares par des virgules est un outil de ligne de commande qui
exporte ou importe des objets AD DS partir ou vers un fichier texte dlimit par des virgules, galement
appel fichier de valeurs spares par des virgules ou fichier .csv. Vous pouvez crer, modifier et ouvrir
des fichiers .csv laide doutils courants tels que Bloc-notes ou Microsoft Office Excel. En outre, vous
pouvez utiliser ces fichiers pour exporter les informations dAD DS en vue de les utiliser dans dautres
zones de votre organisation ou pour importer les informations dautres sources pour la cration ou la
modification des objets AD DS de votre domaine.
Voici la syntaxe de base de la commande de loutil change de donnes de valeurs spares par des
virgules pour lexportation :
csvde -f filename
Cependant, cette commande exporte tous les objets de votre domaine Active Directory. Vous pouvez
limiter ltendue de lexportation laide des quatre paramtres suivants :
-d RootDN. Spcifie le nom unique du conteneur partir duquel lexportation commence. La valeur
par dfaut est le domaine lui-mme.
-p SearchScope. Spcifie ltendue de recherche relative au conteneur spcifi par -d. SearchScope
peut prendre la valeur base (cet objet uniquement), onelevel (objets de ce conteneur) ou subtree (ce
conteneur et tous les sous-conteneurs). La valeur par dfaut est subtree.
4-3
-r Filter. Filtre les objets retourns dans ltendue configure par -d et -p. Le filtre est spcifi dans la
syntaxe de requte du protocole LDAP (Lightweight Directory Access Protocol). Vous allez utiliser un
filtre dans latelier pratique de cette leon. La syntaxe de la requte LDAP nest pas traite dans ce
cours. Pour plus dinformations, consultez la page http://go.microsoft.com/fwlink/?LinkId=168752
(Certains de ces sites adresses dans ce cours sont en anglais.).
-l ListOfAttributes. Spcifie les attributs exporter. Utilisez le nom LDAP pour chaque attribut, spar
par une virgule, comme dans
-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
Aprs lexportation via loutil change de donnes de valeurs spares par des virgules, les noms de
lattribut LDAP saffichent sur la premire ligne. Chaque objet saffiche par la suite ( raison dun objet par
ligne) et doit contenir exactement les attributs lists sur la premire ligne, comme illustr dans les
exemples suivants :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
Procdure de dmonstration
1.
2.
Dans la fentre dinvite de commandes, saisissez la commande suivante et appuyez sur Entre :
csvde -f E:\Labfiles\Mod04\UsersNamedRex.csv -r "(name=Rex*)" -l
DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
3.
4.
5.
Vous pouvez galement utiliser loutil change de donnes de valeurs spares par des virgules pour
crer des comptes dutilisateurs en important un fichier .csv. Si les informations utilisateurs figurent dans
des bases de donnes existantes Excel ou Microsoft Office Access, loutil change de donnes de valeurs
spares par des virgules constitue une excellente faon de tirer profit de ces informations afin
dautomatiser la cration de comptes dutilisateurs.
Voici la syntaxe de base de la commande de loutil change de donnes de valeurs spares par des
virgules pour limportation :
csvde -i -f filename -k
4-4
Le paramtre -i spcifie le mode dimportation. Sans ce paramtre, le mode par dfaut de loutil change
de donnes de valeurs spares par des virgules est lexportation. Le paramtre -f identifie le nom de
fichier dimportation ou dexportation. Le paramtre -k est utile lors des oprations dimportation, car il
indique loutil change de donnes de valeurs spares par des virgules dignorer les erreurs, y compris
Lobjet existe dj
Le fichier dimportation lui-mme est un fichier texte dlimit par des virgules (.csv ou .txt) o la
premire ligne dfinit les attributs imports par leurs noms dattribut LDAP. Chaque objet saffiche par la
suite ( raison dun objet par ligne) et doit contenir exactement les attributs lists sur la premire ligne ;
un exemple de fichier se prsente comme suit :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
Ce fichier, une fois import par la commande de loutil change de donnes de valeurs spares par des
virgules, cre un objet utilisateur pour Lisa Andrews dans lunit dorganisation des employs. Le fichier
configure les noms douverture de session, le nom et le prnom de lutilisateur. Vous ne pouvez pas
utiliser loutil change de donnes de valeurs spares par des virgules pour importer des mots de passe.
Sans mot de passe, le compte dutilisateur sera dsactiv au dpart. Vous pouvez activer lobjet dans
AD DS aprs avoir rinitialis le mot de passe.
Dans cette dmonstration, vous allez apprendre :
importer des comptes dutilisateurs avec loutil change de donnes de valeurs spares par
des virgules.
Procdure de dmonstration
1.
2.
Ouvrez une invite de commandes, saisissez la commande suivante et appuyez sur Entre :
csvde -i -f E:\Labfiles\Mod04\NewUsers.csv -k
3.
4.
Examinez les comptes pour confirmer que le prnom, le nom, le nom dutilisateur principal et le nom
de connexion avant linstallation de Windows 2000 sont indiqus conformment aux instructions du
fichier NewUsers.csv.
5.
6.
7.
4-5
Le format de fichier LDIF se compose dun bloc de lignes qui, ensemble, constituent une opration unique.
Plusieurs oprations dun fichier unique sont spares par une ligne vierge. Chaque ligne, comportant une
opration, se compose dun nom dattribut suivi de deux-points et de la valeur de lattribut. Par exemple,
supposons que vous souhaitiez importer des objets utilisateurs pour deux commerciaux nomms Bonnie
Kearney et Bobby Moore. Le contenu du fichier LDIF ressemble lexemple suivant :
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Oprations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@contoso.com
mail: bonnie.kearney@contoso.com
dn: CN=Bobby Moore,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bobby Moore
sn: Moore
title: Legal
description: Legal (New York)
givenName: Bobby
displayName: Moore, Bobby
company: Contoso, Ltd.
sAMAccountName: bobby.moore
userPrincipalName: bobby.moore@contoso.com
mail: bobby.moore@contoso.com
Chaque opration commence avec lattribut du nom de domaine (DN) de lobjet qui est la cible de
lopration. La ligne suivante, changeType, spcifie le type dopration : ajouter, modifier ou supprimer.
Comme vous pouvez le voir, le format de fichier LDIF nest pas aussi intuitif ni familier que le format texte
spar par des virgules. Cependant, tant donn que le format LDIF est aussi un standard, de nombreux
services dannuaire et bases de donnes peuvent exporter les fichiers LDIF.
Aprs la cration ou lobtention dun fichier LDIF, vous pouvez excuter les oprations indiques par
le fichier laide de la commande LDIFDE. Dans une invite de commandes, saisissez ldifde /? pour les
informations dutilisation. Voici les deux commutateurs les plus importants pour la commande LDIFDE :
4-6
-i. Active le mode dimportation. Sans ce paramtre, LDIFDE exporte les informations.
-f Nom de fichier. Le fichier partir duquel effectuer limportation et vers lequel raliser lexportation.
Procdure de dmonstration
1.
2.
Ouvrez une invite de commandes, saisissez la commande suivante et appuyez sur Entre :
ldifde -i -f E:\Labfiles\Mod04\NewUsers.ldf -k
3.
Ouvrez Utilisateurs et ordinateurs Active Directory, puis confirmez que les utilisateurs ont t crs
avec succs.
4.
Examinez les comptes afin de confirmer que les proprits de lutilisateur sont indiques
conformment aux instructions de NewUsers.ldf.
5.
6.
7.
Le module Active Directory pour Windows PowerShell peut galement utiliser le contenu dun fichier .csv
pour importer des objets dans AD DS.
Deux applets de commande sont utilises pour effectuer cette tche :
Import-CSV. Cette applet de commande cre des objets partir des fichiers .csv. Ces derniers
peuvent tre dirigs vers dautres applets de commande Windows PowerShell.
New-ADUser. Cette applet de commande est utilise pour crer les objets imports depuis lapplet
de commande Import-CSV.
Procdure de dmonstration
4-7
1.
Sur LON-DC1, dans Gestionnaire de serveur, ouvrez Utilisateurs et ordinateurs Active Directory
et sous Adatum.com, crez une nouvelle unit dorganisation nomme ImportUsers.
2.
3.
4.
5.
Saisissez les commandes suivantes, puis appuyez sur Entre aprs chaque commande. Lorsque vous tes
invit modifier la stratgie dexcution, appuyez sur Entre pour accepter loption par dfaut O :
Set-ExecutionPolicy remotesigned
E:\Labfiles\Mod04\importusers.ps1
6.
7.
Ouvrez Utilisateurs et ordinateurs Active Directory et vrifiez que les comptes dutilisateurs ont
t imports dans lunit dorganisation ImportUsers.
8.
Leon 2
4-8
En tant quadministrateur, vous devez vrifier que les comptes utilisateurs de votre environnement sont
conformes aux paramtres de scurit tablis par votre organisation. Windows Server 2012 utilise des
stratgies de comptes pour configurer les paramtres relatifs la scurit pour les comptes dutilisateurs.
Ce module vous aide identifier les paramtres disponibles pour configurer la scurit de compte, ainsi
que les mthodes disponibles pour configurer ces paramtres.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Dans Gestion des stratgies de groupe au sein de AD DS, la plupart des paramtres de stratgie peuvent
tre appliqus diffrents niveaux de la structure AD DS : domaine, site ou unit dorganisation.
Cependant, les stratgies de comptes ne peuvent tre appliques qu un seul niveau dans AD DS : au
domaine entier. Par consquent, seul un ensemble de paramtres de stratgie de compte peut tre
appliqu un domaine AD DS.
4-9
Appliquer lhistorique des mots de passe. Il sagit du nombre de nouveaux mots de passe uniques
devant tre associs un compte dutilisateur avant de pouvoir rutiliser un ancien mot de passe.
Par dfaut, ce paramtre est dfini 24 anciens mots de passe. Lorsque vous utilisez ce paramtre
avec le paramtre de dure de vie minimale du mot de passe, le paramtre dapplication de
lhistorique de mot de passe empche la rutilisation constante du mme mot de passe.
Dure de vie maximale du mot de passe. Il sagit du nombre de jours pendant lesquels lutilisateur
peut utiliser un mot de passe avant de devoir le modifier. Le changement rgulier des mots de passe
facilite la prvention de la corruption des mots de passe. Cependant, vous devez quilibrer ce critre
de scurit par rapport aux considrations logistiques, en raison du fait que les utilisateurs sont
amens modifier leurs mots de passe trop souvent. Le paramtre par dfaut de 42 jours est
probablement adapt la plupart des organisations.
Dure de vie minimale du mot de passe. Il sagit du nombre de jours pendant lesquels lutilisateur
doit utiliser un mot de passe avant de pouvoir le modifier. La valeur par dfaut est dun jour, ce qui
est convenable si vous appliquez galement lhistorique de mot de passe. Vous pouvez restreindre
lutilisation constante du mme mot de passe si vous utilisez ce paramtre en mme temps quun
paramtre court pour appliquer lhistorique de mot de passe.
Longueur minimale du mot de passe. Il sagit du nombre minimal de caractres que le mot de passe
dun utilisateur doit contenir. La valeur par dfaut est de sept. Il sagit de la valeur minimale par
dfaut frquemment utilise. Cependant, vous devez envisager daugmenter la longueur du mot de
passe au moins 10 caractres pour amliorer la scurit.
Exigences de complexit. Windows Server comprend un filtre de mot de passe par dfaut qui est
activ par dfaut et vous ne devez pas le dsactiver. Le filtre requiert quun mot de passe prsente les
caractristiques suivantes :
o
Il doit contenir des caractres tirs de trois des quatre groupes ci-dessous :
chiffres [09] ;
Vous pouvez dfinir des seuils de verrouillage de compte, la dure du verrouillage et un mode de
dverrouillage des comptes. Les seuils de verrouillage de compte exigent que les comptes deviennent
inutilisables aprs un certain nombre dchecs douverture de session au cours dune priode dfinie. Les
stratgies de verrouillage de compte permettent de dtecter et dviter les attaques en force sur les mots
de passe des comptes. Les paramtres disponibles sont les suivants :
Dure de verrouillage des comptes. Dfinit le nombre de minutes pendant lesquelles un compte
verrouill reste verrouill. Une fois que ce dlai indiqu est coul, le compte est dverrouill
automatiquement. Pour indiquer quun administrateur doit dverrouiller le compte, dfinissez la
valeur 0. Pensez utiliser des stratgies de mot de passe prcises pour forcer les administrateurs
dverrouiller les comptes prsentant un niveau de scurit lev. Configurez ensuite ce paramtre
30 minutes pour les utilisateurs normaux.
Stratgie Kerberos
Les options de configuration de la stratgie Kerberos contiennent les paramtres du ticket TGT (TicketGranting Ticket) de protocole Kerberos version 5, ainsi que les paramtres de dures de vie et dhorodatage
des tickets de session. Les paramtres par dfaut sont adapts la plupart des organisations.
4-11
Dans lenvironnement de domaine AD DS, les paramtres de stratgie de compte lchelle du domaine
sont configurs dans la console de gestion des stratgies de groupe. Les paramtres peuvent tre trouvs
dans Configuration ordinateur, en dveloppant le nud Stratgies, en dveloppant sous le nud
Paramtres Windows, en dveloppant le nud Paramtres de scurit, puis en dveloppant le nud
Stratgies de comptes.
Les paramtres trouvs dans le nud Stratgies de comptes sont les mmes paramtres trouvs
dans la stratgie de scurit locale, en plus des paramtres de stratgie Kerberos qui sappliquent
lauthentification de domaine.
Les paramtres de stratgie de compte de stratgie de groupe existent dans le modle de chaque objet
Stratgie de groupe (GPO) cr dans la console GPMC. Cependant, vous pouvez appliquer une stratgie
de compte seulement une fois dans un domaine et seulement dans un objet Stratgie de groupe. Cest la
stratgie de domaine par dfaut, et elle lie la racine du domaine AD DS. En tant que tels, les paramtres
de stratgie de compte dans la stratgie de domaine par dfaut sappliquent chaque ordinateur qui est
joint au domaine.
Remarque : En cas de conflit entre les paramtres de stratgie de compte dans la stratgie de
scurit locale et les paramtres de stratgie de compte dans lobjet Stratgie de groupe de la
stratgie de domaine par dfaut, les paramtres de stratgie de domaine par dfaut ont la priorit.
Question : Pourquoi utiliseriez-vous secpol.msc pour configurer les paramtres de stratgie
de compte locale pour un ordinateur Windows Server 2012 au lieu dutiliser les paramtres
de stratgie de compte de stratgie de groupe bass sur le domaine ?
Conteneur de paramtre de mot de passe. Windows Server cre ce conteneur par dfaut, et vous
pouvez lafficher dans le conteneur System du domaine. Le conteneur enregistre les objets PSO que
vous crez et liez aux groupes de scurit globale ou aux utilisateurs.
Objets de paramtres de mot de passe. Les membres du groupe dadministrateurs du domaine crent
des objets PSO, puis dfinissent les paramtres spcifiques de mot de passe et de verrouillage de
compte lier un groupe de scurit ou utilisateur spcifique.
Les stratgies de mot de passe affine sappliquent seulement aux objets utilisateurs (ou aux objets
inetOrgPerson, si vous les utilisez au lieu des objets utilisateurs) et aux groupes de scurit globale. En
liant des Objets de paramtres de mot de passe un utilisateur ou un groupe, vous modifiez un attribut
appel msDS-PSOApplied, qui est vide par dfaut. Cette approche traite maintenant des paramtres de
mot de passe et de verrouillage de compte pas en tant quexigences llchelle du domaine, mais en tant
quattributs un utilisateur ou un groupe.
Par exemple, pour configurer une stratgie stricte de mot de passe pour les comptes dadministrateur,
crez un groupe de scurit globale, ajoutez les comptes dutilisateur administrateur comme membres et
liez un objet PSO au groupe. Lapplication des stratgies de mot de passe affine un groupe de cette
manire est plus grable que lapplication des stratgies chaque compte dutilisateur individuel. Si vous
crez un nouveau compte de service, vous lajoutez simplement au groupe et le compte est alors gr par
lobjet PSO.
Par dfaut, seuls les membres du groupe Administrateurs du domaine peuvent dfinir des stratgies de
mot de passe affine. Cependant, vous pouvez galement dlguer la capacit de dfinir ces stratgies
dautres utilisateurs.
Vous ne pouvez pas appliquer une stratgie de mot de passe affine une unit dorganisation directement.
Pour appliquer une stratgie de mot de passe affine aux utilisateurs dune unit dorganisation, vous
pouvez utiliser un groupe des clichs instantans. Un groupe des clichs instantans est un groupe de
scurit globale qui mappe logiquement une unit dorganisation, et applique une stratgie de mot de
passe affine. Vous pouvez ajouter les utilisateurs dune unit dorganisation comme membres du groupe
des clichs instantans nouvellement cre, puis vous appliquez la stratgie de mot de passe affine ce
groupe des clichs instantans. Si vous dplacez un utilisateur dune unit dorganisation une autre, vous
devez mettre jour lappartenance des groupes des clichs instantans correspondants.
Les paramtres grs par une stratgie de mot de passe affine sont identiques ceux des nuds de
stratgie de mot de passe et de stratgie de comptes dun objet Stratgie de groupe. Cependant, les
stratgies de mot de passe affine ne sont ni implmentes dans le cadre de la stratgie de groupe, ni
appliques dans le cadre dun objet Stratgie de groupe. Il y a plutt une classe distincte dobjet dans
Active Directory qui gre les paramtres pour la stratgie de mot de passe affine : PSO.
Vous pouvez crer un ou plusieurs objets PSO dans votre domaine. Chacun contient un ensemble complet
de paramtres de mot de passe et de stratgie de verrouillage. Les paramtres dun objet PSO est appliqu
en liant lobjet des paramtres de mot de passe un ou plusieurs groupes de scurit globale ou utilisateurs.
Pour utiliser une stratgie de mot de passe affine, votre niveau fonctionnel du domaine doit tre au
moins Windows Server 2008, ce qui signifie que tous vos contrleurs de domaine dans le domaine
excutent au moins Windows Server 2008, et le niveau fonctionnel du domaine a t lev au moins
Windows Server 2008.
Pour confirmer et modifier le niveau fonctionnel du domaine :
1.
2.
3.
Cliquez avec le bouton droit sur le domaine, puis cliquez sur Augmenter le niveau fonctionnel
du domaine.
Windows PowerShell
New-ADFineGrainedPasswordPolicy
4-13
Cet applet de commande est utilis pour crer un nouvel objet PSO et dfinir les paramtres de
lobjet de paramtres de mot de passe. Par exemple, la commande suivante cre un nouvel objet PSO
nomm TestPwd, puis spcifie ses paramtres :
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0"
-MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false ProtectedFromAccidentalDeletion:$true
Add-FineGrainedPasswordPolicySubject
Cet applet de commande vous permet de lier un utilisateur ou un groupe un objet PSO existant. Par
exemple, la commande suivante lie lobjet PSO TestPwd au groupe AD DS nomm group1 :
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects Marketing
Le centre dadministration Active Directory fournit une interface graphique pour crer et grer des objets
PSO. Pour grer des objets PSO dans le centre dadministration Active Directory, suivez cette procdure :
1.
2.
Cliquez sur Grer, cliquez sur Ajouter des nuds de navigation, slectionnez le domaine cible
appropri dans la bote de dialogue Ajouter des nuds de navigation, puis cliquez sur OK.
3.
Dans le volet de navigation Centre dadministration Active Directory, ouvrez le conteneur System,
puis cliquez sur classe dobjets PSC (Password Settings Container).
4.
Dans le volet Tches, cliquez sur Nouveau, puis cliquez sur Paramtres de mot de passe.
5.
Compltez ou modifiez les champs lintrieur de la page de proprit pour crer un nouvel Objet
de paramtres de mot de passe.
6.
Sous Sapplique directement , cliquez sur Ajouter, saisissez Marketing, puis cliquez sur OK.
7.
Cela associe lobjet Stratgie de mot de passe aux membres du groupe global que vous avez cr
pour lenvironnement de test.
8.
Il est possible de lier plusieurs objets PSO un utilisateur ou un groupe de scurit. Vous pouvez faire cela
si un utilisateur est membre de plusieurs groupes de scurit (associs ou non un objet PSO) ou que vous
attribuez plusieurs objets PSO directement un objet utilisateur. Dans ces cas, il est important de
comprendre que vous ne pouvez appliquer quun seul objet PSO comme stratgie de mot de passe efficace.
Si vous attribuez plusieurs objets PSO un utilisateur ou un groupe, lattribut msDSPasswordSettingsPrecedence aide dterminer lobjet PSO en rsultant. Un objet PSO ayant une
valeur infrieure a la priorit sur un objet des paramtres PSO ayant une valeur suprieure.
Le processus suivant dcrit comment Active Directory DS dtermine lobjet PSO rsultant si vous liez
plusieurs objets PSO un utilisateur ou un groupe :
1.
Tout objet PSO que vous liez directement un objet utilisateur est lobjet PSO rsultant. Si vous liez
plusieurs objets PSO directement lobjet utilisateur, lobjet PSO ayant la valeur demsDSPasswordSettingsPrecedence la plus basse est lobjet PSO rsultant. Si deux objets PSO ont la mme
priorit, celui des deux qui a lattribut objectGUID le plus petit mathmatiquement est lobjet
PSO rsultant.
2.
Si vous ne liez aucun objet PSO directement lobjet utilisateur, AD DS compare les objets PSO pour
tous les groupes de scurit globale qui contiennent lobjet utilisateur. Lobjet PSO ayant la valeur
msDS-PasswordSettings la plus basse
La valeur Priorit est lobjet PSO rsultant. Si vous appliquez plusieurs objets PSO au mme
utilisateur et quils ont la mme valeur msDS-PasswordSettingsPrecedence, AD DS applique lobjet
PSO ayant lidentificateur unique global (GUID) le plus petit mathmatiquement.
3.
Si vous ne liez aucun objet PSO lobjet utilisateur, directement ou indirectement (par lappartenance
de groupe), AD DS applique la stratgie de domaine par dfaut.
Tous les objets utilisateurs contiennent un nouvel attribut appel msDS-ResultantPSO. Vous pouvez utiliser
cet attribut pour aider dterminer le nom unique de lobjet PSO que AD DS applique lobjet utilisateur. Si
vous ne liez pas dobjet PSO lobjet utilisateur, cet attribut ne contient aucune valeur et lobjet Stratgie de
groupe de stratgie de domaine par dfaut contient la stratgie de mot de passe efficace.
Pour afficher leffet dune stratgie quAD DS applique un utilisateur, ouvrez Utilisateurs et ordinateurs
Active Directory, puis, sur le menu Affichage, vrifiez que loption Fonctionnalits avances est active.
Ouvrez ensuite les proprits dun compte dutilisateur. Vous pouvez afficher lattribut msDSResultantPSO sur longlet diteur dattributs, si loption Afficher les attributs construits a t
configure dans les options Filtre.
Leon 3
4-15
La cration des comptes dutilisateurs pour fournir lauthentification aux applications, aux services
systme et aux processus en arrire plan est une pratique courante dans lenvironnement Windows.
Historiquement, les comptes ont t crs et souvent nomms pour lutilisation par un service spcifique.
Windows Server 2012 prend en charge les objets comme un compte AD DS appels comptes de service
grs, qui facilitent la gestion des comptes du service et prsentent moins de risque de scurit pour
votre environnement.
Cette leon vous prsentera les comptes de service grs et la nouvelle fonctionnalit relative ces
comptes sous Windows Server 2012.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
identifier les difficults dutiliser des comptes dutilisateur standard pour les services ;
Un effort dadministration supplmentaire peut tre ncessaire pour grer le mot de passe de compte
du service de manire scurise. Cela comprend des tches telles que la modification du mot de
passe et la rsolution des situations qui provoquent un verrouillage de compte. Les comptes du
service sont en gnral configurs galement pour avoir des mots de passe qui nexpirent pas, ce qui
peut aller lencontre les stratgies de scurit de votre organisation.
Il peut savrer difficile de dterminer o un compte bas sur le domaine est utilis comme compte
de service. Un compte dutilisateur standard peut tre utilis pour plusieurs services sur divers
serveurs dans tout lenvironnement. Une tche simple, telle que la modification du mot de passe,
peut provoquer des problmes dauthentification pour certaines applications. Il est important de
savoir o et comment un compte dutilisateur standard est utilis quand il est associ avec un service
dapplication.
Un effort dadministration supplmentaire peut tre ncessaire pour grer le nom principal de service.
Lutilisation dun compte dutilisateur standard peut requrir ladministration manuelle du nom
principal de service. Si le compte douverture de session du service change, le nom de lordinateur est
modifi. Ou, si une proprit de nom dhte du systme DNS est modifie, les inscriptions du nom
principal de service peuvent devoir tre manuellement modifies pour reflter la modification. Un
nom principal de service mal configur pose des problmes dauthentification avec le service
dapplication.
Windows Server 2012 prend en charge un objet AD DS utilis pour faciliter la gestion de compte du
service, appel compte de service gr. Les rubriques suivantes fournissent des informations sur les
exigences et lutilisation des comptes de service grs sous Windows Server 2012.
4-17
Alternativement, il est tout fait courant quune application puisse utiliser un compte de domaine
standard qui est configur spcifiquement pour lapplication. Cependant, linconvnient majeur est que
vous devez grer des mots de passe manuellement, ce qui augmente leffort dadministration.
Un compte de service gr peut fournir une application son propre unique compte, tout en liminant le
besoin dadministrer les informations didentification du compte manuellement par un administrateur.
Les comptes de service grs sont enregistrs dans AD DS comme des objets msDSManagedServiceAccount. Cette classe hrite des aspects structurels de la classe Ordinateur (qui hrite
de la classe Utilisateur). Cela permet un compte de service gr daccomplir des fonctions comme un
utilisateur, telles que la fourniture de lauthentification et du contexte de scurit pour un service en cours
dexcution. Cela permet galement un compte de service gr dutiliser le mme mcanisme de mise
jour de mot de passe utilis par les objets Ordinateur dans AD DS, un processus qui ne requiert aucune
intervention de lutilisateur.
Les comptes de service grs offrent les avantages suivants pour simplifier ladministration :
Gestion automatique des mots de passe. Un compte de service gr gre automatiquement son
propre mot de passe, y compris les modifications de mot de passe.
Gestion simplifie du nom du principal du serveur. La gestion du nom du principal du serveur peut
tre effectue automatiquement si votre domaine est configur au niveau fonctionnel du domaine
de Windows Server 2008 R2 ou versions plus rcentes.
Les comptes de service grss sont enregistrs dans le conteneur CN=Managed Service Accounts,
DC=<domain>, DC=<com>. Vous pouvez voir cela en activant loption Fonctionnalit avance dans le
menu Affichage dans Utilisateurs et ordinateurs Active Directory. Ce conteneur est visible par dfaut dans
le centre dadministration Active Directory.
Pour utiliser un compte de service gr, le serveur qui excute le service ou lapplication doit
excuter Windows Server 2008 R2 ou Windows Server 2012. Vous devez galement vrifier que
.NET Framework 3.5.x et le module Active Directory pour Windows PowerShell sont tous les deux installs
sur le serveur.
Remarque : Un compte de service gr standard ne peut tre ni partag entre plusieurs
ordinateurs, ni utilis dans les clusters de serveurs o le service est rpliqu entre les nuds.
Pour simplifier et fournir la gestion compltement automatique de mot de passe et de nom principal du
serveur, nous recommandons vivement que le domaine AD DS soit au niveau fonctionnel de Windows
Server 2008 R2 ou version plus rcente. Cependant, si vous avez un contrleur de domaine excutant
Windows Server 2008 ou Windows Server 2003, vous pouvez mettre jour le schma Active Directory
vers Windows Server 2008 R2 pour prendre en charge cette fonctionnalit. Le seul inconvnient est que
ladministrateur de domaine doit configurer les donnes du nom principal du serveur manuellement pour
les comptes de service grs.
Pour mettre jour le schma dans Windows Server 2008, Windows Server 2003 ou des environnements
de mode mixte, vous devez effectuer les tches suivantes :
1.
2.
Dployez un contrleur de domaine excutant Windows Server 2008 R2, Windows Server 2008 avec
le Service passerelle de gestion Active Directory ou Windows Server 2003 avec le Service passerelle
de gestion Active Directory.
Considrations pour les comptes de service grs sur des contrleurs de domaine
de Windows Server 2012
Sur Windows 2012, les comptes de service grs sont crs comme le nouveau type dobjet de compte de
groupe de service gr par dfaut. Cependant, pour adapter cela, vous devez remplir lune des conditions
pour les comptes de service grs de groupe avant que vous puissiez crer nimporte quel compte de
service gr sur un contrleur de domaine de Windows 2012.
Sur un contrleur de domaine de Windows 2012, une cl racine de services de distribution de cl doit
tre cre pour le domaine avant quaucun compte de service gr puisse tre cr. Pour crer la cl
racine, excutez lapplet de commande suivant partir du module Active Directory PowerShell pour
Windows PowerShell :
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))
Vous trouverez des informations supplmentaires sur les Comptes de service grs de groupe
(notamment des explications supplmentaires sur lapplet de commande ci-dessus) et la cration
de cl racine de Services de distribution de cls plus loin dans cette leon.
Add-KDSRootkey cre la cl racine des services de distribution de cls pour prendre en charge les
comptes de service grs de groupe, une configuration requise sur les contrleurs de domaine de
Windows Server 2012 :
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))
4-19
Procdure de dmonstration
Crer la cl racine des services de distribution de cls pour le domaine.
1.
Sur LON-DC1, partir du Gestionnaire de serveur, ouvrez la console Module Active Directory
pour Windows PowerShell.
2.
Utilisez lapplet de commande Add-KDSRootKey pour crer la cl racine des services de distribution
de cls du domaine.
Sur LON-DC1, ouvrez la console Module Active Directory pour Windows PowerShell.
2.
3.
4.
Sur LON-SVR1, ouvrez la console Module Active Directory pour Windows PowerShell.
2.
3.
4.
Ouvrez les pages Proprits pour le service Identit de lapplication, puis slectionnez longlet
Connexion.
5.
Au moins un contrleur de domaine doit excuter Windows Server 2012 pour stocker les
informations de mot de passe gr.
Une cl racine de services KDS doit tre cre sur un contrleur de domaine dans le domaine.
Pour crer la cl racine de services KDS, excutez la commande suivante partir du module Active
Directory pour Windows PowerShell sur un contrleur de domaine de Windows Server 2012 :
Add-KdsRootKey EffectiveImmediately
4-21
Sur un contrleur de domaine de Windows Server 2012, crez un nouveau compte de service
gr laide de lapplet de commande New-ADServiceAccount avec le paramtre
PrinicipalsAllowedToRetrieveManagedPassword. Ce paramtre accepte un ou plusieurs comptes
dordinateur spars par des virgules ou des groupes AD DS qui sont autoriss obtenir les informations
de mot de passe pour le compte de service gr de groupe qui est enregistr dans AD DS sur des
contrleurs de domaine de Windows Server 2012.
Par exemple, lapplet de commande suivant crera un nouveau compte de service gr de groupe appel
SQLFarm, et permet aux htes LON-SQL1, LON-SQL2, et LON-SQL3 dutiliser le compte de service gr
de groupe :
New_ADServiceAccount Name LondonSQLFarm PrincipalsAllowedToRetrieveManagedPassword
LON-SQL1, LON-SQL2, LON-SQL3
Les groupes de scurit AD DS peuvent tre utiliss pour identifier des comptes de service
gr de groupe. Quand vous utilisez un groupe AD DS pour le paramtre
PrincipalsAllowedToRetriveManagedPassword, tous les ordinateurs qui sont membres de ce groupe
seront autoriss rcuprer le mot de passe et utiliser la fonctionnalit de groupe de compte de service
gr. Lors de lutilisation dun groupe AD DS comme principal autoris rcuprer un mot de passe gr,
tous les comptes qui sont membres du groupe auront galement la mme fonction.
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs London pour assister le
bureau de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client de
Windows Server 2012, et doit implmenter des modifications de la faon dont les comptes dutilisateurs
sont grs dans lenvironnement.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateur virtuel
20411B-LON-DC1
Nom dutilisateur
Administrator
Mot de passe
Pa$$w0rd
Module 5
5-1
5-2
5-12
5-20
5-39
5-46
5-53
La stratgie de groupe fournit une infrastructure dans laquelle vous pouvez dfinir des paramtres de
manire centralise et les dployer aux utilisateurs et aux ordinateurs de votre entreprise. Dans un
environnement gr par une infrastructure bien implmente de stratgie de groupe, il y a trs peu de
configuration par un administrateur touchant directement lordinateur dun utilisateur. Vous pouvez
dfinir, appliquer et mettre jour toute la configuration laide des paramtres des objets de stratgie
de groupe (GPO) ou du filtrage dobjets de stratgie de groupe. laide des paramtres de lobjet de
stratgie de groupe, vous pouvez affecter un site ou un domaine entier au sein dune entreprise ou
focaliser sur une seule unit dorganisation (OU). Ce module dtaillera ce quest la stratgie de groupe,
comment elle fonctionne et comment limplmenter mieux dans votre organisation.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
Dcrire les composants et les technologies qui comportent la structure de stratgie de groupe.
Limiter en tendue les objets de stratgie de groupe laide des liens, des groupes de scurit,
des filtres WMI (Windows Management Instrumentation), du traitement par boucle de rappel
et du ciblage de prfrence.
Localiser les journaux des vnements qui contiennent des vnements lis la stratgie de groupe
et dpanner lapplication de stratgie de groupe.
Leon 1
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
5-2
La gestion de la configuration est une approche centralise appliquer une ou plusieurs modifications
dun ou plusieurs utilisateurs ou ordinateurs. Les lments cls de la gestion de la configuration sont
les suivants :
Paramtre. Un paramtre est galement appel une dfinition centralise dune modification.
Le paramtre amne un utilisateur ou un ordinateur un tat dsir de configuration.
tendue. Ltendue la modification est la capacit de modifier les ordinateurs des utilisateurs.
Application. Lapplication est un mcanisme ou processus qui assure que le paramtre est appliqu
aux utilisateurs et aux ordinateurs au sein de ltendue.
La stratgie de groupe est une structure au sein de Windows, avec des composants qui rsident dans les
services de domaine Active Directory (AD DS), sur des contrleurs de domaine, et sur chaque serveur et
client Windows, qui vous permet de grer la configuration dans un domaine AD DS.
5-3
La stratgie de groupe gre divers paramtres de stratgie, et la structure de la stratgie de groupe est
extensible. En fin de compte, vous pouvez grer nimporte quel paramtre configurable avec la stratgie
de groupe.
Dans lditeur de gestion des stratgies de groupe, vous pouvez dfinir un paramtre de stratgie
en double-cliquant dessus. La bote de dialogue Proprits du paramtre de stratgie saffiche.
Un paramtre de stratgie peut avoir trois tats : Non configur, Activ et Dsactiv.
Dans un nouvel objet de stratgie de groupe, chaque paramtre de stratgie est par dfaut Non
configur. Cela signifie que lobjet de stratgie de groupe ne peut pas modifier la configuration existante
de ce paramtre particulier pour un utilisateur ou un ordinateur. Si vous activez ou dsactivez un
paramtre de stratgie, cela modifie la configuration des utilisateurs et des ordinateurs auxquels lobjet de
stratgie de groupe est appliqu. Quand vous remettez un paramtre son tat Non configur, vous le
remettez sa valeur par dfaut.
Leffet de la modification dpend du paramtre de stratgie. Par exemple, si vous activez le paramtre de
stratgie Empche laccs aux outils de modifications du Registre, les utilisateurs ne peuvent pas
lancer lditeur du registre Regedit.exe. Si vous dsactivez le paramtre de stratgie, vrifiez que les
utilisateurs peuvent lancer lditeur du registre. Remarquez le double ngatif dans ce paramtre de
stratgie : vous dsactivez une stratgie qui empche une action, vous permettez ainsi cette action.
Certains paramtres de stratgie regroupent plusieurs configurations en une seule stratgie et celles-ci
pourraient requrir des paramtres supplmentaires.
Remarque : Beaucoup de paramtres de stratgie sont complexes, et leur activation ou
dsactivation peut avoir des effets peu vidents. En outre, certains paramtres de stratgie
affectent uniquement certaines versions du systme dexploitation Windows. Veillez examiner le
texte explicatif dun paramtre de stratgie dans le volet dinformations de lditeur de gestion
des stratgies de groupe ou sur longlet Expliquer dans la bote de dialogue Proprits du
paramtre de stratgie. En outre, testez toujours les effets dun paramtre de stratgie et ses
interactions avec dautres paramtres de stratgie avant de dployer une modification de votre
environnement de production.
5-4
Dans le systme dexploitation Windows Server 2012, les objets de stratgie de groupe comprennent un
grand nombre de paramtres relatifs la scurit que vous pouvez appliquer aux utilisateurs et aux
ordinateurs. Par exemple, vous pouvez appliquer des paramtres au pare-feu Windows et configurer les
paramtres daudit et autres paramtres de scurit. Vous pouvez galement configurer des ensembles
complets des attributions des droits dutilisateurs.
Vous pouvez utiliser une stratgie de groupe pour fournir un environnement cohrent de bureau et des
applications tous les utilisateurs au sein de votre organisation. laide des objets de stratgie de groupe,
vous pouvez configurer chaque paramtre qui affecte lapparence et la convivialit de lenvironnement
utilisateur et configurer galement les paramtres de certaines applications qui prennent en charge les
objets de stratgie de groupe.
5-5
Avec la redirection de dossier, vous pouvez grer et sauvegarder des donnes de manire rapide et facile.
En redirigeant des dossiers, vous assurez galement que les utilisateurs aient accs leurs donnes
indpendamment de lordinateur sur lequel ils se connectent. En outre, vous pouvez centraliser toutes les
donnes dutilisateurs en un seul endroit sur le serveur rseau, tout en offrant une exprience utilisateur
semblable lenregistrement de ces dossiers sur leurs ordinateurs. Par exemple, vous pouvez configurer la
redirection de dossier pour rediriger les dossiers Documents des utilisateurs vers un dossier partag sur un
serveur rseau.
Lutilisation de la stratgie de groupe vous permet de configurer divers paramtres rseau sur des
ordinateurs client. Par exemple, vous pouvez appliquer des paramtres aux rseaux sans fil pour
permettre aux utilisateurs de se connecter uniquement aux identifiants SSID spcifiques, et avec des
paramtres prdfinis dauthentification et de chiffrement. Vous pouvez galement dployer les stratgies
qui sappliquent aux paramtres de rseau cbl et configurer galement le ct client des services, tels
que la protection daccs rseau (NAP).
Pour crer un nouvel objet de stratgie de groupe, cliquez avec le bouton droit sur le conteneur Objets
de stratgie de groupe, puis cliquez sur Nouveau.
Pour modifier les paramtres de configuration dans un objet de stratgie de groupe, cliquez avec le
bouton droit sur lobjet de stratgie de groupe, puis cliquez sur Modifier. Le composant logiciel
enfichable diteur de gestion des stratgies de groupe souvre.
5-6
Lditeur de gestion des stratgies de groupe affiche les milliers de paramtres de stratgie disponibles
dans un objet de stratgie de groupe selon une hirarchie organise qui commence par la division entre
les paramtres de lordinateur et les paramtres utilisateurs : le nud Configuration ordinateur et le
nud Configuration utilisateur.
Les deux niveaux suivants de la hirarchie sont des nuds appels Stratgies et Prfrences. Vous
apprendrez la diffrence entre ces deux nuds plus tard dans ce module. En descendant le long de la
hirarchie, vous pouvez voir que lditeur de gestion des stratgies de groupe affiche les dossiers, qui sont
galement appels des nuds ou des groupes de paramtre de stratgie. Dans les dossiers, il y a les
paramtres de stratgie eux-mmes.
Remarque : Lobjet de stratgie de groupe doit tre appliqu un domaine, un site, ou
une unit dorganisation dans la hirarchie AD DS pour les paramtres au sein de lobjet pour
entrer en vigueur.
Vous pouvez utiliser plusieurs mthodes pour grer ltendue des objets de stratgie de groupe.
La premire est la liaison de lobjet de stratgie de groupe. Vous pouvez lier des objets de stratgie de
groupe aux sites, aux domaines et aux units dorganisation dans AD DS. Le site, le domaine ou lunit
dorganisation devient alors ltendue maximale de lobjet de stratgie de groupe. Tous les ordinateurs et
utilisateurs au sein du site, du domaine ou de lunit dorganisation, y compris ceux au sein des units
dorganisation enfants, seront affects par les configurations que les paramtres de stratgie dans lobjet
de stratgie de groupe spcifient.
Remarque : Vous pouvez lier un objet de stratgie de groupe plusieurs domaines, units
dorganisation ou sites. La liaison des objets de stratgie de groupe plusieurs sites peut prsenter
des problmes de performances quand la stratgie est applique, et vous devez viter de lier un
objet de stratgie de groupe plusieurs sites. Cest parce que dans un rseau multisite, les objets de
stratgie de groupe sont enregistrs dans les contrleurs de domaine du domaine racine de fort.
La consquence de cela est que les ordinateurs dans dautres domaines peuvent devoir parcourir
une liaison lente de rseau tendu (WAN) pour obtenir les objets de stratgie de groupe.
5-7
Vous pouvez rtrcir davantage ltendue de lobjet de stratgie de groupe avec lun des deux types de
filtres. Les filtres de scurit spcifient les groupes de scurit qui tombent au sein de ltendue de lobjet
de stratgie de groupe, mais auxquels lobjet de stratgie de groupe devrait ou ne devrait pas sappliquer
explicitement. Les filtres WMI spcifient une tendue laide des caractristiques dun systme, telles que
la version du systme dexploitation ou lespace disque disponible. Utilisez les filtres de scurit et les
filtres WMI pour rtrcir ou spcifier ltendue dans ltendue initiale que la liaison de lobjet de stratgie
de groupe a cre.
Remarque : Windows Server 2008 comprend un nouveau composant de stratgie de
groupe : Les prfrences de stratgie de groupe. Les paramtres qui sont configurs par des
prfrences de stratgie de groupe dans un objet de stratgie de groupe peuvent tre filtrs ou
cibls selon plusieurs critres. Les prfrences cibles vous permettent de raffiner davantage
ltendue des prfrences dans un objet de stratgie de groupe unique.
2.
Ce service tlcharge tous les objets de stratgie de groupe qui ne sont pas dj mis en cache.
3.
Les extensions ct client (CSE) interprtent les paramtres dans un objet de stratgie de groupe et
effectuent les modifications appropries lordinateur local ou lutilisateur qui a actuellement
ouvert une session. Il y a des extensions CSE pour chaque catgorie majeure de paramtre de
stratgie. Par exemple, il y a une extension CSE de scurit qui applique des modifications de scurit,
une extension CSE qui excute les scripts de dmarrage et douverture de session, une extension CSE
qui installe les logiciels, et une extension CSE qui effectue des modifications aux cls et aux valeurs
de Registre. Chaque version de Windows a ajout des extensions CSE pour tendre ltendue
fonctionnelle de la stratgie de groupe, et il y a plusieurs dizaines dextensions CSE dans Windows.
Lun des concepts les plus importants dont il faut se souvenir au sujet de la stratgie de groupe est
quelle est trs pilote par le client. Le client de stratgie de groupe extrait les objets de stratgie de
groupe du domaine, dclenchant ainsi les extensions CSE qui doivent sappliquer les paramtres
localement. La stratgie de groupe nest pas une technologie Push.
En fait, vous pouvez configurer le comportement des extensions CSE laide de la stratgie de groupe.
La plupart des extensions CSE appliqueront des paramtres dans un objet de stratgie de groupe
uniquement si cet objet de stratgie de groupe a chang. Ce comportement amliore le traitement de
la stratgie globale, en liminant les applications redondantes des mmes paramtres. La plupart des
stratgies sont appliques de telle manire que les utilisateurs standards ne puissent pas modifier le
paramtre sur leur ordinateur ; ils seront toujours sujets la configuration applique par la stratgie de
groupe. Cependant, les utilisateurs standard peuvent modifier certains paramtres, et beaucoup deux
peuvent tre modifis si un utilisateur est un administrateur sur ce systme. Si les utilisateurs dans votre
environnement sont des administrateurs sur leurs ordinateurs, vous devez envisager de configurer les
extensions CSE pour rappliquer les paramtres de stratgie, mme si lobjet de stratgie de groupe na
pas chang. De cette faon, si un utilisateur administrateur modifie une configuration de sorte quelle
ne soit plus conforme avec la stratgie, cette configuration sera rinitialise son tat conforme la
prochaine actualisation de la stratgie de groupe.
Remarque : Vous pouvez configurer des extensions CSE pour rappliquer des paramtres
de stratgie lors de lactualisation en tche de fond suivante, mme si lobjet de stratgie de
groupe na pas chang. Vous pouvez faire cette opration en configurant un objet de stratgie
de groupe dont ltendue est applique aux ordinateurs, puis en dfinissant les paramtres dans
le nud Configuration de lordinateur\Stratgies\Modles dadministration\Systme\Stratgie
de groupe. Pour chaque extension CSE que vous souhaitez configurer, ouvrez son paramtre de
stratgie du traitement de la stratgie, tel que le traitement de la stratgie du Registre pour
lextension CSE du Registre. Cliquez sur Activ, et activez la case cocher Traiter mme si les
objets de stratgie de groupe nont pas chang.
5-8
Lextension de scurit CSE gre une exception importante aux paramtres de traitement de la stratgie
par dfaut. Les paramtres de scurit sont rappliqus toutes les 16 heures, mme si un objet de
stratgie de groupe na pas chang.
Remarque : Activez le paramtre de stratgie Toujours attendre le rseau lors du dmarrage
de lordinateur et de louverture de session pour tous les clients Windows. Sans ce paramtre, les
clients Windows XP, Windows Vista, Windows 7 et Windows 8 excutent, par dfaut, uniquement des
actualisations en tche de fond. Cela signifie quun client peut dmarrer, et un utilisateur pourrait ensuite
se connecter sans recevoir les dernires stratgies du domaine. Le paramtre est situ dans Configuration
de lordinateur\Stratgies\Modles dadministration\Systme\Ouverture de session. Veillez lire le texte
explicatif du paramtre de stratgie.
Les paramtres de stratgie dans le nud Configuration de lordinateur sont appliqus au dmarrage
du systme, puis toutes les 90 120 minutes. Les paramtres de stratgie de configuration utilisateur sont
appliqus louverture de session, puis toutes les 90 120 minutes. Lapplication des stratgies est
appele actualisation de la stratgie de groupe .
Remarque : Vous pouvez galement forcer lactualisation dune stratgie laide de la
commande GPUpdate.
5-9
Il y a deux grandes subdivisions des paramtres de la stratgie : les paramtre de lordinateur, qui sont
contenus dans le nud Configuration ordinateur, et les paramtres utilisateurs, qui sont contenus dans
le nud Configuration utilisateur :
le nud Configuration ordinateur contient les paramtres qui sont appliqus aux ordinateurs,
indpendamment de celui qui y ouvre une session. Les paramtres de lordinateur sont appliqus
lorsque le systme dexploitation dmarre, pendant les actualisations en tche de fond, et ensuite
toutes les 90 120 minutes.
Le nud Configuration utilisateur contient les paramtres qui sont appliqus quand un utilisateur
ouvre une session dans lordinateur, pendant les actualisations en tche de fond, et ensuite toutes les
90 120 minutes.
Dans les nuds Configuration ordinateur et Configuration utilisateur, il y a les nuds Stratgies et
Prfrences. Les stratgies sont des paramtres qui sont configurs et se comportent de manire similaire
aux paramtres de stratgie dans les systmes dexploitation Windows plus anciens. Les prfrences ont
t prsentes dans Windows Server 2008.
Dans les nuds Stratgies de la configuration ordinateur et de la configuration utilisateur, il y a une
hirarchie des dossiers qui contiennent des paramtres de stratgie. Puisquil y a des milliers de
paramtres, leur examen individuel dpasse le cadre de ce cours. Cependant, il est intressant de dfinir
les grandes catgories des paramtres dans les dossiers.
Le nud Paramtres du logiciel est le premier nud. Il contient uniquement lextension dinstallation
du logiciel, qui vous aide spcifier comment les applications sont installes et gres au sein de votre
organisation.
Nud de scripts
Lextension de scripts vous permet de spcifier deux types de scripts : dmarrage/arrt (dans le nud
Configuration ordinateur) et ouverture/fermeture de session (dans le nud Configuration utilisateur).
Les scripts dmarrage/arrt fonctionnent au dmarrage ou larrt de lordinateur. Les scripts
ouverture/fermeture de session fonctionnent quand un utilisateur ouvre ou ferme une session. Quand
vous attribuez plusieurs scripts ouverture/fermeture de session ou dmarrage/arrt un utilisateur ou
un ordinateur, lextension CSE de scripts excute les scripts de haut en bas. Vous pouvez dterminer
lordre dexcution de plusieurs scripts dans la bote de dialogue Proprits. Lorsquun ordinateur est
arrt, lextension CSE traite dabord les scripts de fermeture de session, ensuite les scripts darrt. Par
dfaut, le dlai de traitement des scripts est de 10 minutes. Si les scripts de fermeture de session et darrt
ont besoin de plus de 10 minutes pour tre traits, vous devez rgler la valeur du dlai avec un paramtre
de stratgie. Vous pouvez vous servir de nimporte quel langage de script ActiveX pour crire les scripts.
Microsoft Visual Basic Scripting Edition (VBScript), Microsoft JScript, Perl et les fichiers de commandes
par lot Microsoft MS-DOS (.bat et .cmd) sont certaines des possibilits. Les scripts douverture de session
sur un rpertoire rseau partag dans une autre fort sont pris en charge pour louverture de session
rseau dans les forts. Windows 7 et Windows 8 prennent galement tous deux en charge les scripts
Windows PowerShell.
Ce nud de qualit de service (QoS), appel nud Qualit de service (QoS) base sur la stratgie,
dfinit les stratgies qui grent le trafic rseau. Par exemple, vous pouvez souhaiter vrifier que les
utilisateurs du service financier ont la priorit pour excuter une application rseau critique au cours de la
priode de dclaration financire de fin danne. Le nud Qualit de service (QoS) base sur la
stratgie vous permet de le faire.
Dans le nud Configuration utilisateur uniquement, le dossier des paramtres Windows contient les
nuds supplmentaires Services dinstallation distance, Redirection de dossiers et Maintenance
Internet Explorer. Les stratgies de services dinstallation distance (RIS) contrlent le comportement
dune installation du systme dexploitation distante. La redirection de dossiers vous permet de rediriger
les donnes dutilisateur et les dossiers de paramtres tels que AppData, Bureau, Documents, Images,
Musique, et Favoris de leur emplacement de profil utilisateur par dfaut un autre emplacement sur le
rseau, o ils peuvent tre grs de manire centralise. La maintenance Internet Explorer vous permet
dadministrer et de personnaliser Windows Internet Explorer.
Dans longlet Expliquer dans la bote de dialogue Proprits du paramtre. En outre, longlet
Paramtres de la bote de dialogue Proprits de chaque paramtre rpertorie galement le
systme dexploitation ou le logiciel requis pour le paramtre.
Dans longlet tendu de lditeur de gestion des stratgies de groupe. Longlet tendu apparat sur
la partie droite infrieure du volet dinformations, et donne une description de chaque paramtre
slectionn dans une colonne entre larborescence de la console et le volet de paramtres. Le systme
dexploitation ou le logiciel requis pour chaque paramtre est galement rpertori.
Demonstration
Cette dmonstration montre comment :
5-11
1.
2.
crer un objet de stratgie de groupe appel Bureau dans le conteneur Stratgie de groupe ;
3.
dans la configuration ordinateur, empcher le dernier nom de connexion de safficher, puis empcher
Windows Installer de sexcuter ;
4.
dans la configuration utilisateur, supprimer le lien Rechercher du menu Accueil, puis masquer longlet
de paramtres daffichage.
Procdure de dmonstration
Utiliser la console GPMC pour crer un nouvel objet de stratgie de groupe
1.
2.
3.
2.
3.
Dans la configuration utilisateur, supprimez le lien Rechercher du menu Accueil, puis masquez
longlet de paramtres daffichage.
4.
Leon 2
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Dcrire comment utiliser Windows PowerShell pour grer des objets de stratgie de groupe.
Cet objet de stratgie de groupe est li au domaine et na ni groupe de scurit, ni filtre WMI. Par
consquent, il affecte tous les utilisateurs et ordinateurs du domaine, y compris les ordinateurs qui sont
des contrleurs de domaine. Cet objet de stratgie de groupe contient des paramtres de stratgie qui
spcifient les stratgies de mot de passe, de verrouillage de compte et de protocole Kerberos version 5.
Vous ne devez pas ajouter de paramtres de stratgie indpendants cet objet de stratgie de groupe.
Si vous devez configurer dautres paramtres appliquer largement votre domaine, crez des objets de
stratgie de groupe supplmentaires qui sont lis au domaine.
5-13
Cet objet de stratgie de groupe est li lunit dorganisation des contrleurs de domaine. Puisque les
comptes dordinateur des contrleurs de domaine sont maintenus exclusivement dans lunit
dorganisation des contrleurs de domaine, et que dautres comptes dordinateur doivent tre maintenus
dans dautres units dorganisation, cet objet de stratgie de groupe affecte uniquement les contrleurs
de domaine. Vous devez modifier lobjet de stratgie de groupe des contrleurs de domaine par dfaut
pour implmenter vos stratgies daudit et pour attribuer les droits dutilisateur requis sur les contrleurs
de domaine.
Remarque : Les ordinateurs Windows ont galement des objets de stratgie
de groupe locaux, qui sont utiliss quand les ordinateurs ne sont pas connects aux
environnements de domaine. Windows Vista, Windows 7, Windows 8, Windows Server 2008,
Windows Server 2008 R2, et Windows Server 2012 prennent en charge la notion de plusieurs
objets de stratgie de groupe locaux. Lobjet de stratgie de groupe dordinateur local est
identique celui des versions Windows prcdentes. Dans le nud Configuration ordinateur,
vous pouvez configurer tous les paramtres relatifs lordinateur. Dans le nud Configuration
utilisateur, vous pouvez configurer les paramtres que vous souhaitez appliquer tous les
utilisateurs sur lordinateur. Les paramtres utilisateur dans lobjet de stratgie de groupe de
lordinateur local peuvent tre modifis par les paramtres utilisateurs dans deux nouveaux
objets de stratgie de groupe locaux : administrateurs et non-administrateurs. Ces deux objets de
stratgie de groupe appliquent des paramtres utilisateurs aux utilisateurs connects selon quils
sont membres du groupe dadministrateurs locaux, auquel cas ils utilisent lobjet de stratgie de
groupe administrateurs, ou pas membres du groupe dadministrateurs et utilisent, dans ce cas,
lobjet de stratgie de groupe non administrateurs. Vous pouvez affiner davantage les
paramtres utilisateur avec un objet de stratgie de groupe local qui sapplique un compte
utilisateur spcifique. Les objets de stratgie de groupe locaux spcifiques lutilisateur sont
associs aux comptes dutilisateurs locaux et non ceux du domaine.
Il est important de comprendre que le paramtre de lobjet de stratgie de groupe bas sur un
domaine est combin avec ceux appliqus en utilisant les objets de stratgie de groupe locaux,
mais comme les objets de stratgie de groupe bass sur un domaine sappliquent en dernier,
ils ont la priorit sur les paramtres de lobjet de stratgie de groupe local.
Le client de stratgie de groupe peut identifier un objet de stratgie de groupe mis jour par son numro
de version. Chaque objet de stratgie de groupe a un numro de version qui est incrment chaque fois
quune modification est faite. Le numro de version est enregistr comme attribut de conteneur de
stratgie de groupe et dans un fichier texte, Group Policy template.ini, dans le dossier Modle de stratgie
de groupe. Le client de stratgie de groupe connat le numro de version de chaque objet de stratgie de
groupe quil a prcdemment appliqu. Si, pendant lactualisation de la stratgie de groupe, le client de
stratgie de groupe dcouvre que le numro de version du conteneur de la stratgie de groupe a t
modifi, les extensions CSE seront informes que lobjet de la stratgie de groupe est mis jour.
Rplication GPO
Le conteneur de la stratgie de groupe et le modle de la stratgie de groupe sont tous les deux rpliqus
entre tous les contrleurs de domaine dans AD DS. Cependant, diffrents mcanismes de rplication sont
utiliss pour ces deux lments.
Le conteneur de la stratgie de groupe dans AD DS est rpliqu par lagent de duplication dannuaire
(DRA). Lagent de rcupration de donnes utilise une topologie gnre par le vrificateur de cohrence
des connaissances (KCC), que vous pouvez dfinir ou raffiner manuellement. Le rsultat est que le
conteneur de la stratgie de groupe est rpliqu en quelconques secondes tous les contrleurs de
domaine dans un site et est rpliqu entre les sites selon votre configuration de rplication intersite.
Le modle de la stratgie de groupe dans le volume SYSVOL est rpliqu laide de lune des
deux technologies suivantes : Le service de rplication de fichiers (FRS) est utilis pour rpliquer
le volume SYSVOL dans les domaines excutant Windows Server 2008, Windows Server 2008 R2,
Windows Server 2003, et Windows 2000. Si tous les contrleurs de domaine excutent
Windows Server 2008 ou une version ultrieure, vous pouvez configurer la rplication du volume SYSVOL
laide de la rplication DFS, qui est un mcanisme beaucoup plus efficace et plus fiable.
Puisque le conteneur de la stratgie de groupe et le modle de la stratgie de groupe sont rpliqus
sparment, il est possible quils deviennent hors de synchronisation pendant une courte priode.
En gnral, quand cela se produit, le conteneur de la stratgie de groupe rpliquera dabord sur un
contrleur de domaine. Les systmes qui ont obtenu leur liste trie dobjets de stratgie de groupe
partir de ce contrleur de domaine identifieront le nouveau conteneur de stratgie de groupe, tenteront
de tlcharger le modle de stratgie de groupe et remarqueront que les numros de version ne sont
pas identiques. Une erreur de traitement de stratgie sera enregistre dans les journaux des vnements.
Si linverse se produit, et lobjet de stratgie de groupe rplique sur un contrleur de domaine avant le
conteneur de stratgie de groupe, les clients obtenant leur liste trie dobjets de stratgie de groupe de
ce contrleur de domaine ne seront pas aviss du nouvel objet de stratgie de groupe jusqu ce que le
conteneur de stratgie de groupe ait t rpliqu.
5-15
Les objets de stratgie de groupe Starter prconfigurs de Microsoft sont disponibles pour des systmes
dexploitation client Windows. Ces objets de stratgie de groupe Starter contiennent les paramtres
du modle dadministration, qui refltent les bonnes pratiques Microsoft recommandes pour la
configuration de lenvironnement client.
Vous pouvez sauvegarder des objets de stratgie de groupe individuellement ou collectivement avec la
console GPMC. Vous devez indiquer uniquement un emplacement de sauvegarde, qui peut tre nimporte
quel dossier local ou partag valide. Vous devez avoir lautorisation de lecture de lobjet de stratgie de
groupe pour le sauvegarder. Chaque fois que vous effectuez une sauvegarde, une nouvelle version de
sauvegarde de lobjet de stratgie de groupe est cre, ce qui fournit un enregistrement historique.
Vous pouvez restaurer nimporte quelle version dun objet de stratgie de groupe. Si lune devient
corrompue ou si vous la supprimez, vous pouvez alors restaurer lune des versions historiques de cet objet
de stratgie de groupe. Linterface de restauration vous offre la capacit dafficher les paramtres
enregistrs dans la version sauvegarde avant de la restaurer.
Vous pouvez importer les paramtres de stratgie dun objet de stratgie de groupe dans un autre.
Limportation dun objet de stratgie de groupe vous permet de transfrer des paramtres partir dun
objet de stratgie de groupe sauvegard vers un objet de stratgie de groupe existant. Limportation
dun objet de stratgie de groupe transfre uniquement les paramtres de lobjet de stratgie de groupe.
Le processus dimportation nimporte pas les liaisons de lobjet de stratgie de groupe. Les entits de
scurit dfinies dans la source peuvent devoir tre migres la cible.
Remarque : Il nest pas possible de fusionner les paramtres imports avec les paramtres
actuels de lobjet de stratgie de groupe cible. Les paramtres imports remplaceront tous les
paramtres existants.
Vous pouvez copier les objets de stratgie de groupe laide de la console GPMC, dans le mme domaine
et entre les domaines. Une opration de copie copie un objet de stratgie de groupe dynamique existant
dans le domaine de destination souhait. Un nouvel objet de stratgie de groupe est toujours cr
pendant ce processus. Le nouvel objet de stratgie de groupe est nomm copie dOldGPOName . Par
exemple, si vous avez copi un objet de stratgie de groupe nomm Bureau , la nouvelle version sera
appele Copie de Bureau . Une fois le fichier copi et coll dans le conteneur des objets de stratgie de
groupe, vous pouvez renommer la stratgie. Le domaine de destination peut tre nimporte quel domaine
approuv o vous avez les droits de crer de nouveaux objets de stratgie de groupe. Lors de la copie
entre domaines, les entits de scurit dfinies dans la source peuvent devoir tre migres la cible.
Remarque : Il nest pas possible de copier les paramtres partir de plusieurs objets de
stratgie de groupe dans un seul objet de stratgie de groupe.
Tables de migration
Lors de limportant des objets de stratgie de groupe ou leur copie entre les domaines, vous pouvez
utiliser des tables de migration pour modifier les rfrences dans lobjet de stratgie de groupe qui
doivent tre rgles pour le nouvel emplacement. Par exemple, vous pouvez devoir remplacer le chemin
daccs de la convention daffectation des noms (UNC) pour la redirection des dossiers par un chemin
UNC adapt au nouveau groupe dutilisateurs auquel lobjet de stratgie de groupe sera appliqu. Vous
pouvez crer des tables de migration avant ce processus ou les crer pendant lopration dimportation
ou de copie entre domaines.
5-17
Gestion des liaisons de stratgies de groupe pour un site, un domaine ou une unit dorganisation
Excution des analyses de modlisation de stratgie de groupe dans un domaine ou une unit
dorganisation donn
Lecture des donnes des rsultats de stratgie de groupe pour des objets dans un domaine
ou une unit dorganisation donn
Le groupe Propritaires crateurs de la stratgie de groupe laisse ses membres crer de nouveaux objets
de stratgie de groupe, et modifie ou supprime les objets de stratgie de groupe quils ont crs.
Admins du domaine
Administrateurs de lentreprise
Propritaire crateur
Systme local
Le groupe Utilisateur authentifi dispose des autorisations Appliquer la stratgie de groupe et Lire.
Par dfaut, seuls les administrateurs du domaine, les administrateurs de lentreprise et les propritaires
crateurs de la stratgie de groupe peuvent crer de nouveaux objets de stratgie de groupe. Vous
pouvez utiliser deux mthodes pour accorder ce droit un groupe ou un utilisateur :
Pour modifier un objet de stratgie de groupe, lutilisateur doit y avoir laccs aussi bien en lecture quen
criture. Vous pouvez accorder cette autorisation laide de la console GPMC.
La capacit de lier des objets de stratgie de groupe un conteneur est une autorisation qui est
spcifique ce conteneur. Dans la console GPMC, vous pouvez grer cette autorisation laide de longlet
Dlgation du conteneur. Vous pouvez galement la dlguer via lAssistant Dlgation de contrle dans
les utilisateurs et les ordinateurs Active Directory.
Nom de lapplet
de commande
Description
New-GPO
New-GPLink
Backup-GPO
Restore-GPO
Copy-GPO
(suite)
Nom de lapplet
de commande
Description
5-19
Get-GPO
Import-GPO
Set-GPInheritance
Par exemple, la commande suivante cre un nouvel objet de stratgie de groupe intitul Ventes :
New-GPO -Name Sales -comment "Voici lobjet de stratgie de groupe Ventes"
Le code suivant importe les paramtres des objets Stratgie de groupe Ventes enregistrs dans le dossier
C:\Sauvegardes dans lobjet de stratgie de groupe NewSales :
import-gpo -BackupGpoName Sales -TargetName NewSales -chemin c:\sauvegardes
Leon 3
Filtrage WMI
Vous devez pouvoir dfinir les utilisateurs ou les ordinateurs auxquels vous envisagez de dployer ces
configurations. En consquence, vous devez matriser lart de dfinir en tendue les objets de stratgie de
groupe. Dans cette leon, vous apprendrez chacun des mcanismes avec lesquels vous pouvez dfinir
ltendue dun objet de stratgie de groupe et, dans ce processus, vous matriserez les concepts de
lapplication, de lhritage et de la priorit de la stratgie de groupe.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Utiliser les filtres de scurit pour filtrer ltendue de lobjet de stratgie de groupe.
Expliquer comment utiliser les filtres WMI pour filtrer ltendue de lobjet de stratgie de groupe.
Expliquer les considrations pour les ordinateurs qui sont dconnects ou qui sont connects
par des liaisons lentes.
Si vous navez pas encore cr un objet de stratgie de groupe, cliquez sur Crer un objet de
stratgie de groupe dans ce {domaine | unit dorganisation | site} et le lier ici.
Vous pouvez choisir les mmes commandes pour lier un objet de stratgie de groupe un site, mais
par dfaut, vos sites AD DS ne sont pas visibles dans la console GPMC. Pour montrer des sites dans la
console GPMC, cliquez avec le bouton droit sur Sites dans larborescence de la console GPMC, puis
cliquez sur Montrer les sites.
Remarque : Un objet de stratgie de groupe li un site affecte tous les ordinateurs dans
ce site, abstraction faite du domaine auquel les ordinateurs appartiennent, tant que tous ces
ordinateurs appartiennent la mme fort Active Directory. Par consquent, quand vous liez un
objet de stratgie de groupe un site, cet objet de stratgie de groupe peut tre appliqu
plusieurs domaines dans une fort. Les objets de stratgie de groupe lis aux sites sont
enregistrs sur des contrleurs de domaine dans le domaine o vous crez lobjet de stratgie de
groupe. Par consquent, les contrleurs de domaine pour ce domaine doivent tre accessibles
pour que les objets de stratgie de groupe lis aux sites soient appliqus correctement. Si vous
implmentez des stratgies lies aux sites, vous devez examiner lapplication de la stratgie au
moment de la planification de votre infrastructure rseau. Vous pouvez soit placer un contrleur
de domaine du domaine de lobjet de stratgie de groupe dans le site auquel la stratgie est lie,
soit vrifier quune connectivit WAN fournit laccessibilit un contrleur de domaine dans le
domaine de lobjet de stratgie de groupe.
Quand vous liez un objet de stratgie de groupe un conteneur, vous dfinissez ltendue initiale de
lobjet de stratgie de groupe. Slectionnez un objet de stratgie de groupe, puis cliquez sur longlet
tendue pour identifier les conteneurs auxquels lobjet de stratgie de groupe est li. Dans le volet
dinformations de la console GPMC, les liaisons de lobjet de stratgie de groupe sont affichs dans la
premire section de longlet tendue.
Lincidence des liaisons de lobjet de stratgie de groupe est que le client de stratgie de groupe
tlcharge lobjet de stratgie de groupe si les objets de lordinateur ou de lutilisateur tombent dans
ltendue de la liaison. Lobjet de stratgie de groupe ne sera tlcharg que sil est nouveau ou mis
jour. Le client de la stratgie de groupe met lobjet de stratgie de groupe en cache pour rendre
lactualisation de la stratgie plus efficace.
5-21
Pour supprimer une liaison de lobjet de stratgie de groupe, cliquez avec le bouton droit sur la
liaison de lobjet de stratgie de groupe dans larborescence de la console GPMC, puis cliquez sur
Supprimer.
La suppression dune liaison de lobjet de stratgie de groupe ne supprime pas lobjet de stratgie de
groupe lui-mme, qui reste dans son conteneur. Cependant, la suppression de la liaison modifie ltendue
de lobjet de stratgie de groupe, de sorte quil ne sapplique plus aux ordinateurs et aux utilisateurs au
sein de lobjet du conteneur li prcdemment.
Vous pouvez galement modifier une liaison de lobjet de stratgie de groupe en la dsactivant :
Pour dsactiver une liaison de lobjet de stratgie de groupe, cliquez avec le bouton droit sur la
liaison de lobjet de stratgie de groupe dans larborescence de la console GPMC, puis dsactivez
loption Liaison active.
Procdure de dmonstration
Crer et modifier deux objets de stratgie de groupe
1.
2.
Crez deux nouveaux objets de stratgie de groupe appels Supprimer la commande Excuter
et Ne pas supprimer la commande Excuter.
3.
5-23
1.
Liez lobjet de stratgie de groupe Supprimer la commande Excuter au domaine. Lobjet de stratgie
de groupe Supprimer la commande Excuter est maintenant joint au domaine Adatum.com.
2.
Liez lobjet de stratgie de groupe Ne pas supprimer la commande Excuter lunit dorganisation
informatique. Lobjet de stratgie de groupe Ne pas supprimer la commande Excuter est maintenant
joint lunit dorganisation informatique.
3.
Affichez lhritage de lobjet de stratgie de groupe sur lunit dorganisation informatique. Longlet
Hritage de la stratgie de groupe montre lordre de priorit des objets de stratgie de groupe.
2.
Actualisez le volet Hritage de stratgie de groupe pour lunit dorganisation informatique, puis
notez les rsultats dans le volet droit. Lobjet de stratgie de groupe Supprimer la commande
Excuter nest plus list.
2.
Activez lobjet de stratgie de groupe Supprimer la commande Excuter sur le domaine Adatum.com.
Actualisez la fentre Hritage de stratgie de groupe pour lunit dorganisation Informatique, puis
notez les rsultats dans le volet droit.
1.
Stratgies de groupe locales. Chaque ordinateur excutant Windows 2000 ou version ultrieure
a au moins une stratgie de groupe locale. Les stratgies locales sont appliques en premier lieu.
2.
Stratgies de groupe de site. Les stratgies lies aux sites sont traites en second lieu. Sil y a plusieurs
stratgies de site, elles sont traites de faon synchrone dans lordre de prfrence rpertori.
3.
Stratgies de groupe du domaine. Les stratgies lies aux domaines sont traites en troisime lieu.
Sil y a plusieurs stratgies de domaine, elles sont traites de faon synchrone dans lordre de
prfrence rpertori.
4.
Stratgies de groupe de lunit dorganisation. Les stratgies lies aux units dorganisation de
haut niveau sont traites en quatrime lieu. Sil y a plusieurs stratgies dunits dorganisation
de haut niveau, elles sont traites de faon synchrone dans lordre de prfrence rpertori.
5.
Stratgies de groupe dunit dorganisation enfant. Les stratgies lies aux units dorganisation
enfants de haut niveau sont traites en cinquime lieu. Sil y a plusieurs stratgies dunit
dorganisation enfant, elles sont traites de faon synchrone dans lordre de prfrence rpertori.
Quand il y a plusieurs niveaux dunits dorganisation enfants, les stratgies des units dorganisation
de niveau suprieur sont appliques en premier lieu et les stratgies des units dorganisation de
niveau infrieur sont appliques ensuite.
Dans lapplication Stratgie de groupe, la rgle gnrale est que la dernire stratgie applique prvaut.
Par exemple, une stratgie qui restreint laccs au panneau de configuration appliqu au niveau du
domaine pourrait tre inverse par une stratgie applique au niveau de lunit dorganisation pour les
objets contenus dans cette unit dorganisation particulire.
Si vous liez plusieurs objets de stratgie de groupe une unit dorganisation, leur traitement a lieu
dans lordre que ladministrateur spcifie sur longlet Objets de stratgie de groupe lis de lunit
dorganisation dans la console GPMC.
Par dfaut, le traitement est activ pour toutes les liaisons de lobjet de stratgie de groupe. Vous pouvez
dsactiver la liaison de lobjet de stratgie de groupe dun conteneur pour bloquer compltement
lapplication dun objet de stratgie de groupe pour un site, un domaine ou une unit dorganisation
donn. Notez que si lobjet de stratgie de groupe est li dautres conteneurs, ils continueront le
traiter si leurs liaisons sont actives.
Vous pouvez galement dsactiver la configuration utilisateur ou ordinateur dun objet de stratgie de
groupe particulier indpendant de lutilisateur ou de lordinateur. Si une section dune stratgie est
connue comme tant vide, la dsactivation de lautre ct acclre le traitement de la stratgie. Par
exemple, si vous avez une stratgie qui fournit uniquement la configuration du bureau utilisateur, vous
pourriez dsactiver le ct ordinateur de la stratgie.
5-25
Vous pouvez lier plus dun objet de stratgie de groupe un objet de conteneur AD DS. Lordre des
liaisons des objets de stratgie de groupe dtermine la priorit des objets de stratgie de groupe dans un
tel scnario. Les objets de stratgie de groupe ayant un ordre de liaison suprieur ont la priorit sur les
objets de stratgie de groupe ayant un ordre de liaison infrieur. Quand vous slectionnez une unit
dorganisation dans la console GPMC, longlet Objets de stratgie de groupe lis montre lordre des
liaisons des objets de stratgie de groupe lis cette unit dorganisation.
Le comportement par dfaut de la stratgie de groupe est que les objets de stratgie de groupe lis dans
un conteneur de niveau suprieur sont hrits par les conteneurs de niveau infrieur. Quand un
ordinateur dmarre ou un utilisateur ouvre une session, le client de la stratgie de groupe examine
lemplacement de lobjet de lordinateur ou de lutilisateur dans AD DS, et value les objets de stratgie
de groupe ayant ltendue qui comprend lordinateur ou lutilisateur. Puis, les extensions CSE appliquent
les paramtres de stratgie de ces objets de stratgie de groupe. Les stratgies sont appliques
squentiellement, en commenant par celles qui sont lies au site, suivie de celles lies au domaine, puis
celles lies aux units dorganisation, en partant de lunit dorganisation de niveau suprieur jusqu celle
o existe lobjet utilisateur ou ordinateur. Cest une application superpose des paramtres ; ainsi un objet
de stratgie de groupe appliqu plus tard dans le processus, parce quil a une priorit suprieure,
lemporte sur les paramtres appliqus plus tt dans le processus.
Lapplication squentielle des objets de stratgie de groupe cre un effet appel hritage de stratgie.
Les stratgies sont hrites, de sorte que lensemble rsultant des stratgies de groupe pour un utilisateur
ou un ordinateur soit leffet cumulatif des stratgies de site, de domaine et de lunit dorganisation.
Par dfaut, les objets de stratgie de groupe hrits ont une priorit infrieure celle des objets de
stratgie de groupe lis directement au conteneur. Par exemple, vous pourriez configurer un paramtre
de stratgie pour dsactiver lutilisation des outils de modification du registre pour tous les utilisateurs
dans le domaine, en configurant le paramtre de stratgie dans un objet de stratgie de groupe li
au domaine. Cet objet de stratgie de groupe et son paramtre de stratgie sont hrits par tous les
utilisateurs dans le domaine. Cependant, si vous souhaitez que les administrateurs puissent utiliser des
outils de modification du registre, vous liez un objet de stratgie de groupe lunit dorganisation qui
contient les comptes des administrateurs, puis vous configurez le paramtre de stratgie pour permettre
lutilisation des outils de modification du registre. Puisque lobjet de stratgie de groupe li lunit
dorganisation des administrateurs a une priorit suprieure celle de lobjet de stratgie de groupe
hrit, les administrateurs pourront utiliser les outils de modification du registre.
2.
Cliquez sur longlet Objets de stratgie de groupe lis dans le volet dinformations.
3.
4.
Utilisez les flches Haut, Bas, Aller au dbut, et Aller la fin pour modifier lordre des liaisons de
lobjet de stratgie de groupe slectionn.
Bloquer lhritage
Vous pouvez configurer un domaine ou une unit dorganisation pour empcher lhritage des
paramtres de stratgie. Cette opration est appele blocage de lhritage . Pour slectionner le
blocage de lhritage, cliquez avec le bouton droit sur le domaine ou lunit dorganisation dans
larborescence de la console GPMC, puis slectionnez Bloquer lhritage.
Loption Bloquer lhritage est une proprit dun domaine ou dune unit dorganisation ; ainsi, elle
bloque tous les paramtres de la stratgie de groupe des objets de stratgie de groupe lis aux parents
dans la hirarchie de stratgie de groupe. Par exemple, quand vous bloquez lhritage sur une unit
dorganisation, lapplication de lobjet de stratgie de groupe commence avec tous les objets de stratgie
de groupe lis directement cette unit dorganisation. Par consquent, les objets de stratgie de groupe
lis aux units dorganisation, domaines ou sites de niveau suprieur ne sappliqueront pas.
Vous devez utiliser loption Bloquer lhritage avec modration parce que le blocage de lhritage rend
plus difficile lvaluation de la priorit et de lhritage de la stratgie de groupe. Avec le filtrage du groupe
de scurit, vous pouvez soigneusement limiter en tendue un objet de stratgie de groupe de sorte quil
ne sapplique quaux bons utilisateurs et ordinateurs en premier lieu, rendant inutile lutilisation de
loption Bloquer lhritage.
5-27
En outre, vous pouvez dfinir une liaison dobjet de stratgie de groupe ltat Appliqu. Pour appliquer
une liaison dobjet de stratgie de groupe, cliquez avec le bouton droit sur celle-ci dans larborescence de
la console, puis slectionnez Appliqu dans le menu contextuel.
Quand vous dfinissez une liaison de lobjet de stratgie de groupe ltat Appliqu, lobjet de stratgie
de groupe prend le niveau de priorit le plus lev ; les paramtres de stratgie dans cet objet de
stratgie de groupe prvaudront sur tous les paramtres de stratgie conflictuels dans dautres objets de
stratgie de groupe. En outre, une liaison applique sappliquera aux conteneurs enfants mme lorsque
ces conteneurs sont dfinis sur Bloquer lhritage. Loption Appliqu entrane lapplication de la stratgie
tous les objets dans son tendue. Loption Appliqu amne les stratgies remplacer toutes les stratgies
conflictuelles et sappliqueront indpendamment du fait quune option Bloquer lhritage soit dfinie.
Lapplication est utile quand vous devez configurer un objet de stratgie de groupe qui dfinit une
configuration exige par vos stratgies dentreprise en matire de scurit informatique et dutilisation.
Par consquent, vous souhaitez vrifier que dautres objets de stratgie de groupe ne remplacent pas ces
paramtres. Vous pouvez le faire en appliquant la liaison de lobjet de stratgie de groupe.
valuation de la priorit
Pour faciliter lvaluation de la priorit de lobjet de stratgie de groupe, vous pouvez simplement
slectionner une unit dorganisation (ou un domaine), puis cliquez sur longlet Hritage de stratgie
de groupe. Cet onglet affichera la priorit rsultante des objets de stratgie de groupe, compte tenu de
la liaison de lobjet de stratgie de groupe, de lordre des liaisons, du blocage de lhritage et de
lapplication de la liaison. Cet onglet ne tient compte ni des stratgies lies un site, ni de la scurit
de lobjet de stratgie de groupe, ni du filtrage WMI.
Par dfaut, les utilisateurs authentifis ont lautorisation Appliquer la stratgie de groupe - Autoriser
sur chaque nouvel objet de stratgie de groupe. Cela signifie que par dfaut, tous les utilisateurs et
ordinateurs sont affects par les objets de stratgie de groupe dfinis pour leur domaine, site, ou unit
dorganisation, indpendamment des autres groupes dont ils pourraient tre membres. Par consquent, il
y a deux faons de filtrer ltendue de lobjet de stratgie de groupe :
Dterminez les groupes auxquels lobjet de stratgie de groupe ne devrait tre appliqu et dfinissez
lautorisation Appliquer la stratgie de groupe pour ces groupes sur Refuser. Si vous refusez
lautorisation Appliquer stratgie de groupe un objet de stratgie de groupe, lutilisateur ou
lordinateur nappliquera pas les paramtres dans lobjet de stratgie de groupe, mme si lutilisateur
ou lordinateur est membre dun autre groupe auquel lautorisation Appliquer la stratgie de groupe
est accorde.
Slectionnez lobjet de stratgie de groupe dans le conteneur dobjets de stratgie de groupe dans
larborescence de la console.
2.
Dans la section Filtrage de scurit, slectionnez le groupe Utilisateurs authentifis, puis cliquez
sur Supprimer.
Remarque : Vous ne pouvez pas filtrer des objets de stratgie de groupe avec des groupes
de scurit locaux du domaine.
3.
4.
5.
Slectionnez le groupe auquel vous souhaitez appliquer la stratgie, puis cliquez sur OK.
Longlet tendue dun objet de stratgie de groupe ne vous permet pas dexclure des groupes
spcifiques. Pour exclure un groupe, cest--dire que vous lui refuser lautorisation Appliquer la stratgie
de groupe, vous devez utiliser longlet Dlgation.
Pour refuser un groupe lautorisation Appliquer la stratgie de groupe :
1.
Slectionnez lobjet de stratgie de groupe dans le conteneur dobjets de stratgie de groupe dans
larborescence de la console.
2.
3.
4.
5.
Slectionnez le groupe que vous souhaitez exclure de lobjet de stratgie de groupe. Souvenez-vous
ce groupe doit tre un groupe global. Ltendue de lobjet de stratgie de groupe ne peut pas tre
filtre par des groupes locaux de domaine.
5-29
6.
Cliquez sur OK. Le groupe que vous avez slectionn dispose de lautorisation Autoriser la lecture
par dfaut.
7.
8.
9.
Cliquez sur OK. Vous tes prvenu que les autorisations Refuser remplacent les autres autorisations.
Puisque les autorisations Refuser remplacent les autorisations Autoriser, nous recommandons que
vous les utilisez avec modration. Microsoft Windows vous rappelle cette bonne pratique par un
message davertissement. Le processus dexclusion des groupes avec lautorisation Refuser Appliquer
la stratgie de groupe est bien plus laborieux que le processus dinclusion des groupes dans la section
Filtrage de scurit de longlet tendue.
Vous pouvez utiliser une requte WMI pour crer un filtre WMI, avec lequel vous pouvez filtrer un objet
de stratgie de groupe. Vous pouvez utiliser la stratgie de groupe pour dployer les applications
logicielles et les services packs. Vous pouvez crer un objet de stratgie de groupe pour dployer une
application, puis utiliser un filtre WMI pour spcifier que la stratgie doit sappliquer uniquement aux
ordinateurs ayant certains systmes dexploitation et service packs, par exemple Windows XP Service
Pack 3 (SP3). La requte WMI permettant didentifier de tels systmes est la suivante :
Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP Professional"
AND CSDVersion="Service Pack 3"
Quand le client de la stratgie de groupe value des objets de stratgie de groupe quil a tlchargs
pour dterminer lesquels doivent tre remis aux extensions CSE pour traitement, il effectue la requte
par rapport au systme local. Si le systme rpond aux critres de la requte, le rsultat de requte est
un Vrai logique et les extensions CSE traitent lobjet de stratgie de groupe.
WMI expose les espaces de noms, o rsident les classes qui peuvent tre interroges. Beaucoup de
classes utiles, notamment Win32_Operating System, se trouvent dans une classe appele racine\CIMv2.
Pour crer un filtre WMI :
1.
Cliquez avec le bouton droit sur le nud Filtres WMI dans larborescence de la console GPMC,
puis cliquez sur Nouveau. Saisissez un nom et une description du filtre, puis cliquez sur le bouton
Ajouter.
2.
3.
4.
2.
3.
Vous pouvez filtrer un objet de stratgie de groupe avec un seul filtre WM, mais vous pouvez crer un
filtre WMI avec une requte complexe qui utilise plusieurs critres. Vous pouvez lier un filtre WMI unique
un ou plusieurs objets de stratgie de groupe. Longlet Gnral dun filtre WMI affiche les objets de
stratgie de groupe qui utilisent le filtre WMI :
Il y a trois avertissements importants concernant les filtres WMI :
Dabord, la syntaxe WQL des requtes WMI peut tre dlicate matriser. Vous pouvez souvent
trouver des exemples sur Internet quand vous effectuez une recherche laide des mots cls filtre
WMI et requte WMI, ainsi quavec une description de la requte que vous souhaitez crer.
En second lieu, les filtres WMI sont chers en termes de performance de traitement de stratgie de
groupe. Puisque le client de stratgie de groupe doit effectuer la requte WMI chaque intervalle
de traitement de stratgie, il y a une lgre incidence sur les performances systme toutes les 90
120 minutes. Avec les performances des ordinateurs daujourdhui, cette incidence peut tre
imperceptible. Cependant, vous devez tester les effets dun filtre WMI avant de le dployer grande
chelle dans votre environnement de production.
Remarque : Notez que la requte WMI est traite uniquement une fois, mme si vous
lutilisez pour filtrer ltendue de plusieurs objets de stratgie de groupe.
Troisimement, les filtres WMI ne sont pas traits par les ordinateurs excutant le systme
dexploitation Microsoft Windows 2000 Server. Si un objet de stratgie de groupe est filtr avec
un filtre WMI, un systme Windows 2000 Server ignore le filtre, puis traite lobjet de stratgie
de groupe comme si les rsultats du filtre taient vrais.
5-31
crer un objet de stratgie de groupe qui supprime le lien menu Aide du menu Accueil, puis liez-le
lunit dorganisation Informatique ;
Procdure de dmonstration
Crez un nouvel objet de stratgie de groupe et liez-le une unit dorganisation
Informatique.
1.
2.
Crez un nouvel objet de stratgie de groupe appel Supprimer le menu Aide, puis liez-le lunit
dorganisation IT.
3.
Modifiez les paramtres de lobjet de stratgie de groupe pour supprimer le menu Aide du menu
Accueil.
Supprimez lentre Utilisateurs authentifis de la liste Filtrage de scurit pour lobjet de stratgie
de groupe Supprimer le menu Aide dans lunit dorganisation Informatique.
2.
2.
3.
4.
Crez un nouvel objet de stratgie de groupe appel Mises jour logicielles pour XP, et liez-le
ensuite lunit dorganisation Informatique.
5.
6.
Tous les paramtres dsactivs. Les extensions CSE ne traiteront pas lobjet de stratgie de groupe
pendant lactualisation de la stratgie.
Vous pouvez configurer ltat de lobjet de stratgie de groupe pour optimiser le traitement de stratgie.
Par exemple, si un objet de stratgie de groupe contient uniquement des paramtres utilisateurs, alors la
dfinition de loption tat GPO sur dsactiver les paramtres de lordinateur empche le client de stratgie
de groupe de tenter de traiter lobjet de stratgie de groupe pendant lactualisation de la stratgie
dordinateur. Puisque lobjet de stratgie de groupe ne contient aucun paramtre de lordinateur, il nest
pas ncessaire de traiter lobjet de stratgie de groupe, et vous pouvez conomiser ainsi quelques cycles
de processeur.
Remarque : Vous pouvez dfinir une configuration qui doit entrer en vigueur en cas
durgence, dincident de scurit ou dautres incidents dans un objet de stratgie de groupe,
puis lier lobjet de stratgie de groupe de sorte quil soit limit en tendue aux utilisateurs et
ordinateurs appropris. Puis, dsactivez lobjet de stratgie de groupe. Si vous avez besoin de la
configuration soit dploye, activez lobjet de stratgie de groupe.
5-33
Imaginez un scnario o vous souhaitez appliquer une apparence dentreprise standard au bureau
Windows sur tous les ordinateurs des salles de confrence et autres zones publiques de votre site.
Comment envisagez-vous de grer de manire centralise cette configuration laide de la stratgie de
groupe ? Les paramtres de stratgie qui configurent lapparence de bureau sont situs dans le nud
Configuration utilisateur dun objet de stratgie de groupe. Par consquent, les paramtres sappliquent
par dfaut aux utilisateurs, indpendamment de lordinateur o ils se connectent. Le traitement de
stratgie par dfaut ne vous permet pas de limiter en tendue les paramtres utilisateurs appliquer aux
ordinateurs, indpendamment de ceux o lutilisateur ouvre une session. Cest alors que le traitement de
stratgie par boucle peut tre utile.
Le traitement de stratgie par boucle de rappel modifie lalgorithme par dfaut que le client de
stratgie de groupe utilise pour obtenir la liste trie des objets de stratgie de groupe appliquer
une configuration utilisateur. Au lieu que la configuration utilisateur soit dtermine par le nud
Configuration utilisateur des objets de stratgie de groupe limits en tendue lobjet utilisateur,
la configuration utilisateur peut tre dtermine par les stratgies du nud Configuration utilisateur
des objets de stratgie de groupe limits en tendue lobjet ordinateur.
Remplacer. Dans ce cas, la liste dobjet de stratgie de groupe pour lutilisateur est remplace
entirement par la liste dobjet de stratgie de groupe dj obtenue pour lordinateur au dmarrage
de lordinateur. Les paramtres contenus dans les stratgies de configuration utilisateur des objets de
stratgie de groupe de lordinateur sont appliqus lutilisateur. Le mode Remplacer est utile dans
une situation de classe o les utilisateurs doivent recevoir une configuration standard plutt que la
configuration applique ces utilisateurs dans un environnement moins gr.
Fusionner. Dans ce cas, la liste dobjet de stratgie de groupe pour lordinateur obtenue au
dmarrage de lordinateur est ajoute la liste des objets de stratgie de groupe obtenue pour
lutilisateur au moment de la connexion. Puisque la liste dobjet de stratgie de groupe obtenue pour
lordinateur est applique ultrieurement, les paramtres dans les objets de stratgie de groupe sur la
liste de lordinateur ont la priorit en cas de conflit avec des paramtres de la liste utilisateur. Ce
mode est utile pour appliquer les paramtres supplmentaires aux configurations typiques des
utilisateurs. Par exemple, vous pouvez permettre un utilisateur de recevoir la configuration classique
de lutilisateur lors de louverture de session sur un ordinateur situ dans une salle de confrence ou
une zone daccueil, mais vous remplacez le papier peint par une image bitmap standard et dsactivez
lutilisation de certains priphriques ou applications.
Remarque : Notez que, lorsque vous combinez le traitement par boucle de rappel au
filtrage de groupe de scurit, lapplication des paramtres utilisateur pendant lactualisation de
la stratgie utilise les informations didentification de lordinateur pour dterminer les objets de
stratgie de groupe appliquer dans le cadre du traitement par boucle de rappel. Cependant,
lutilisateur connect doit galement possder lautorisation Appliquer la stratgie de groupe
pour que lobjet de stratgie de groupe soit appliqu avec succs. Notez galement que
lindicateur de traitement par boucle de rappel est configur par session plutt que par objet
de stratgie de groupe.
Liaisons lentes
5-35
Le client de stratgie de groupe traite la question des liaisons lentes en dtectant la vitesse de connexion
au domaine et en dterminant si la connexion doit tre considre comme une liaison lente. Cette
dtermination est alors utilise par chaque extension CSE afin de dcider dappliquer ou non les
paramtres. Lextension logicielle, par exemple, est configure pour ignorer le traitement de stratgie,
de sorte que le logiciel nest pas install si une liaison lente est dtecte.
Remarque : Par dfaut, une liaison est considre lente selle a un dbit infrieur
500 kilobits par seconde (Kbits/s). Cependant, vous pouvez configurer ce seuil un dbit diffrent.
Si la stratgie de groupe dtecte une liaison lente, elle paramtre un indicateur pour signaler la liaison aux
extensions CSE. Ces dernires peuvent alors dterminer sil est ncessaire de traiter les paramtres de stratgie
de groupe applicables. Le tableau suivant dcrit le comportement par dfaut des extensions ct client.
Extension ct client
Modification possible ?
Actif
Non
Inactif
Oui
Inactif
Oui
Inactif
Oui
Stratgie de scripts
Inactif
Oui
Stratgie de scurit
Actif
Non
Inactif
Oui
Inactif
Oui
Actif
Oui
Inactif
Oui
Ordinateurs dconnects
Si un utilisateur travaille sans tre connect au rseau, les paramtres prcdemment appliqus par la
stratgie de groupe demeurent en vigueur. De cette manire, lexprience dun utilisateur est identique,
indpendamment de sa connexion au rseau. Il existe des exceptions la rgle, dont notamment le fait
que les scripts de dmarrage, douverture de session, de fermeture de session et darrt ne sexcutent pas
si lutilisateur est dconnect.
Si un utilisateur distant se connecte au rseau, le client de stratgie de groupe sort de veille et dtermine
si une fentre dactualisation de stratgie de groupe a t manque. Si tel est le cas, il excute une
actualisation de stratgie de groupe pour obtenir les derniers objets de stratgie de groupe du domaine.
Encore une fois, les extensions CSE dterminent, selon leurs paramtres de traitement de stratgie, si les
paramtres de ces objets de stratgie de groupe sont appliqus.
Remarque : Ce processus ne sapplique pas aux systmes Windows XP ou Windows
Server 2003. Il sapplique uniquement Windows Vista, Windows Server 2008, Windows
Server 2008 R2, Windows 7, Windows 8 et Windows Server 2012.
5-37
Enfin, si vous avez ajout un nouveau groupe ou avez modifi lappartenance dun groupe utilis pour
filtrer lobjet de stratgie de groupe, cette modification doit galement tre rplique. En outre, la
modification doit tre dans le jeton de scurit de lordinateur et de lutilisateur, ce qui ncessite un
redmarrage (pour que lordinateur mette jour son appartenance de groupe) ou une fermeture de
session, puis une ouverture de session (pour que lutilisateur mette jour son appartenance de groupe).
Par dfaut, les clients Windows XP, Windows Vista, Windows 7, et Windows 8 excutent uniquement des
actualisations en tche de fond au dmarrage et louverture de session, ce qui signifie quun client peut
dmarrer et quun utilisateur peut se connecter sans recevoir les dernires stratgies du domaine. Nous
vous recommandons fortement de modifier ce comportement par dfaut de sorte que les modifications
de stratgie soient implmentes de faon gre et prvisible. Activez le paramtre de stratgie Toujours
attendre le rseau lors du dmarrage de lordinateur et de louverture de session pour tous les
clients Windows. Le paramtre est situ dans Configuration de lordinateur\Stratgies\Modles
dadministration\Systme\Ouverture de session. Veillez lire le texte explicatif du paramtre de
stratgie. Notez que cette modification naffecte pas la dure de dmarrage ou douverture de session
pour les ordinateurs qui ne sont pas connects un rseau. Si lordinateur dtecte quil est dconnect,
il nattend pas un rseau.
Bien que la plupart des paramtres soient appliqus pendant une actualisation de stratgie en arrireplan, certaines extensions CSE nappliquent pas le paramtre jusqu lvnement suivant de dmarrage
ou douverture de session. Par exemple, les stratgies de script de dmarrage et douverture de session
nouvellement ajoutes ne fonctionnent pas tant que lordinateur na pas t redmarr ou quune
nouvelle session na pas t ouverte. Linstallation logicielle a lieu au dmarrage suivant si le logiciel est
attribu dans les paramtres de lordinateur. Les modifications des stratgies de redirection de dossiers
entrent pas en vigueur louverture de session suivante.
Vous pouvez demander chaque extension CSE de rappliquer les paramtres des objets de stratgie de
groupe, mme si ceux-ci nont pas t modifis. Le comportement de traitement de chaque extension CSE
peut tre configur dans les paramtres de stratgie figurant sous Configuration de lordinateur\Modles
dadministration\Systme\Stratgie de groupe.
Leon 4
5-39
Avec linteraction de nombreux paramtres dans plusieurs objets de stratgie de groupe limits en
tendue laide dun large choix de mthodes, lapplication de stratgie de groupe peut tre complexe
analyser et comprendre. Par consquent, vous devez tre quip pour valuer et dpanner efficacement
votre implmentation de stratgie de groupe, identifier les problmes potentiels avant quils surgissent et
rsoudre les difficults imprvues. Windows Server fournit des outils indispensables la prise en charge
de la stratgie de groupe. Dans cette leon, vous explorerez lutilisation de ces outils dans des scnarios
de dpannage et de support technique proactifs et ractifs.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Dcrire comment actualiser les objets de stratgie de groupe sur un ordinateur client.
Analyser lensemble des objets de stratgie de groupe et des paramtres de stratgie appliqus
un utilisateur ou un ordinateur.
Gnrer des rapports de jeu de stratgie rsultant (RSoP) pour contribuer lanalyse des paramtres
de lobjet de stratgie de groupe.
Localiser les journaux des vnements contenant les vnements relatifs la stratgie de groupe.
L'Actualisation des stratgies distance est une nouvelle fonctionnalit de Windows Server 2012. Cette
fonctionnalit permet aux administrateurs d'utiliser la console GPMC pour cibler une unit d'organisation
et forcer l'actualisation de la stratgie de groupe sur tous ses ordinateurs et utilisateurs actuellement
connects. Pour ce faire, cliquez avec le bouton droit sur n'importe quelle unit d'organisation, puis
cliquez sur Mise jour de la stratgie de groupe. La mise jour se produit dans un dlai de 10 minutes.
Remarque : Parfois, l'chec de l'application d'un objet de stratgie de groupe rsulte des
problmes au niveau de la technologie sous-jacente responsable de la rplication d'AD DS et du
volume SYSVOL. Dans Windows Server 2012, vous pouvez afficher l'tat de rplication l'aide de
Gestion des stratgies de groupe, en slectionnant le nud Domaine, en cliquant sur l'onglet
tat, puis en cliquant sur Dtecter.
Windows Server 2012 fournit les outils suivants pour effectuer des analyses RSoP :
GPResult.exe
5-41
LAssistant Rsultats de stratgie de groupe peut atteindre le fournisseur WMI sur un ordinateur local ou
distant qui excute Windows Vista ou une version plus rcente. Le fournisseur WMI peut signaler tout ce
quil y savoir sur la manire dont la stratgie de groupe a t applique au systme. Il sait quel
moment le traitement a eu lieu, quels objets de stratgie de groupe ont t appliqus, quels objets de
stratgie de groupe nont pas t appliqus et pourquoi, les erreurs rencontres, et les paramtres de
stratgie prcis qui ont pris la priorit ainsi que leur objet de stratgie de groupe source.
Il existe plusieurs exigences pour lexcution de lAssistant Rsultats de stratgie de groupe, notamment :
Vous devez possder des informations didentification de ladministrateur sur lordinateur cible.
Lordinateur cible doit excuter Windows XP ou une version plus rcente. LAssistant Rsultats de
stratgie de groupe ne peut pas accder aux systmes Windows 2000.
Vous devez pouvoir accder WMI sur lordinateur cible. Cela signifie que lordinateur doit tre en
ligne, connect au rseau et accessible par les ports 135 et 445.
Si vous souhaitez analyser RSoP pour un utilisateur, cet utilisateur doit stre connect au moins une
fois lordinateur. Il nest cependant pas ncessaire que lutilisateur soit actuellement connect.
Une fois que vous avez vrifi que les exigences sont satisfaites, vous tes prt excuter une analyse
de RSoP.
Pour excuter un rapport RSoP, cliquez avec le bouton droit sur Rsultats de stratgie de groupe dans
larborescence de la console GPMC, puis cliquez sur Assistant Rsultats de stratgie de groupe.
LAssistant vous invite slectionner un ordinateur. Il se connecte alors au fournisseur WMI sur cet
ordinateur, et fournit une liste des utilisateurs qui y sont connects. Vous pouvez alors slectionner lun
des utilisateurs, ou vous pouvez ignorer lanalyse RSoP pour les stratgies de configuration utilisateur.
LAssistant gnre un rapport RSoP dtaill au format DHTML. Si la configuration de scurit renforce
dInternet Explorer est dfinie, vous tes invit autoriser la console afficher le contenu dynamique.
Vous pouvez dvelopper ou rduire chaque section du rapport en cliquant sur le lien Afficher ou
Masquer, ou en double-cliquant sur le titre de la section.
Le rapport est affich sur trois onglets :
Rsum. Longlet Rsum affiche ltat de traitement de la stratgie de groupe lors de la dernire
actualisation. Vous pouvez identifier les informations recueillies sur le systme, les objets de stratgie
de groupe appliqus et refuss, lappartenance au groupe de scurit qui pourrait avoir affect des
objets de stratgie de groupe filtrs avec les groupes de scurit, les filtres WMI analyss, et ltat des
extensions CSE.
Paramtres. Longlet Paramtres affiche les paramtres de jeu de stratgie rsultant appliqus
lordinateur ou lutilisateur. Cet onglet vous montre exactement ce qui est arriv lutilisateur suite
aux effets de votre implmentation de stratgie de groupe. Vous pouvez apprendre normment
dinformations grce longlet Paramtres, mme si certaines donnes ne sont pas prises en compte,
notamment les paramtres IPsec, sans fil et de stratgie de quota de disque.
Aprs avoir gnr un rapport RSoP laide de lAssistant Rsultats de stratgie de groupe, vous pouvez
cliquer avec le bouton droit sur ce rapport pour excuter de nouveau la requte, imprimer le rapport ou
enregistrer le rapport comme fichier XML ou fichier HTML qui conserve le dveloppement et la rduction
dynamiques des sections. Vous pouvez ouvrir les deux types de fichier avec Internet Explorer ; le rapport
RSoP est donc portable hors de la console GPMC.
Si vous cliquez avec le bouton droit le nud du rapport lui-mme, dans le dossier Rsultats de stratgie
de groupe dans larborescence de la console, vous pouvez alors basculer vers Affichage avanc. Dans
Affichage avanc, RSoP est affich laide du composant logiciel enfichable RSoP qui indique tous les
paramtres appliqus, notamment les stratgies IPsec, sans fil et de quota de disque.
Lorsque vous excutez la commande GPResult, vous tes susceptible dutiliser les options suivantes :
/scomputername
5-43
Cette option spcifie le nom ou ladresse IP dun systme distant. Si vous utilisez un point (.) comme nom
dordinateur ou nincluez pas loption /s, lanalyse RSoP est excute sur lordinateur local :
/scope [user | computer]
Cette commande affiche lanalyse RSoP des paramtres utilisateur ou ordinateur. Si vous omettez loption
/scope, lanalyse RSoP comprend les paramtres utilisateur et ordinateur :
/userusername
Cette commande spcifie le nom de lutilisateur dont vous souhaitez afficher les donnes RSoP.
/r
Cette option affiche les donnes RSoP dtailles, qui prsentent les informations les plus significatives :
/z
Cela affiche les donnes trs dtailles, notamment les dtails de tous les paramtres de stratgie
appliqus au systme. Vous navez gnralement pas besoin de toutes ces informations pour le
dpannage typique de la stratgie de groupe :
/udomain\user/ppassword
Cette commande fournit les informations didentification qui se trouvent dans le groupe Administrateurs
dun systme distant. Sans ces informations didentification, GPResult sexcute laide des informations
didentification avec lesquelles vous tes connect :
[/x | /h] filename
Cette option enregistre les rapports sous format XML ou HTML. Ces options sont disponibles dans le
Service Pack 1 de Windows Vista (SP1) et versions plus rcentes, Windows Server 2008 et versions plus
rcentes, Windows 7, et Windows 8.
En tant quadministrateur, vous tes susceptible de rencontrer des scnarios qui requirent le dpannage
des stratgies de groupe. Vous pouvoir avoir diagnostiquer et rsoudre des problmes, notamment :
Le jeu de stratgies rsultant pour un ordinateur ou un utilisateur nest pas ce qui a t prvu.
LAssistant Rsultats de stratgie de groupe et GPResult.exe offrent souvent lanalyse la plus prcieuse
des problmes de traitement et dapplication des stratgies de groupe. Souvenez-vous que ces outils
examinent le fournisseur WMI RSoP pour fournir un rapport exact des vnements dun systme.
Lexamen du rapport RSoP vous indique souvent les objets de stratgie de groupe limits en tendue
de manire incorrecte ou les erreurs de traitement de la stratgie qui ont empch lapplication des
paramtres de lobjet de stratgie de groupe.
Si vous dplacez un ordinateur ou un utilisateur entre les sites, les domaines ou les units dorganisation,
ou si modifiez son appartenance de groupe de scurit, les objets de stratgie de groupe limits en
tendue cet utilisateur ou ordinateur seront modifis. Par consquent, le RSoP pour lordinateur ou
lutilisateur sera diffrent. Le RSoP changera galement si la liaison est lente ou si le traitement par boucle
de rappel a lieu, ou sil y a une modification dune caractristique systme cible par un filtre WMI.
Avant dapporter lune de ces modifications, vous devez valuer limpact potentiel dun utilisateur ou un
ordinateur sur le RSoP. LAssistant Rsultats de stratgie de groupe peut excuter lanalyse RSoP
uniquement sur ce qui sest produit rellement. Pour prdire lavenir et effectuer les analyses de scnarios,
vous pouvez utiliser lAssistant Modlisation de stratgie de groupe.
Pour effectuer une modlisation de stratgie de groupe, cliquez avec le bouton droit sur le nud
Modlisation de stratgie de groupe dans larborescence de la console GPMC, cliquez sur lAssistant
Modlisation de stratgie de groupe, puis suivez les tapes indiques dans lAssistant.
La modlisation est effectue laide dune simulation sur un contrleur de domaine ; vous tes ainsi
dabord invit slectionner un contrleur de domaine. Vous navez pas besoin dtre connect
localement au contrleur de domaine, mais la requte de modlisation sera effectue sur le contrleur
de domaine. Vous tes alors invit spcifier les paramtres de la simulation, notamment :
Spcifier si vous souhaitez simuler le traitement par boucle de rappel et, si oui, slectionner le mode
Remplacer ou Fusionner.
Slectionner les filtres WMI appliquer dans la simulation du traitement de stratgie utilisateur
et ordinateur.
Une fois que vous avez spcifi les paramtres de la simulation, un rapport trs similaire celui des
rsultats de stratgie de groupe prsent prcdemment est gnr. Longlet Rsum montre une vue
densemble des objets de stratgie de groupe qui seront traits, et longlet Paramtres dtaille les
paramtres de stratgie qui seront appliqus lutilisateur ou lordinateur. Ce rapport peut lui aussi tre
enregistr en cliquant dessus avec le bouton droit, puis en slectionnant Enregistrer le rapport.
Demonstration
Cette dmonstration montre comment :
excuter GPResult.exe partir de linvite de commandes, puis exporter les rsultats vers un
fichier HTML ;
excuter lAssistant Cration de rapport de stratgie de groupe, puis afficher les rsultats ;
Procdure de dmonstration
Utiliser GPResult.exe pour crer un rapport
1.
2.
3.
5-45
Fermez linvite de commandes, puis ouvrez la console Gestion des stratgies de groupe.
2.
Dans le nud Rsultats de stratgie de groupe, lancez lAssistant Rsultats de stratgie de groupe.
3.
4.
2.
3.
Renseignez lAssistant en utilisant les valeurs par dfaut, puis examinez le rapport.
4.
Le journal des applications, qui capture des vnements enregistrs par les extensions CSE.
Le journal des oprations de stratgie de groupe, qui fournit des informations dtailles sur le
traitement de stratgie de groupe.
Pour rechercher des journaux de stratgie de groupe, ouvrez le composant logiciel enfichable
Observateur dvnements ou la console. Les journaux systme et dapplications se trouvent dans le nud
Journaux Windows. Le journal des oprations de stratgie de groupe se trouve dans
Journaux des applications et services\Microsoft \Windows\GroupPolicy\Oprations.
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour assister le
bureau de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Windows Server 2012.
Vous avez t invit utiliser la stratgie de groupe pour implmenter des paramtres de scurit
standardiss afin de verrouiller des crans dordinateur lorsque les utilisateurs laissent des ordinateurs
sans surveillance pendant 10 minutes ou plus. Vous devez galement configurer un paramtre de
stratgie qui empche laccs certains programmes sur les stations de travail locales.
Aprs un certain temps, il vous a t signal quune application critique choue au dmarrage de
lconomiseur dcran, et un ingnieur vous a demand dempcher que le paramtre ne sapplique
lquipe dingnieurs de recherche qui utilise lapplication quotidiennement. Vous avez t invit
galement configurer des ordinateurs de la salle de confrence de sorte quils utilisent un dlai
dexpiration de 45 minutes.
Aprs la cration des stratgies, vous devez valuer le jeu de stratgies rsultant pour les utilisateurs dans
votre environnement afin de vrifier que linfrastructure de stratgie de groupe est optimise et que
toutes les stratgies sont appliques comme prvu.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateur(s) virtuel(s)
22411B-LON-DC1
22411B-LON-CL1
Nom dutilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd
Module 6
Gestion des bureaux des utilisateurs avec la stratgie
de groupe
Table des matires :
Vue d'ensemble du module
6-1
6-2
6-12
6-20
6-39
6-46
6-53
laide des objets de stratgie de groupe, vous pouvez mettre en place des environnements de bureau
au sein de votre organisation en utilisant les modles dadministration, la redirection des dossiers, les
prfrences de stratgie de groupe et, le cas chant, utiliser le dploiement de logiciel afin dinstaller
et de mettre jour des programmes dapplication. Il est important de savoir utiliser ces diverses
fonctionnalits dobjet de stratgie de groupe de sorte que vous puissiez configurer les paramtres
des ordinateurs de vos utilisateurs correctement.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
Configurer la redirection de dossiers et les scripts laide des objets de stratgie de groupe.
Leon 1
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
6-2
Ils sont organiss en sous-dossiers qui traitent des zones spcifiques de lenvironnement, telles que le
rseau, le systme et les composants Windows.
Quelques paramtres existent la fois pour lutilisateur et lordinateur. Par exemple, il existe un
paramtre empchant lexcution de Windows Messenger la fois dans le modle Utilisateur et dans
le modle Ordinateur. En cas de paramtres contradictoires, le paramtre de lordinateur est
prioritaire.
Quelques paramtres sont disponibles seulement pour certaines versions du systme dexploitation
Windows. Par exemple, un certain nombre de nouveaux paramtres peuvent seulement tre
appliqus Windows 7 et aux versions plus rcentes du systme dexploitation Windows. Doublecliquer sur un paramtre permet dafficher les versions prises en charge pour ce paramtre.
6-3
Lun des inconvnients majeurs des fichiers ADM est quils sont copis dans chaque objet de stratgie de
groupe cr et consomment environ 3 mgaoctets de (Mo) despace. Ceci peut augmenter normment
la taille du dossier du volume systme (SYSVOL) et accrotre le trafic de rplication.
Fichiers ADMX
Windows Vista et Windows Server 2008 ont prsent un nouveau format daffichage des paramtres de
stratgie bass sur le Registre. Ces paramtres sont dfinis laide dun format de fichier XML bas sur
des normes appel fichier ADMX. Ces nouveaux fichiers remplacent les fichiers ADM.
Les outils de stratgie de groupe sur Windows Vista et les systmes dexploitation les plus rcents, ainsi
que sur Windows Server 2008, continuent identifier les fichiers ADM personnaliss qui se trouvent dans
votre environnement existant, mais ignorent nimporte quel fichier ADM remplac par un fichier ADMX.
la diffrence des fichiers ADM, les fichiers ADMX ne sont pas enregistrs dans un objet de stratgie de
groupe. Lditeur dobjet de stratgie de groupe lit et affiche automatiquement les paramtres du
magasin local de fichiers ADMX. Par dfaut, les fichiers ADMX sont enregistrs dans le dossier
Windows\PolicyDefinitions, mais ils peuvent tre enregistrs dans un emplacement central.
Les fichiers ADMX sont indpendants de la langue. Les descriptions en langage simple des paramtres ne
font pas partie des fichiers ADMX. Elles sont enregistres dans des fichiers ADML spcifiques chaque
langue. Ceci signifie que les administrateurs qui parlent diverses langues, tels que langlais et lespagnol,
peuvent examiner le mme objet de stratgie de groupe et voir les descriptions de stratgie dans leur
propre langue, en utilisant leurs propres fichiers ADML correspondant chaque langue. Les fichiers ADML
sont stocks dans un sous-dossier du dossier PolicyDefinitions. Par dfaut, seuls les fichiers de langue
ADML pour la langue du systme dexploitation install sont ajouts.
Loutil de migration ADMX est un composant logiciel enfichable pour Microsoft Management Console
(MMC) qui simplifie le processus de conversion de vos modles ADM existants de stratgie de groupe vers
le nouveau format ADMX et qui fournit une interface utilisateur graphique pour crer et modifier des
modles dadministration. Vous pouvez tlcharger loutil de migration ADMX partir du site Web de
Microsoft, la page http://go.microsoft.com/fwlink/?linkID=270013
Le magasin central
Pour des entreprises bases sur un domaine, vous
pouvez crer un emplacement de magasin central
pour les fichiers ADMX, accessible tout personne
possdant lautorisation de crer ou de modifier
lobjet de stratgie de groupe. Lditeur dobjet
de stratgie de groupe sur Windows Vista et
Windows Server 2008 (ou les versions plus
rcentes) lit et affiche automatiquement des
paramtres de stratgie de modle
dadministration partir des fichiers ADMX que
le magasin central met en cache, et ignore alors
ceux enregistrs localement. Si le contrleur de
domaine est indisponible, le magasin local est utilis.
6-4
Vous devez crer le magasin central, puis le mettre jour manuellement sur un contrleur de domaine.
Lutilisation des fichiers ADMX dpend du systme dexploitation de lordinateur sur lequel vous crez ou
modifier lobjet de stratgie de groupe. Par consquent, le contrleur de domaine peut tre un serveur
dot de Windows 2000 ou une version plus rcente. Le service de rplication de fichiers (FRS) ne
rpliquera pas le contrleur de domaine vers dautres contrleurs de ce domaine. Selon votre systme
dexploitation serveur et votre configuration, vous pouvez utiliser le service FRS ou la rplication de
systme de fichiers (DFS-R) pour rpliquer les donnes.
Pour crer un magasin central pour des fichiers .admx et .adml, crez un dossier nomm PolicyDefinitions
lemplacement suivant : \\FQDN\SYSVOL\NDC\stratgies
Par exemple, pour crer un magasin central pour le domaine Test.Microsoft.com, crez un dossier
PolicyDefinitions lemplacement suivant : \\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\Stratgies
Un utilisateur doit copier tous les fichiers et sous-dossiers du dossier PolicyDefinitions. Le dossier
PolicyDefinitions dun ordinateur bas sur Windows 7 se trouve dans le dossier Windows. Le dossier
PolicyDefinitions enregistre tous les fichiers .admx et fichiers .adml pour toutes les langues autorises sur
lordinateur client.
Remarque : Vous devez mettre le dossier PolicyDefinitions jour pour chaque Service Pack
et pour tout autre logiciel supplmentaire, tel que les fichiers ADMX de Microsoft Office 2010.
6-5
Les outils de modification de stratgie de groupe dans Windows Server 2012 fournissent plusieurs
fonctionnalits qui facilitent la configuration et la gestion des objets de stratgie de groupe. Dans cette
dmonstration, vous allez passer en revue ces options.
Un inconvnient prsent dans les outils de modification de stratgie de groupe des versions prcdentes
de Windows est limpossibilit de rechercher un paramtre de stratgie spcifique. Avec des milliers de
stratgies possibles, il peut tre difficile de localiser exactement le paramtre que vous souhaitez
configurer. Lditeur de gestion des stratgies de groupe dans Windows Server 2012 rsout ce problme
pour les paramtres de modle dadministration. Vous pouvez dsormais crer des filtres pour localiser les
paramtres de stratgie spcifiques.
Pour crer un filtre :
1.
Cliquez avec le bouton droit sur Modles dadministration, puis cliquez sur Options de filtre.
2.
Pour localiser une stratgie spcifique, activez la case cocher Activer les filtres par mots cls,
saisissez les mots cls, puis slectionnez les champs dans lesquels effectuer la recherche.
Vous pouvez galement filtrer les paramtres de stratgie de groupe qui sappliquent des versions de
Windows spcifiques, Windows Internet Explorer et dautres composants Windows.
Malheureusement, le filtre sapplique uniquement aux paramtres des nuds des modles
dadministration.
6-6
Vous pouvez galement rechercher et filtrer en fonction des commentaires sur le paramtre de stratgie.
Windows Server 2012 vous permet dajouter des commentaires aux paramtres de stratgie dans le nud
des modles dadministration. Pour cela, double-cliquez sur un paramtre de stratgie, puis cliquez sur
longlet Commentaire.
Ajouter des commentaires des paramtres de stratgie configurs est considr comme une pratique
dexcellence. Vous devez documenter la justification pour un paramtre et son effet dsir. Vous devez
galement ajouter les commentaires lobjet de stratgie de groupe lui-mme. Windows Server 2012
vous permet de joindre des commentaires un objet de stratgie de groupe. Dans lditeur de gestion
des stratgies de groupe, dans larborescence de la console, cliquez avec le bouton droit sur le nud
racine, cliquez sur Proprits, puis cliquez sur longlet Commentaire.
Les objets de stratgie de groupe Starter ne peuvent contenir que des paramtres de stratgie de
modles dadministration. Cependant, en plus dutiliser des objets de stratgie de groupe Starter, il existe
deux autres moyens de copier des paramtres dun objet de stratgie de groupe dans un nouvel objet :
Vous pouvez copier et coller des objets de stratgie de groupe entiers dans le conteneur dobjets
de stratgie de groupe du GPMC, afin davoir un nouvel objet de stratgie de groupe possdant
tous les paramtres de lobjet de stratgie de groupe source.
Pour transfrer des paramtres entre les objets de stratgie de groupe dans diffrents domaines ou
forts, cliquez avec le bouton droit sur un objet de stratgie de groupe, puis cliquez sur Sauvegarde.
Dans le domaine cible, crez un nouvel objet de stratgie de groupe, cliquez avec le bouton droit sur
lobjet de stratgie de groupe, puis cliquez sur Importer des paramtres. Vous pourrez importer les
paramtres de lobjet de stratgie de groupe sauvegard.
Crer un nouvel objet de stratgie de groupe en copiant un objet de stratgie de groupe existant.
Crer un nouvel objet de stratgie de groupe en important les paramtres auparavant exports
depuis un autre objet de stratgie de groupe.
Procdure de dmonstration
Filtrer les paramtres de stratgie du modle dadministration
1.
2.
3.
4.
5.
Filtrez les paramtres pour afficher uniquement ceux qui contiennent les mots cls cran de veille.
6.
2.
Ajoutez un commentaire aux deux paramtres Le mot de passe protge lcran de veille et
Activer lcran de veille.
Ouvrez le nud racine de la stratgie GPO1, puis ajoutez un commentaire longlet Commentaire.
6-7
Sauvegardez GPO1.
2.
3.
Leon 2
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
6-8
Une fois redirig vers un serveur de fichiers, un dossier apparat encore lutilisateur comme sil tait
stock sur le disque dur local.
Vous pouvez utiliser la technologie des fichiers hors connexion en mme temps que la redirection
pour synchroniser des donnes dans le dossier redirig vers le disque dur local de lutilisateur. Ceci
garantit aux utilisateurs un accs leurs donnes si une panne de rseau se produit ou si lutilisateur
travaille hors connexion.
6-9
Les utilisateurs qui se connectent plusieurs ordinateurs peuvent accder leurs donnes tant quils
peuvent accder au partage rseau.
Les dossiers en mode hors connexion permettent aux utilisateurs daccder leurs donnes mme
sils se dconnectent du rseau local (LAN).
Les donnes qui sont enregistres sur des serveurs en partages rseau sont sauvegardes.
La taille de profil itinrant peut tre rduite considrablement grce la redirection des donnes
du profil.
Avance. La redirection avance vous permet de spcifier des emplacements rseau diffrents pour
diffrents groupes de scurit Active Directory.
Suivre le dossier Documents. Loption Suivre la redirection du dossier Documents est disponible
uniquement pour les dossiers Images, Musique et Vidos. Ce paramtre transforme le dossier
concern en sous-dossier du dossier Documents.
Si vous choisissez De base ou Avanc, vous pouvez choisir les emplacements de dossier cible suivants :
Crer un dossier pour chaque utilisateur sous le chemin daccs racine. Cette option cre un dossier
sous la forme \\serveur\partage\nom de compte dutilisateur\nom du dossier. Par exemple, si vous
souhaitez enregistrer les paramtres de bureau de vos utilisateurs dans un dossier partag appel
Documents sur un serveur appel LON-DC1, vous pouvez dfinir le chemin daccs de racine \\londc1\Documents.
Chaque utilisateur possde un chemin daccs unique pour que le dossier redirig vrifie que les
donnes demeurent prives. Par dfaut, cet utilisateur possde les droits daccs exclusifs ce dossier.
Dans le cas du dossier Documents, le contenu du dossier actuel est dplac vers le nouvel emplacement.
Rediriger vers lemplacement suivant. Cette option utilise un chemin daccs prcis pour
lemplacement de redirection. Avec cette option, plusieurs utilisateurs partagent le mme chemin
daccs pour le dossier redirig. Par dfaut, cet utilisateur possde les droits daccs exclusifs ce
dossier. Dans le cas du dossier Documents, le contenu du dossier actuel est dplac vers le nouvel
emplacement.
Rediriger vers lemplacement du profil utilisateur local. Cette option dplace lemplacement du dossier
vers le profil dutilisateur local sous le dossier Utilisateurs.
Rediriger vers le rpertoire daccueil de lutilisateur. Cette option est disponible uniquement dans le
dossier Documents.
Remarque : Aprs la cration et lapplication initiales dun objet de stratgie de groupe qui
fournit des paramtres de redirection de dossier, les utilisateurs doivent ouvrir deux sessions
avant que la redirection nentre en vigueur. Les utilisateurs doivent suivre cette procdure car ils
se connecteront avec des informations didentification mises en cache.
Question : Les utilisateurs du mme service se connectent souvent diffrents ordinateurs.
Ils ont besoin dun accs leur dossier Documents. Ils ont galement besoin de conserver
des donnes prives. Quel paramtre de redirection de dossiers choisiriez-vous ?
Procdure de dmonstration
Crer un dossier partag
1.
2.
6-11
1.
Ouvrez la console Gestion des stratgies de groupe. Crez un objet de stratgie de groupe nomm
Redirection des dossiers, puis liez-le au domaine Adatum.
2.
3.
Configurez les proprits du dossier Documents afin quil utilise le paramtre Dossier de redirection
De base de tout le monde vers le mme emplacement.
4.
Vrifiez que lemplacement du dossier cible est dfini sur Crer un dossier pour chaque
utilisateur sous le chemin daccs racine.
5.
6.
Ouvrez une session sur LON-CL1 en tant que ADATUM\Administrateur avec le mot de passe
Pa$$w0rd.
2.
3.
Dconnectez-vous de LON-CL1.
Les scripts qui sont attribus lordinateur sexcutent dans le contexte de scurit du compte Systme
local. Les scripts qui sont attribus lutilisateur qui ouvre une session sexcutent dans le contexte de
scurit de cet utilisateur.
Dautres paramtres de stratgie de groupe contrlent certains aspects du fonctionnement des scripts.
Par exemple, si plusieurs scripts sont attribus, vous pouvez contrler sils sexcutent de manire
synchrone ou asynchrone.
Vous pouvez crire des scripts en nimporte quelle langue de script que le client Windows peut
interprter, telle que VBScript et Jscript, ou bien via une commande ou un lot de fichiers.
Remarque : Dans Windows Server 2008 R2 et Windows Server 2012, linterface
utilisateur (UI) dans lditeur de stratgie de groupe pour les scripts douverture de session, de
fermeture de session, de dmarrage et darrt fournit un onglet supplmentaire pour les scripts
Windows PowerShell. Vous pouvez dployer votre script Windows PowerShell en lajoutant
cet onglet. Windows Server 2008 R2, Windows Server 2012, Windows 7 ou Windows 8 peuvent
excuter des scripts Windows PowerShell via la stratgie de groupe.
Les scripts sont stocks dans les dossiers partags sur le rseau. Vous devez vrifier que le client a accs
cet emplacement rseau. Si les clients ne peuvent pas accder lemplacement rseau, les scripts ne
fonctionnent pas. Bien que nimporte quel emplacement rseau enregistre des scripts, prenez lhabitude
dutiliser le partage Netlogon parce que tous les utilisateurs et ordinateurs qui sont authentifis pour les
services AD DS ont accs cet emplacement.
Pour la plupart de ces paramtres, utiliser les prfrences de stratgie de groupe est une meilleure
alternative que la configuration dans les images systme Windows ou lutilisation des scripts douverture de
session. Les prfrences de stratgie de groupe seront voques plus en dtail plus tard dans ce module.
Crer et lier un objet de stratgie de groupe pour utiliser le script et enregistrer le script dans le
partage Netlogon.
Procdure de dmonstration
Crer un script douverture de session pour mapper un lecteur rseau
1.
2.
3.
6-13
1.
Utilisez la console de gestion des stratgies de groupe pour crer un nouvel objet de stratgie de
groupe nomm Drivemap, puis liez-le au domaine Adatum.com.
2.
Modifiez lobjet de stratgie de groupe pour configurer un script douverture de session utilisateur.
3.
4.
2.
3.
Dconnectez-vous de LON-CL1.
Leon 3
Dans les versions prcdentes de Windows Server, vous ne pouviez pas utiliser les stratgies de groupe
pour contrler les paramtres courants qui affectent lutilisateur et lenvironnement informatique, tels que
des lecteurs mapps. En gnral, ces paramtres taient livrs par des scripts douverture de session ou
des solutions de cration dimages.
Cependant, Windows Server 2012 comprend les prfrences de stratgie de groupe intgres la
console GPMC, qui activent des paramtres tels que des lecteurs mapps livrer via la stratgie de
groupe. En outre, vous pouvez configurer des prfrences en installant les outils dadministration
de serveur distant (RSAT) sur un ordinateur qui excute Windows 7 ou Windows 8. Cela vous permet de
fournir de nombreux paramtres courants grce la stratgie de groupe.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Identifier les diffrences entre les paramtres de stratgie de groupe et les prfrences.
Les exemples des nouvelles extensions des prfrences de stratgie de groupe comprennent :
Le mappage de lecteurs
Imprimantes
Services
Menu Accueil
6-15
La configuration des prfrences de stratgie de groupe ne requiert aucun outil spcial ou installation
de logiciel. Elles font partie, en mode natif, de la GPMC dans Windows Server 2008 (et les versions plus
rcentes) et sont appliqus de la mme manire que des paramtres de stratgie de groupe, par dfaut.
Les prfrences possdent deux sections distinctes : les paramtres Windows et les paramtres du
panneau de configuration.
Quand vous configurez une nouvelle prfrence, vous pouvez excuter les quatre actions de base suivantes :
Les paramtres de stratgie de groupe dsactivent linterface utilisateur pour les paramtres que la
stratgie gre. Les prfrences nagissent pas ainsi.
Les paramtres de stratgie de groupe sont appliqus intervalles rguliers. Vous pouvez appliquer
des prfrences une fois seulement ou intervalles rguliers.
Lutilisateur final peut modifier nimporte quel paramtre de prfrence qui est appliqu par la
stratgie de groupe, mais les paramtres de stratgie empchent les utilisateurs de les modifier.
Dans certains cas, vous pouvez configurer les mmes paramtres via un paramtre de stratgie aussi
bien quun lment de prfrence. Si des paramtres de stratgie de groupe et de prfrence
contradictoires sont configurs et appliqus au mme objet, la valeur du paramtre de stratgie
sapplique toujours.
Longlet Proprits gnrales est lendroit o des donnes de base sont fournies. La premire tape est
de prciser laction associe la prfrence : crer, supprimer, remplacer ou mettre jour. Diffrents
paramtres seront disponibles, selon laction initiale slectionne. Par exemple, si vous crez un mappage
de lecteur, vous devez fournir un chemin daccs UNC et une option pour la lettre de lecteur, que vous
souhaitez attribuer.
Arrter de traiter des lments dans cette extension si une erreur se produit. Si une erreur se produit
pendant le traitement dune prfrence, aucune autre prfrence dans cet objet de stratgie de
groupe ne sera traite.
Excuter dans le contexte de scurit de lutilisateur connect. Les prfrences peuvent sexcuter en
tant que le systme reconnat lutilisateur connect. Ce paramtre force le contexte de scurit de
lutilisateur connect.
Supprimer llment lorsquil nest plus appliqu. la diffrence des paramtres de stratgie, les
prfrences ne sont pas supprimes lorsque lobjet de stratgie de groupe qui les a livres est
supprim. Ce paramtre modifiera ce comportement.
Appliquer une fois et ne pas rappliquer. Normalement, les prfrences sont actualises au mme
intervalle que les paramtres de stratgie de groupe. Ce paramtre modifie ce comportement pour
appliquer le paramtre une seule fois louverture de session ou au dmarrage.
6-17
Utiliser le ciblage au niveau de llment. Lune des fonctionnalits les plus puissantes des prfrences
est le ciblage au niveau de llment. Vous pouvez utiliser cette fonctionnalit pour spcifier des
critres facilement, afin de pouvoir dterminer exactement quels utilisateurs ou ordinateurs recevront
une prfrence. Les critres comprennent, sans sy limiter :
o
Nom de lordinateur
Plage dadresses IP
Systme dexploitation
Groupe de scurit
Utilisateur
Cibler la prfrence.
Cibler la prfrence.
Tester la prfrence.
Procdure de dmonstration
2.
3.
Cibler la prfrence
2.
Cibler la prfrence
Visez cette prfrence pour les ordinateurs qui excutent le systme dexploitation Windows 8.
Basculez vers la machine LON-CL1 et actualisez les stratgies de groupe en utilisant la commande
suivante linvite de commandes :
gpupdate /force
2.
Leon 4
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Dcrire la faon dont la distribution de logiciels grce la stratgie de groupe rpond au cycle de vie
de logiciel.
Expliquer la faon de grer les mises jour de logiciel laide des stratgies de groupe.
6-19
Ce service fonctionne avec des privilges levs, de sorte que le logiciel puisse tre install par
le service Windows Installer, peu importe lutilisateur connect au systme. Les utilisateurs ont
uniquement besoin de laccs au point de distribution de logiciels.
Les applications sont tolrantes aux pannes. Si une application est corrompue, le service Installer
dtectera et rinstallera ou rparera lapplication.
Windows Installer ne peut pas installer des fichiers .exe. Pour distribuer un package logiciel qui
sinstalle avec un fichier .exe, le fichier .exe doit tre converti en fichier .msi laide dun utilitaire tiers.
Question : Les utilisateurs ont-ils besoin de droits dadministration pour installer
manuellement les applications qui possdent des fichiers MSI ?
Question : Pouvez-vous nous citer quelques inconvnients du dploiement de logiciels par
la stratgie de groupe ?
Vous pouvez galement choisir le dploiement avanc dun package. Utilisez cette option pour appliquer
un fichier de personnalisation un package pour un dploiement personnalis. Par exemple, dans le cas
o vous utilisez loutil de personnalisation Office pour crer un fichier de personnalisation de
configuration pour dployer Microsoft Office 2010.
Attribution de logiciel
Lattribution de logiciel possde les caractristiques suivantes :
Lorsque vous attribuez un logiciel un utilisateur, le menu Accueil de lutilisateur publie le logiciel
lorsquil se connecte. Linstallation ne commence pas tant que lutilisateur na pas double-cliqu sur
licne de lapplication ou sur un fichier qui lui est associ.
Les utilisateurs ne partagent pas des applications dployes. Lorsque vous attribuez le logiciel un
utilisateur, une application que vous installez pour un utilisateur au moyen de la stratgie de groupe
ne sera pas disponibles dautres utilisateurs.
En gnral, lorsque vous attribuez une application un ordinateur, elle sinstallera la prochaine fois
que lordinateur dmarrera. Lapplication sera la disposition de tous les utilisateurs de lordinateur.
Publication du logiciel
La publication de logiciel possde les caractristiques suivantes :
Les applications que les utilisateurs nont pas lautorisation dinstaller ne sont pas publies pour eux.
6-21
Les mises niveau supprimeront souvent lancienne version dune application et installeront une
version plus rcente, conservant habituellement les paramtres dapplication.
Vous pouvez supprimer des packages logiciels sils ont t livrs lorigine laide de la stratgie de
groupe. Cest utile si une application sectorielle (LOB) est remplace par une application diffrente. La
suppression peut tre obligatoire ou facultative.
A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs London pour
assister le sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Windows Server 2012.
A. Datum vient juste douvrir une nouvelle filiale. Les utilisateurs dans ce bureau ont besoin dune
mthode automatise pour mapper des lecteurs aux ressources du serveur partages et vous dcidez
dutiliser les prfrences de stratgie de groupe. En outre, vous avez t invit crer un raccourci
lapplication Bloc-notes pour tous les utilisateurs qui appartiennent au groupe de scurit informatique.
Pour aider rduire des tailles de profil, vous avez t invit configurer la redirection de dossiers pour
rediriger plusieurs dossiers de profil vers le lecteur de base de chaque utilisateur.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-CL1
Nom dutilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd
Module 7
7-1
7-2
7-11
7-22
7-29
7-36
7-41
7-56
7-66
La plupart des organisations ont des utilisateurs qui travaillent distance, peut-tre depuis leur domicile
ou sur des sites client. Pour faciliter ces connexions distance, vous devez mettre en uvre des
technologies daccs distance pour prendre en charge cette main-duvre distribue. Vous devez vous
familiariser avec les technologies qui permettent aux utilisateurs distants de se connecter linfrastructure
rseau de votre organisation. Ces technologies comprennent les rseaux privs virtuels (VPN) et
DirectAccess, une fonctionnalit des systmes dexploitation Windows 7 et Windows 8. Il est important
que vous compreniez comment configurer et scuriser vos clients daccs distance laide des stratgies
rseau. Ce module dcrit ces technologies daccs distance.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
configurer DirectAccess.
Leon 1
7-2
Laccs rseau au sein du systme dexploitation Windows Server 2012 fournit les services requis
permettant aux utilisateurs distants de se connecter votre rseau. Pour prendre en charge les besoins de
votre organisation et de vos utilisateurs distants, il est important que vous puissiez installer et configurer
ces composants daccs rseau Windows Server 2012 avec succs.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
expliquer les mthodes dauthentification utilises dans le cadre dun accs rseau ;
expliquer le mode dutilisation des serveurs DHCP (Dynamic Host Configuration Protocol) avec le
service Routage et accs distant.
Services de certificats Active Directory (AD CS). Vous pouvez utiliser des certificats numriques pour
fournir lauthentification dans des scnarios daccs distance. En dployant AD CS, vous pouvez
crer une infrastructure cl publique dans votre organisation afin de prendre en charge la
dlivrance, la gestion et la rvocation des certificats.
Serveur DHCP. Fournit une configuration IP aux connexions daccs distance entrantes acceptes
pour la connectivit rseau au rseau local de lentreprise.
Network Policy Server (NPS). Fournit des services dauthentification pour dautres composants
daccs rseau.
7-3
Serveur de stratgie de contrle dintgrit NAP. value lintgrit du systme par rapport aux
stratgies de contrle dintgrit configures qui dcrivent des spcifications dintgrit et des
comportements de mise en uvre ; par exemple, les clients qui se connectent doivent tre en
conformit pour accder au rseau.
Autorit HRA (Health Registration Authority). Obtient des certificats dintgrit pour les clients
qui passent avec succs la vrification de la stratgie de contrle dintgrit.
Serveurs de mise jour. Proposent des services de mise jour aux clients qui ne rpondent pas
aux conditions dintgrit du rseau dentreprise. Les serveurs de mise jour sont des serveurs
spciaux sur un rseau limit.
Remarque : Les composants daccs distance constituent un rle serveur distinct dans
Windows Server 2012.
7-4
DirectAccess. DirectAccess active laccs distance transparent aux ressources intranet sans tablir
de connexion VPN au pralable. DirectAccess fournit une connectivit transparente linfrastructure
dapplications pour les utilisateurs internes et distants.
Vous pouvez dployer les technologies suivantes au cours de linstallation du rle Accs distance :
Service daccs distance (RAS) DirectAccess et VPN. Le service daccs distance DirectAccess
et VPN permet dactiver et de configurer :
o
des connexions VPN pour fournir aux utilisateurs finaux laccs distance au rseau de votre
organisation.
Service de routage. Il fournit un routeur logiciel complet ainsi quune plateforme ouverte pour le
routage et linterconnexion. Il offre des services de routage aux entreprises dans le rseau local
et les environnements de rseau tendu.
Lorsque vous choisissez le routage, la traduction dadresses rseau (NAT) est galement installe.
Lorsque vous dployez la traduction NAT, le serveur qui excute laccs distance est configur
pour partager une connexion Internet avec les ordinateurs dun rseau priv et pour traduire le
trafic entre son adresse publique et le rseau priv. Avec la traduction NAT, les ordinateurs du rseau
priv profitent dune certaine protection dans la mesure o le routeur sur lequel vous configurez la
traduction NAT ne transfre pas le trafic Internet dans le rseau priv, moins quun client du rseau
priv ne le demande ou que le trafic soit explicitement autoris.
Lorsque vous dployez une connexion VPN et la traduction NAT, vous configurez le serveur qui
excute laccs distance pour fournir la traduction NAT au rseau priv et accepter les connexions
VPN. Les ordinateurs sur Internet ne pourront pas dterminer les adresses IP des ordinateurs sur le
rseau priv. Toutefois, les clients VPN pourront se connecter aux ordinateurs sur le rseau priv
comme sils taient connects au mme rseau.
7-5
Lautorisation est la procdure par laquelle le serveur vrifie que la tentative de connexion est
autorise. La phase dautorisation ne se droule quen cas de russite de la phase dauthentification.
Pour quune tentative de connexion soit accepte, elle doit tre authentifie et autorise. Il est possible
quelle soit authentifie en utilisant des informations didentification valides, mais quelle ne soit pas
autorise ; dans ce cas, la tentative de connexion est refuse.
Si vous configurez un serveur daccs distance pour lauthentification Windows, les fonctionnalits de
scurit de Windows Server 2012 vrifient les informations dauthentification, tandis que les proprits de
numrotation du compte dutilisateur et les stratgies daccs distance stockes localement autorisent la
connexion. Si la tentative de connexion est la fois authentifie et autorise, elle est alors accepte.
Si vous configurez le serveur daccs distance pour lauthentification RADIUS, les informations
didentification de la tentative de connexion sont transmises au serveur RADIUS des fins
dauthentification et dautorisation. Si la tentative de connexion est la fois authentifie et autorise,
le serveur RADIUS renvoie un message dacceptation au serveur daccs distance et la tentative de
connexion est accepte. Si la tentative de connexion nest pas authentifie ou nest pas autorise, le
serveur RADIUS renvoie un message de refus au serveur daccs distance et la tentative de connexion
est refuse.
Mthodes dauthentification
Lauthentification des clients daccs constitue un
problme important en matire de scurit. En
rgle gnrale, les mthodes dauthentification
utilisent un protocole dauthentification qui est
ngoci lors de ltablissement de la connexion.
Les mthodes suivantes sont prises en charge par
le rle Accs distance.
PAP
Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en clair et est le moins
scuris des protocoles dauthentification. Il est gnralement ngoci si le client et le serveur daccs
distance ne parviennent pas ngocier une forme plus scurise de validation. Le protocole PAP, inclus
dans Microsoft Windows Server 2012, prend en charge des systmes dexploitation clients antrieurs ne
prenant en charge aucune autre mthode dauthentification.
CHAP
7-6
MS-CHAP V2
Le protocole MS-CHAP v2 est un processus dauthentification mutuelle par mot de passe chiffr sens
unique. Il fonctionne comme suit :
1.
Lauthentificateur (serveur daccs distance ou ordinateur qui excute NPS) envoie au client daccs
distance une demande daccs. Celle-ci se compose dun identificateur de session et dune chane
de demande daccs arbitraire.
2.
Le client daccs distance envoie une rponse qui contient un chiffrement sens unique de la
chane de demande daccs reue, la chane de demande daccs de lhomologue arbitraire,
lidentificateur de session et le mot de passe de lutilisateur.
3.
Lauthentificateur vrifie la rponse du client et renvoie une rponse contenant une indication de la
russite ou de lchec de la tentative de connexion et une rponse authentifie reposant sur la chane
de demande daccs envoye, la chane de demande daccs de lhomologue, la rponse chiffre du
client et le mot de passe de lutilisateur.
4.
Le client daccs distance vrifie la rponse dauthentification et utilise la connexion si celle-ci est
valide. Si la rponse dauthentification est incorrecte, le client daccs distance met fin la connexion.
EAP
Le protocole EAP (Extensible Authentication Protocol) est un mcanisme dauthentification
arbitraire qui permet dauthentifier une connexion daccs distance. Le client daccs distance
et lauthentificateur (le serveur daccs distance ou le serveur RADIUS) ngocient le modle
dauthentification exact utiliser. Le service Routage et accs distant inclut la prise en charge du
protocole EAP-TLS (EAP-Transport Layer Security) par dfaut. Vous pouvez de ce fait connecter dautres
modules EAP au serveur excutant le service Routage et accs distant de manire fournir dautres
mthodes EAP.
Autres options
Outre les mthodes dauthentification prcdemment mentionnes, il existe deux autres options que
vous pouvez activer lors de la slection dune mthode dauthentification :
7-7
Accs non authentifi. Il ne sagit pas dune mthode dauthentification proprement parler, mais
plutt de labsence dune mthode. Laccs non authentifi permet aux systmes distants de se
connecter sans authentification. Toutefois, cette option ne doit en aucun cas tre active dans un
environnement de production, car elle constitue un risque pour votre rseau. Nanmoins, elle peut
parfois savrer utile pour rsoudre les problmes dauthentification dans un environnement de test.
Certificat dordinateur pour IKEv2 (Internet Key Exchange version 2). Slectionnez cette option pour
utiliser la Reconnexion VPN.
Modles de certificats. Ce composant dcrit le contenu ainsi que lobjectif dun certificat numrique.
Lors de la demande dun certificat auprs dune autorit de certification dentreprise AD CS, le
demandeur de certificat peut, en fonction de ses droits daccs, faire un choix parmi plusieurs types
de certificats bass sur des modles de certificats, tels que les modles Utilisateur et Signature du
code. Le modle de certificat enregistre les utilisateurs de bas niveau et les dcisions techniques
relatives au type de certificat dont ils ont besoin. En outre, il permet aux administrateurs didentifier
le demandeur et le type de certificat demand.
7-8
Les listes de rvocation de certificats consistent en des listes compltes numriquement signes
de certificats rvoqus. Ces listes sont publies priodiquement et peuvent tre rcupres et
mises en cache par les clients, selon la dure de vie configure de la liste de rvocation de
certificats. Elles sont utilises pour vrifier ltat de la rvocation dun certificat.
Les rpondeurs en ligne font partie du service de rle OCSP (Online Certificate Status Protocol)
de Windows Server 2008 et Windows Server 2012. Un rpondeur en ligne peut recevoir une
demande de vrification de la rvocation dun certificat sans que le client ait besoin de
tlcharger la liste de rvocation de certificats complte. Cette opration acclre le processus
de vrification de la rvocation de certificats et rduit la bande passante rseau. Elle amliore
galement lvolutivit et la tolrance de panne en permettant la configuration de groupe
des rpondeurs en ligne.
Applications et services bass sur une cl publique. Il sagit des applications ou des services qui
prennent en charge le chiffrement par cl publique. En dautres termes, lapplication ou les services
doivent pouvoir prendre en charge les implmentations de cl publique pour en tirer profit.
Outils de gestion des certificats et des autorits de certification. Les outils de gestion fournissent les
outils bass sur linterface graphique utilisateur et sur la ligne de commande pour :
o
publier les certificats des autorits de certification et les listes de rvocation de certificats ;
Accs aux informations de lautorit (AIA) et points de distribution de la liste de rvocation de certificats
(CDP). Les points daccs aux informations de lautorit dterminent lemplacement de recherche
et de validation des certificats des autorits de certification, et les emplacements de points de
distribution de la liste de rvocation de certificats dterminent les points de recherche des listes de
rvocation de certificats pendant le processus de validation du certificat. Dans la mesure o les listes
de rvocation de certificats peuvent devenir volumineuses (en fonction du nombre de certificats mis
et rvoqus par une autorit de certification), vous pouvez galement publier des listes de rvocation
de certificats temporaires plus limites appeles listes de rvocation de certificats delta. Les listes de
rvocation de certificats delta contiennent uniquement les certificats rvoqus depuis la publication
de la dernire liste CRL standard. Cela permet aux clients de rcuprer les listes de rvocation de
certificats delta plus petites et dtablir plus rapidement la liste complte des certificats rvoqus.
Les listes de rvocation de certificats delta permettent galement de publier plus frquemment les
donnes de rvocation, dans la mesure o leur transfert seffectue plus rapidement que celui des
listes CRL compltes.
Module de scurit matriel (HSM, Hardware security module). Un module de scurit matriel est
un priphrique matriel de chiffrement scuris facultatif qui acclre le traitement du chiffrement
en vue de grer les codes numriques. Ce matriel de stockage spcialis hautement scuris est
connect lautorit de certification afin de grer les certificats. En rgle gnrale, le module
de scurit matriel est physiquement raccord un ordinateur. Il consiste en un module
complmentaire facultatif de linfrastructure cl publique, et est plus frquemment utilis dans
les environnements de haute scurit dans lesquels les rpercussions seraient importantes si une cl
venait tre compromise.
7-9
Une adresse IP alloue extraite du pool dadresses disponibles dune porte active sur le serveur
DHCP. Le serveur DHCP gre ladresse et la distribue directement au client DHCP sur le rseau local.
Des paramtres supplmentaires et dautres informations de configuration fournis par les options
DHCP affectes dans le bail dadresse. Les valeurs et la liste doptions correspondent aux types
doptions que vous configurez et que vous affectez sur le serveur DHCP.
Lorsquun serveur daccs distance propose une configuration dynamique pour les clients daccs
distance, il commence par excuter les tapes suivantes :
1.
Lorsque le serveur qui excute le service daccs distance dmarre avec loption Utiliser DHCP pour
attribuer des adresses TCP/IP distantes, il indique au client DHCP quil doit obtenir 10 adresses IP
auprs dun serveur DHCP.
2.
Le serveur daccs distance utilise la premire des 10 adresses IP obtenues auprs du serveur DHCP
pour linterface du serveur daccs distance.
3.
Les neuf adresses restantes sont alloues aux clients TCP/IP lorsquils tablissent une session sur le
serveur daccs distance.
Les adresses IP qui sont libres lorsque les clients daccs distance se dconnectent sont rutilises.
Lorsque les 10 adresses IP sont utilises, le serveur daccs distance en obtient 10 de plus auprs dun
serveur DHCP. Lorsque le service Routage et accs distant sarrte, toutes les adresses IP obtenues via
le serveur DHCP sont libres.
Lorsque le serveur daccs distance utilise ce type de mise en cache proactive des baux dadresses DHCP
pour les clients daccs distance, il enregistre les informations suivantes pour chaque rponse de bail
obtenue du serveur DHCP :
ladresse IP alloue par le client (pour une distribution ultrieure au client du service de routage et
daccs distance) ;
la dure du bail.
Toutes les autres informations renvoyes par le serveur DHCP relatives aux options DHCP comme les options
de serveur, de porte ou de rservation, sont ignores. Lorsque le client se connecte au serveur et demande
une adresse IP (autrement dit, lorsque Adresse IP attribue par serveur est slectionn), il utilise un bail
DHCP mis en cache pour fournir au client daccs distance une configuration dadresse IP dynamique.
Lorsque ladresse IP est fournie au client daccs distance, le client ne sait pas que cette adresse a t
obtenue via ce processus intermdiaire entre le serveur DHCP et le serveur daccs distance. Le serveur
daccs distance maintient le bail au nom du client. Par consquent, la seule information que le client
reoit du serveur DHCP est ladresse IP.
Dans les environnements daccs distance, les clients DHCP ngocient et reoivent la configuration
dynamique de la manire suivante, qui est lgrement diffrente :
Une adresse IP alloue provenant du cache dadresses de porte DHCP sur le serveur de routage et
daccs distance. Le serveur de routage et daccs distance obtient et renouvelle son pool
dadresses mis en cache sur le serveur DHCP.
Si le serveur DHCP fournit normalement les paramtres supplmentaires et les autres informations de
configuration fournis grce des options DHCP affectes dans le bail dadresse, ces informations sont
renvoyes au client daccs distance en fonction des proprits TCP/IP configures sur le serveur
daccs distance.
Remarque : Les serveurs DHCP qui excutent Windows Server 2012 fournissent une classe
dutilisateur prdfinie (la Classe de routage et daccs distant par dfaut) pour affecter des
options fournies uniquement aux clients de routage et daccs distance. Pour affecter ces
options, vous devez crer une stratgie DHCP avec la condition selon laquelle la classe
dutilisateur quivaut la classe de routage et daccs distant par dfaut. Configurez
ensuite les options requises.
Leon 2
7-11
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
dcrire ce quest une connexion VPN et la manire dont elle est utilise pour connecter des clients
de rseau distant ;
dcrire les tches supplmentaires qui peuvent tre excutes lissue de la configuration dun
serveur VPN ;
dcrire les fonctionnalits et les avantages du Kit dadministration du Gestionnaire des connexions ;
accs distance ;
de site site.
Les connexions VPN daccs distance permettent aux utilisateurs qui travaillent hors site (par exemple,
la maison, chez un client, ou partir dun point daccs sans fil public) daccder un serveur sur le rseau
priv de votre organisation en utilisant linfrastructure mise disposition par un rseau public, comme
Internet. Du ct de lutilisateur, la connexion VPN est une connexion point point entre lordinateur, le
client VPN et le serveur de votre organisation. Linfrastructure exacte du rseau partag ou public na pas
dimportance car cette connexion fonctionne logiquement comme si les donnes taient envoyes sur
une liaison prive ddie.
Une connexion VPN de site site connecte deux segments dun rseau priv. Le serveur VPN fournit une
connexion route vers le rseau auquel le serveur VPN est rattach. Le routeur appelant (le client VPN)
sauthentifie auprs du routeur rpondant (le serveur VPN) et, rciproquement, le routeur rpondant
sauthentifie auprs du routeur appelant. Dans une connexion VPN de site site, les paquets envoys
par lun ou lautre des routeurs via la connexion VPN ne proviennent gnralement pas des routeurs.
Encapsulation. Avec la technologie VPN, les donnes prives sont encapsules avec un en-tte
contenant les informations de routage permettant aux donnes dtre transmises sur le rseau
de transit.
Authentification. Lauthentification des connexions VPN prend les trois formes suivantes :
o
7-13
Authentification de lorigine des donnes et intgrit des donnes. Pour vrifier que les donnes
envoyes sur la connexion VPN proviennent bien de lautre extrmit de la connexion et quelles
nont pas t modifies pendant leur transit, les donnes contiennent une somme de contrle
de chiffrement base sur une cl de chiffrement connue uniquement de lexpditeur et du
destinataire. Lauthentification de lorigine des donnes et lintgrit des donnes sont
uniquement disponibles pour les connexions L2TP/IPsec.
Chiffrement des donnes. Pour assurer la confidentialit des donnes transmises sur le rseau de
transit partag ou public, lexpditeur chiffre les donnes et le destinataire les dchiffre. Les processus
de chiffrement et de dchiffrement reposent sur lexpditeur et sur le destinataire qui utilisent tous les
deux une cl de chiffrement commune.
Les paquets intercepts sur le rseau de transit sont inintelligibles pour quiconque ne possde pas
la cl de chiffrement commune. La longueur de la cl de chiffrement est un paramtre de scurit
important. Vous pouvez utiliser des techniques de calcul pour dterminer la cl de chiffrement.
Toutefois, plus cette cl est longue, plus la puissance et le temps de calcul ncessaires seront levs.
Par consquent, il est important dutiliser la plus grande taille de cl possible pour assurer la
confidentialit des donnes.
PPTP
Le protocole PPTP vous permet de chiffrer et dencapsuler dans un en-tte IP le trafic multiprotocole qui
est ensuite envoy sur un rseau IP ou sur un rseau IP public comme Internet. Vous pouvez utiliser le
protocole PPTP pour les connexions daccs distance et les connexions VPN de site site. Si vous utilisez
Internet comme rseau public VPN, le serveur PPTP est un serveur VPN PPTP avec une interface sur
Internet et une seconde interface sur le rseau intranet.
Encapsulation. Le protocole PPTP encapsule des trames PPP dans des datagrammes IP
en vue de la transmission sur le rseau. Le protocole PPTP utilise une connexion TCP
(Transmission Control Protocol) pour grer les tunnels et une version modifie du protocole GRE
(Generic Route Encapsulation) afin dencapsuler des trames PPP pour les donnes en tunnel.
Les charges utiles des trames PPP encapsules peuvent tre chiffres et/ou compresses.
Chiffrement. La trame PPP est chiffre avec le chiffrement Microsoft Point-to-Point (MPPE,
Microsoft Point-to-Point Encryption) laide des cls de chiffrement gnres par le processus
dauthentification MS-CHAPv2 ou EAP-TLS. Les clients VPN doivent utiliser le protocole
dauthentification MS-CHAPv2 ou EAP-TLS pour que les charges utiles des trames PPP soient
chiffres. Le protocole PPTP utilise le chiffrement PPP sous-jacent et de lencapsulation dune
trame PPP prcdemment chiffre.
L2TP
Le protocole L2TP vous permet de chiffrer le trafic multiprotocole qui doit tre envoy via tout support
prenant en charge la remise de datagramme point point, comme le trafic IP ou le mode de transfert
asynchrone. Le protocole L2TP est une combinaison des protocoles PPTP et L2F (Layer 2 Forwarding).
Il regroupe les meilleures fonctionnalits des deux.
la diffrence du protocole PPTP, limplmentation Microsoft du protocole L2TP nutilise pas le
chiffrement MPPE pour chiffrer les datagrammes PPP. Le protocole L2TP sappuie sur IPsec en mode
transport pour les services de chiffrement. La combinaison des protocoles L2TP et IPsec est appele
L2TP/IPsec.
Pour utiliser les protocoles L2TP et IPsec, le client et le serveur VPN doivent tous deux prendre en charge
les protocoles L2TP et IPsec. La prise en charge des clients pour le protocole L2TP est intgre dans les
clients daccs distance Windows XP, Windows Vista, Windows 7 et Windows 8. La prise en charge du
serveur VPN pour le protocole L2TP est intgre dans les produits des familles Windows Server 2012,
Windows Server 2008 et Windows Server 2003.
Encapsulation : lencapsulation pour les paquets L2TP/IPsec est forme de deux couches,
lencapsulation L2TP et lencapsulation IPsec. L2TP encapsule et chiffre les donnes de la
manire suivante :
o
Premire couche. La premire couche est lencapsulation L2TP. Une trame PPP (datagramme IP)
est encapsule avec un en-tte L2TP et un en-tte UDP (User Datagram Protocol).
Seconde couche. La seconde couche est lencapsulation IPsec. Le message L2TP rsultant est
encapsul avec un en-tte et un code de fin ESP (Encapsulating Security Payload) IPsec, un code
de fin dauthentification IPsec qui fournit lintgrit et lauthentification des messages, et un entte IP final. Len-tte IP contient les adresses IP source et de destination qui correspondent au
client et au serveur VPN.
Chiffrement : le message L2TP est chiffr avec lalgorithme AES (Advanced Encryption Standard)
ou 3DES (Triple Data Encryption Standard) en utilisant les cls de chiffrement gnres par le
processus de ngociation IKE.
SSTP
7-15
Le protocole SSTP est un nouveau protocole de tunneling qui utilise le protocole HTTPS (HTTP Secure)
sur le port TCP 443 pour faire transiter le trafic travers des pare-feux et des proxys Web qui peuvent
bloquer le trafic PPTP et L2TP/IPsec. Le protocole SSTP propose un mcanisme permettant dencapsuler
le trafic PPP sur le canal SSL (Secure Sockets Layer) du protocole HTTPS. Lutilisation du protocole PPP
permet la prise en charge de mthodes dauthentification fortes, telles quEAP-TLS. Le protocole SSL offre
une scurit de niveau du transport avec une ngociation des cls amliore, le chiffrement et le contrle
dintgrit.
Lorsquun client essaie dtablir une connexion VPN base sur le protocole SSTP, ce dernier commence
par tablir une couche HTTPS bidirectionnelle avec le serveur SSTP. Sur cette couche HTTPS, les paquets
du protocole sont transmis comme charge utile des donnes laide des mthodes suivantes
dencapsulation et de chiffrement :
Encapsulation. Le protocole SSTP encapsule des trames PPP dans des datagrammes IP en vue
de la transmission sur le rseau. Le protocole SSTP utilise une connexion TCP (sur le port 443)
pour la gestion des tunnels et comme trames de donnes PPP.
Chiffrement. Le message SSTP est chiffr avec le canal SSL du protocole HTTPS.
IKEv2
IKEv2 utilise le protocole Mode de tunnel IPsec sur port UDP 500. IKEv2 prend en charge la mobilit, ce
qui en fait le choix idal pour la main duvre mobile. Les connexions VPN bases sur IKEv2 permettent
aux utilisateurs de se dplacer plus facilement entre les zones daccs sans fil et les connexions cbles.
Lutilisation des protocoles IKEv2 et IPsec permet la prise en charge des mthodes de chiffrement et
dauthentification forte.
Chiffrement. Le message est chiffr avec un des protocoles suivants laide des cls de chiffrement
gnres partir du processus de ngociation IKEv2 : algorithmes de chiffrement AES 256, AES 192,
AES 128 et 3DES.
IKEv2 est pris en charge uniquement sur les ordinateurs avec les systmes dexploitation suivants :
Windows 7, Windows 8, Windows Server 2008 R2 et Windows Server 2012. IKEv2 est le protocole de
tunneling VPN par dfaut dans Windows 7 et Windows 8.
Pour rpondre cette exigence, vous pouvez configurer la fonctionnalit Reconnexion VPN disponible
dans Windows Server 2012, Windows Server 2008 R2, Windows 8 et Windows 7. Grce cette
fonctionnalit, les utilisateurs peuvent accder aux donnes de la socit laide dune connexion VPN,
qui se reconnectera automatiquement en cas dinterruption de la connectivit. La Reconnexion VPN
permet galement le dplacement entre diffrents rseaux.
La Reconnexion VPN utilise la technologie IKEv2 pour fournir une connectivit VPN transparente et
cohrente. Les utilisateurs qui se connectent via une large bande mobile sans fil tireront davantage parti
de cette fonctionnalit. Prenons lexemple dun utilisateur avec un ordinateur portable quip de
Windows 8. Lorsque ce dernier emprunte le train pour se rendre sur son lieu de travail, il se connecte
Internet via une carte large bande mobile sans fil, puis tablit une connexion VPN au rseau de
lentreprise. Quand le train passe dans un tunnel, la connexion Internet sinterrompt. Ds que le train sort
du tunnel, la carte large bande mobile sans fil se reconnecte automatiquement au rseau Internet. Avec
les versions prcdentes des systmes dexploitation serveur et client Windows, VPN ne se reconnectait
pas automatiquement. Cest pourquoi lutilisateur devait rpter le processus en plusieurs tapes de
connexion au VPN manuellement. Ctait long et frustrant pour les utilisateurs mobiles avec une
connectivit par intermittence.
Avec la Reconnexion VPN, Windows Server 2012 et Windows 8 rtablissent les connexions VPN actives de
manire automatique lorsque la connectivit Internet est rtablie. Mme si la reconnexion peut prendre
plusieurs secondes, les utilisateurs nont pas besoin de relancer manuellement la connexion, ou de
sauthentifier nouveau pour accder aux ressources du rseau.
Les conditions requises du systme pour utiliser la fonctionnalit Reconnexion VPN sont les suivantes :
Windows Server 2008 R2 ou Windows Server 2012 en tant que serveur VPN.
Infrastructure cl publique (PKI), car un certificat informatique est indispensable pour une
connexion distance avec la Reconnexion VPN. Vous pouvez utiliser les certificats mis par une
autorit de certification interne ou publique.
Configuration requise
Avant de dployer la solution VPN de votre
organisation, il convient de tenir compte des
configurations requises suivantes en matire de
configuration :
7-17
Dterminez si les clients distants reoivent des adresses IP dun serveur DHCP situ sur votre rseau
priv ou du serveur VPN daccs distance en cours de configuration. Si le rseau priv comporte un
serveur DHCP, le serveur VPN daccs distance peut tout moment rserver simultanment dix
adresses auprs du serveur DHCP, puis les attribuer aux clients distants. Dans le cas contraire, le
serveur VPN daccs distance peut gnrer et attribuer automatiquement des adresses IP aux clients
distants. Si vous voulez que le serveur VPN daccs distance attribue des adresses IP dans une plage
dtermine, vous devez spcifier cette dernire.
Prcisez si les demandes de connexion des clients VPN doivent tre authentifies par un serveur
RADIUS ou par le serveur VPN daccs distance en cours de configuration. Lajout dun serveur
RADIUS est utile si vous envisagez dinstaller plusieurs serveurs VPN daccs distance, points daccs
sans fil ou autres clients RADIUS sur votre rseau priv.
Remarque : Pour activer une infrastructure RADIUS, installez le rle serveur Services de
stratgie et daccs rseau. Le NPS peut agir soit en tant que proxy RADIUS, soit en tant que
serveur RADIUS.
Dterminez si les clients VPN peuvent envoyer des messages DHCPINFORM au serveur DHCP sur
votre rseau priv. Si un serveur DHCP se trouve sur le mme sous-rseau que votre serveur VPN
daccs distance, les messages DHCPINFORM des clients VPN seront en mesure datteindre le
serveur DHCP une fois la connexion VPN tablie. Si un serveur DHCP se trouve sur un sous-rseau
diffrent de votre serveur VPN daccs distance, assurez-vous que le routeur entre les sous-rseaux
peut relayer des messages DHCP entre clients et le serveur. Si votre routeur excute Windows
Server 2008 R2 ou Windows Server 2012, vous pouvez configurer le service Agent relais DHCP sur le
routeur de sorte que les messages DHCPINFORM soient transfrs entre les sous-rseaux.
Veillez vous assurer que le responsable du dploiement de votre solution VPN dispose des
appartenances au groupe dadministration requises pour installer les rles serveur et configurer les
services ncessaires ; lappartenance au groupe Administrateurs local est requise pour effectuer
ces tches.
Procdure de dmonstration
Configurer laccs distance en tant que serveur VPN
1.
Ouvrez une session sur LON-RTR en tant quADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2.
Sur LON-RTR, ouvrez le Gestionnaire de serveur, puis ajoutez le rle Services de stratgie et daccs
rseau.
3.
4.
5.
6.
7.
8.
9.
Reconfigurez LON-RTR en tant que serveur VPN laide des paramtres suivants :
o
Le serveur est configur avec loption Non, utiliser Routage et accs distant pour authentifier
les demandes de connexion.
Basculez vers LON-CL2, puis ouvrez une session en tant quADATUM\Administrateur avec le mot
de passe Pa$$w0rd.
2.
3.
4.
5.
Une fois le VPN cr, modifiez ses paramtres en affichant les proprits de la connexion, puis
slectionnez longlet Scurit pour reconfigurer le VPN laide des paramtres suivants :
o
Attendez que la connexion VPN soit tablie. La connexion choue. Vous recevez une erreur relative
aux problmes dauthentification.
7-19
Rgler les niveaux denregistrement. Configurez le niveau de dtails des vnements que vous
souhaitez enregistrer. Vous pouvez dcider quelles informations vous souhaitez suivre dans les
fichiers journaux.
Crer un profil Gestionnaire des connexions pour les utilisateurs. Grez lexprience de connexion
cliente des utilisateurs et simplifiez la configuration et le dpannage de ces connexions.
Ajouter AD CS. Configurez et grez une autorit de certification (CA) sur un serveur en vue de
lutiliser dans une infrastructure cl publique (PKI).
Renforcer la scurit de laccs distance. Protgez les utilisateurs distants et le rseau priv en
appliquant des mthodes dauthentification scurises, en exigeant des niveaux suprieurs de
chiffrement des donnes, etc.
Renforcer la scurit VPN. Protgez les utilisateurs distants et le rseau priv en exigeant lutilisation
de protocoles de tunneling scuriss, en configurant le verrouillage de compte, etc.
Implmenter la fonctionnalit Reconnexion VPN. Ajoutez la Reconnexion VPN pour rtablir les
connexions VPN automatiquement pour les utilisateurs qui perdent temporairement leurs
connexions Internet.
LAssistant Kit dadministration du Gestionnaire des connexions compile le profil de connexion dans un
fichier excutable unique portant lextension de nom de fichier .exe. Vous pouvez distribuer ce fichier aux
utilisateurs par toute mthode votre disposition. Diffrentes mthodes considrer :
Inclure le profil de connexion dans limage qui est fournie avec les nouveaux ordinateurs.
Vous pouvez installer votre profil de connexion avec les images dordinateur client installes sur les
nouveaux ordinateurs de votre organisation.
Distribuer le profil de connexion sur un mdia amovible afin que lutilisateur puisse linstaller
manuellement.
Vous pouvez distribuer le programme dinstallation du profil de connexion sur un CD-DVD, un lecteur
flash USB ou tout autre mdia amovible auquel vous autorisez les utilisateurs accder. Un certain
nombre de mdias amovibles prennent en charge la fonction de dmarrage automatique qui permet
de lancer linstallation ds que lutilisateur insre le mdia dans lordinateur.
De nombreuses organisations utilisent un outil de gestion du bureau ou de gestion des logiciels tel
que Microsoft System Center Configuration Manager (auparavant appel Systems Management
Server). Configuration Manager permet de mettre le package en logiciel et de le distribuer aux
ordinateurs clients. Linstallation peut tre invisible pour vos utilisateurs et vous pouvez la configurer
pour signaler son succs ou son chec dans la console de gestion.
examiner le profil.
Procdure de dmonstration
Installer les services CMAK
1.
Au besoin, ouvrez une session sur LON-CL2 en tant quADATUM\Administrateur avec le mot de
pass Pa$$w0rd.
2.
Ouvrez le Panneau de configuration, puis activez la nouvelle fonctionnalit Windows appele Kit
dadministration du Gestionnaire des connexions Microsoft (CMAK) RAS.
7-21
1.
2.
Suivez les instructions de lAssistant Kit dadministration du Gestionnaire des connexions pour crer
le profil de connexion.
Examiner le profil cr
Utilisez lExplorateur de fichiers pour examiner le contenu du dossier que vous avez cr laide de
lAssistant Kit dadministration du Gestionnaire des connexions pour crer le profil de connexion.
Normalement, vous devriez prsent distribuer ce profil vos utilisateurs.
Leon 3
Les stratgies rseau dterminent si une tentative de connexion aboutit. Si la tentative de connexion
aboutit, la stratgie rseau dfinit galement des caractristiques de connexion, telles que des restrictions
de jour et dheure, des dconnexions de session en cas dinactivit ainsi que dautres paramtres.
La comprhension du mode de configuration des stratgies rseau est essentielle si vous voulez
implmenter avec succs des connexions VPN bases sur le rle serveur Services de stratgie et daccs
rseau dans votre organisation.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
expliquer comment crer une stratgie rseau pour les connexions VPN.
7-23
Lorsque vous configurez plusieurs stratgies rseau sur le serveur NPS, elles constituent un jeu ordonn
de rgles. Le serveur NPS vrifie chaque demande de connexion par rapport la premire rgle de la liste,
puis la deuxime, et ainsi de suite, jusqu ce quune correspondance soit trouve.
Remarque : Une fois quune rgle de correspondance est dtermine, les autres rgles sont
ignores. Par consquent, il est important que vous commandiez vos stratgies rseau de
manire approprie, par ordre dimportance.
Chaque stratgie rseau possde un paramtre tat de la stratgie qui vous permet dactiver ou de
dsactiver la stratgie. Si vous dsactivez une stratgie rseau, le serveur NPS ne lvalue pas lors du
processus dautorisation des demandes de connexion.
Vue densemble. Les proprits de vue densemble vous permettent de spcifier si la stratgie est
active, si elle accorde ou refuse laccs et si une mthode de connexion rseau ou un type de serveur
daccs rseau spcifique est requis pour les demandes de connexion. Ces proprits vous permettent
galement de spcifier si les proprits de numrotation des comptes dutilisateurs dans AD DS
doivent tre ignores. Si vous slectionnez cette option, le serveur NPS utilise uniquement les
paramtres de la stratgie rseau pour dterminer si la connexion doit tre autorise.
Conditions. Ces proprits vous permettent de spcifier les conditions que la demande de connexion
doit runir pour tre conforme la stratgie rseau. Si les conditions configures dans la stratgie
sont runies dans la demande de connexion, le serveur NPS applique les paramtres de la stratgie
rseau la connexion. Par exemple, si vous spcifiez ladresse IPv4 du serveur daccs rseau (adresse
IPv4 NAS) comme condition de la stratgie rseau et que le serveur NPS reoit une demande de
connexion dun serveur daccs rseau ayant cette adresse IP, la demande de connexion est conforme
la condition de la stratgie.
Contraintes. Les contraintes sont des paramtres supplmentaires de la stratgie rseau auxquels les
demandes de connexion doivent se conformer. Si une demande de connexion ne rpond pas une
contrainte, le serveur NPS rejette automatiquement cette demande. la diffrence de la rponse du
serveur NPS des conditions de la stratgie rseau auxquelles la demande de connexion ne se
conforme pas, si une demande de connexion ne rpond pas une contrainte, le serveur NPS nvalue
pas les stratgies rseau supplmentaires, et la demande de connexion est refuse.
Paramtres. Les proprits de paramtres vous permettent de spcifier les paramtres que le serveur
NPS applique la demande de connexion ds lors que toutes les conditions de la stratgie rseau
sont runies et que la demande est accepte.
Lorsque vous ajoutez une nouvelle stratgie rseau laide du composant logiciel enfichable MMC
(Microsoft Management Console) Serveur NPS, vous devez utiliser lAssistant Nouvelle stratgie rseau.
Aprs avoir cr une stratgie rseau laide de lAssistant Nouvelle stratgie rseau, vous pouvez la
personnaliser en double-cliquant dessus dans le serveur NPS de manire afficher ses proprits.
Remarque : Les stratgies par dfaut du serveur NPS bloquent laccs au rseau. Une fois
vos propres stratgies cres, vous devez modifier la priorit, dsactiver ou supprimer ces
stratgies par dfaut.
Si le serveur NPS ne trouve pas de stratgie rseau qui corresponde la demande de connexion,
il refuse la connexion, sauf si les proprits de numrotation du compte dutilisateur sont configures
pour accorder laccs.
Si les proprits de numrotation du compte dutilisateur sont configures pour refuser laccs,
le serveur NPS rejette la demande de connexion.
7-25
Par exemple, si vous spcifiez Passerelle des services Bureau distance, le serveur NPS value la stratgie
rseau uniquement pour les demandes de connexion qui proviennent de serveurs de passerelle des
services Bureau distance.
Sur la page Spcifier lautorisation daccs, vous devez slectionner Accs accord si vous souhaitez
que la stratgie autorise les utilisateurs se connecter votre rseau. Si vous souhaitez que la stratgie
empche les utilisateurs de se connecter votre rseau, slectionnez Accs refus. Si vous souhaitez que
les proprits de numrotation des comptes dutilisateurs dans AD DS dterminent lautorisation daccs,
vous pouvez activer la case cocher Laccs est dtermin par les proprits de numrotation des
utilisateurs. Ce paramtre remplace la stratgie NPS.
Une fois que vous avez cr votre stratgie rseau, vous pouvez utiliser la bote de dialogue Proprits
de la stratgie rseau pour afficher ou modifier ses paramtres.
Non spcifi. Si vous slectionnez Non spcifi, le serveur NPS value la stratgie rseau pour
toutes les demandes de connexion ayant pour origine tout type de serveur daccs rseau et
pour toute mthode de connexion.
Passerelle des services Bureau distance. Si vous spcifiez Passerelle des services Bureau
distance, le serveur NPS value la stratgie rseau pour les demandes de connexion qui
proviennent de serveurs excutant la passerelle des services Bureau distance.
Serveur daccs distance (VPN-Dial up). Si vous slectionnez Serveur daccs distance
(VPN-Dial up), le serveur NPS value la stratgie rseau pour les demandes de connexion ayant
pour origine un ordinateur qui excute le service de routage et daccs distance configur en
tant que serveur daccs distance ou VPN. Si un autre serveur daccs distance ou VPN est
utilis, le serveur doit prendre en charge le protocole RADIUS et les protocoles dauthentification
fournis par le serveur NPS pour les connexions daccs distance et les connexions VPN.
Serveur DHCP. Si vous spcifiez Serveur DHCP, le serveur NPS value la stratgie rseau pour
les demandes de connexion ayant pour origine des serveurs excutant le protocole DHCP.
Serveur HCAP. Si vous spcifiez Serveur HCAP, le serveur NPS value la stratgie rseau pour
les demandes de connexion ayant pour origine des serveurs excutant le protocole HCAP.
Vous devez configurer au moins une condition pour chaque stratgie rseau. Cette opration seffectue
dans longlet Conditions de la bote de dialogue Proprits de la stratgie rseau. Dans cet onglet, le
serveur NPS propose de nombreux groupes de conditions qui vous permettent de dfinir avec prcision
les proprits que doivent prsenter les demandes de connexion pour tre conformes la stratgie.
Les groupes de conditions disponibles que vous pouvez slectionner sont les suivants :
Groupes. Ces conditions spcifient les groupes dutilisateurs ou dordinateurs que vous configurez
dans AD DS et auxquels vous souhaitez que les autres rgles de la stratgie rseau sappliquent
lorsque des membres du groupe essaient de se connecter au rseau.
HCAP (Host Credential Authorization Protocol). Ces conditions sont utilises uniquement lorsque vous
souhaitez intgrer votre solution NAP NPS la solution Contrle dadmission au rseau de Cisco.
Pour utiliser ces conditions, vous devez dployer le Contrle dadmission au rseau de Cisco, ainsi
que la Protection daccs rseau (NAP). Vous devez galement dployer un serveur HCAP qui excute
les Services Internet (IIS) et le serveur NPS.
Restrictions relatives aux jours et aux heures. Ces conditions vous permettent de spcifier de manire
hebdomadaire si les connexions doivent tre autorises des jours et des heures spcifiques de
la semaine.
NAP. Les paramtres incluent Type didentit, Classe MS-Service, Ordinateurs compatibles avec la p
daccs rseau (NAP), Systme dexploitation et Expiration de la stratgie.
Proprits de la connexion. Les paramtres incluent Adresse IPv4 du client daccs, Adresse IPv6
du client daccs, Type dauthentification, Types de protocoles EAP autoriss, Protocole de trames,
Type de service et Type de tunnel.
Proprits du client RADIUS. Les paramtres incluent ID de la station appelante, Nom convivial du
client, Adresse IPv4 du client, Adresse IPv6 du client, Fournisseur du client et Fournisseur MS-RAS.
Passerelle. Les paramtres incluent ID de la station appele, Identificateur NAS, Adresse IPv4 NAS,
Adresse IPv6 NAS et Type de port NAS.
Les contraintes sont des paramtres supplmentaires facultatifs de la stratgie rseau qui sont trs
diffrents de ses conditions : lorsquune demande de connexion ne rpond pas une condition, le
serveur NPS continue valuer les autres stratgies rseau configures afin de trouver une stratgie
laquelle la demande de connexion est conforme. Lorsquune demande de connexion ne rpond pas une
contrainte, le serveur NPS nvalue pas les autres stratgies rseau, mais rejette la demande de connexion
et laccs de lutilisateur ou de lordinateur au rseau est refus.
La liste suivante dcrit les contraintes que vous pouvez configurer dans longlet Contraintes de la bote
de dialogue Proprits de la stratgie rseau :
Mthodes dauthentification. Permet de spcifier les mthodes dauthentification requises pour que la
demande de connexion soit conforme la stratgie rseau.
Dlai dinactivit. Permet de spcifier la dure maximale (en minutes) pendant laquelle le serveur
daccs rseau peut rester inactif avant que la connexion ne soit rompue.
7-27
Dlai dexpiration de session. Permet de spcifier la dure maximale (en minutes) pendant laquelle
un utilisateur peut rester connect au rseau.
Restrictions relatives aux jours et aux heures. Permet de spcifier quel moment les utilisateurs
peuvent se connecter au rseau.
Type de port NAS. Permet de spcifier les types de support daccs qui sont autoriss pour la
connexion des utilisateurs au rseau.
Si les proprits de la demande de connexion rpondent toutes les conditions et contraintes configures
dans la stratgie, le serveur NPS applique les paramtres configurs dans longlet Paramtres de la bote
de dialogue Proprits de la stratgie rseau la connexion. Ces paramtres sont notamment :
Attributs RADIUS. Ce paramtre permet de dfinir des attributs RADIUS supplmentaires envoyer
au serveur RADIUS.
NAP. Ce paramtre permet de configurer les paramtres de protection daccs rseau (NAP), pour
notamment indiquer si les clients qui se connectent disposent dun accs total ou limit au rseau, ou
encore si la mise jour automatique est active.
Routage et accs distant. Ce paramtre permet de configurer des paramtres de liaisons multiples et
de protocole BAP, des filtres IP, des paramtres de chiffrement et dautres paramtres IP pour les
connexions.
Procdure de dmonstration
Crer une stratgie VPN base sur la condition Groupes Windows
1.
Sur LON-RTR, basculez vers la console Serveur NPS (Network Policy Server).
2.
Dsactivez les deux stratgies rseau existantes ; elles empcheraient le traitement de la stratgie que
vous tes sur le point de crer.
3.
2.
Leon 4
7-29
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Quatre niveaux denregistrement sont disponibles dans longlet Enregistrement, comme dcrit dans le
tableau suivant.
Option de la bote de dialogue
Description
Ne pas enregistrer
dvnements
O composant est un composant figurant dans la liste des composants du service de routage et daccs
distance qui se trouve dans le Registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing.
Par exemple, pour activer le suivi du composant RASAUTH, la commande est la suivante :
netsh ras set tracing rasauth enabled
Pour activer le suivi pour tous les composants, utilisez la commande suivante :
netsh ras set tracing * enabled
7-31
Vous pouvez galement configurer la fonction de suivi en modifiant les paramtres du Registre sous le
chemin suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
Vous pouvez activer le suivi pour chaque composant du service daccs distance en dfinissant les
valeurs de Registre appropries. Vous pouvez activer et dsactiver le suivi de composants mme si le
service de routage et daccs distance est en cours dexcution. Chaque composant peut tre suivi et
apparat sous la forme dune sous-cl sous la cl de Registre prcdente.
Pour activer le suivi pour chaque composant, vous pouvez configurer les entres de Registre suivantes
pour chaque cl de protocole :
EnableFileTracing REG_DWORD Flag
Vous pouvez activer lenregistrement des informations de suivi dans un fichier en attribuant la valeur 1
EnableFileTracing, la valeur par dfaut tant 0.
Vous pouvez modifier lemplacement par dfaut des fichiers de suivi en indiquant le chemin daccs de
votre choix dans FileDirectory. Le nom du fichier journal est le nom du composant faisant lobjet du suivi.
Par dfaut, les fichiers journaux sont placs dans le dossier SystemRoot\Tracing.
Chemin daccs FileDirectory REG_EXPAND_SZ
FileTracingMask dtermine le volume dinformations de suivi stockes dans le fichier. La valeur par dfaut
est 0xFFFF0000.
FileTracingMask REG_DWORD LevelOfTracingInformationLogged
Vous pouvez modifier la taille du fichier journal en attribuant des valeurs diffrentes MaxFileSize.
La valeur par dfaut est 0x10000 (64 Ko).
MaxFileSize REG_DWORD SizeOfLogFile
Remarque : Le suivi utilise des ressources systme et doit tre utilis avec modration pour
tenter didentifier les problmes rseau. Une fois le suivi enregistr ou le problme identifi,
dsactivez immdiatement le suivi. Ne le laissez pas activ sur des ordinateurs multiprocesseurs.
Les informations de suivi peuvent tre complexes et dtailles. Cest pourquoi elles ne sont
gnralement utiles quaux professionnels du support technique Microsoft ou aux
administrateurs rseau ayant une exprience avec le service de routage et daccs distance.
Vous pouvez enregistrer les informations de suivi sous forme de fichiers et les envoyer au support
technique Microsoft pour analyse.
Vrifiez que le compte dutilisateur du client VPN nest pas verrouill, arriv expiration ou dsactiv,
ou bien encore que lheure laquelle la connexion est tablie ne correspond pas aux heures de
connexion configures. Si le mot de passe du compte a expir, vrifiez que le client VPN daccs
distance utilise le protocole MS-CHAP v2. MS-CHAP v2 est le seul protocole dauthentification fourni
par Windows Server 2012 qui vous permet de modifier un mot de passe arriv expiration au cours
du processus de connexion.
Rinitialisez les mots de passe arrivs expiration des comptes de niveau administrateur laide dun
autre compte de niveau administrateur.
Vrifiez que le compte dutilisateur na pas t verrouill en raison du verrouillage dun compte
daccs distance.
Vrifiez que le service de routage et daccs distance est en cours dexcution sur le serveur VPN.
Vrifiez que le serveur VPN est activ pour laccs distance dans longlet Gnral de la bote de
dialogue Proprits du serveur VPN.
Vrifiez que les priphriques Miniport WAN (PPTP) et Miniport WAN (L2TP) sont activs pour laccs
distance entrant dans les proprits de lobjet Ports dans le composant logiciel enfichable Routage
et accs distance.
Vrifiez que le client VPN, le serveur VPN et la stratgie rseau correspondant aux connexions VPN
sont configurs pour utiliser au moins une mthode dauthentification commune.
Vrifiez que le client VPN et la stratgie rseau correspondant aux connexions VPN sont configurs
pour utiliser au moins un niveau de chiffrement commun.
Vrifiez que les paramtres de la connexion sont autoriss au moyen de stratgies rseau.
7-33
PPTP. Pour le trafic PPTP, configurez le pare-feu du rseau de sorte quil ouvre le port TCP 1723
et quil transmette le protocole IP 47 pour le trafic GRE vers le serveur VPN.
L2TP. Pour le trafic L2TP, configurez le pare-feu du rseau de sorte quil ouvre le port UDP 1701
et quil autorise les paquets au format ESP IPsec (protocole IP 50).
Cause : Ce problme peut se produire si le pare-feu du rseau nautorise pas le trafic GRE
(protocole IP 47). Le protocole PPTP utilise le protocole GRE pour les donnes en tunnel.
Solution : Configurez le pare-feu du rseau entre le client VPN et le serveur de sorte quil autorise
le trafic GRE. De plus, assurez-vous que le pare-feu du rseau autorise le trafic TCP sur le port 1723.
Ces deux conditions doivent tre runies pour tablir la connectivit VPN laide du protocole PPTP.
Remarque : Le pare-feu peut se trouver sur ou devant le client VPN, ou devant le serveur VPN.
Cause : Ces erreurs se produisent si le client VPN demande un niveau de chiffrement non valide
ou si le serveur VPN ne prend pas en charge un type de chiffrement demand par le client.
Solution : Vrifiez les proprits de la connexion VPN sur le client VPN sous longlet Scurit.
Si loption Exiger le chiffrement des donnes (sinon, dconnecter) est slectionne, effacez
la slection et ressayez dtablir la connexion. Si vous utilisez un serveur NPS, vrifiez le
niveau de chiffrement dans la stratgie rseau de la console NPS ou les stratgies sur les
autres serveurs RADIUS. Vrifiez que le niveau de chiffrement demand par le client VPN
est slectionn sur le serveur VPN.
Absence de certificat. Par dfaut, les connexions L2TP/IPsec exigent pour lauthentification de
lhomologue IPsec quun change de certificats dordinateur ait lieu entre le serveur daccs
distance et le client daccs distance. Vrifiez quun certificat appropri existe dans les magasins
de certificats de lordinateur local du client daccs distance et du serveur daccs distance
utilisant le composant logiciel enfichable Certificats.
Certificat incorrect. Un certificat dordinateur valide mis par une autorit de certification qui suit
une chane de certificats valide depuis lautorit de certification mettrice jusqu une autorit de
certification racine approuve par le serveur VPN doit tre install sur le client VPN. Par ailleurs, un
certificat dordinateur valide mis par une autorit de certification qui suit une chane de certificats
valide depuis lautorit de certification mettrice jusqu une autorit de certification racine
approuve par le client VPN doit tre installe sur le serveur VPN.
Un priphrique NAT existe entre le client daccs distance et le serveur daccs distance. Sil existe
un service de routage NAT entre un client L2TP/IPsec Windows 2000 Server, Windows Server 2003 ou
Windows XP et un serveur L2TP/IPsec Windows Server 2008, vous ne pouvez pas tablir de connexion
L2TP/IPsec, sauf si le client et le serveur prennent en charge IPSec NAT-T (IPSec NAT Traversal).
Un pare-feu existe entre le client daccs distance et le serveur daccs distance. Sil existe
un pare-feu entre un client L2TP/IPsec Windows et un serveur L2TP/IPsec Windows Server 2012 et si
vous ne parvenez pas tablir une connexion L2TP/IPsec, vrifiez que le pare-feu autorise le transfert
du trafic L2TP/IPsec.
Lorsque vous utilisez le protocole EAP-TLS pour lauthentification, le client VPN envoie un certificat utilisateur et
le serveur dauthentification (le serveur VPN ou le serveur RADIUS) soumet un certificat dordinateur. Pour que
le serveur dauthentification puisse valider le certificat du client VPN, les assertions suivantes doivent tre vraies
dans chacun des certificats de la chane de certificats envoye par le client VPN :
La date actuelle doit tre comprise dans les dates de validit du certificat. Lorsque des certificats sont
mis, ils sont assortis dune plage de dates valides, avant laquelle ils ne peuvent pas tre utiliss et
aprs laquelle ils sont considrs comme tant arrivs expiration.
Le certificat na pas t rvoqu. Les certificats mis peuvent tre rvoqus tout moment. Chaque
autorit de certification mettrice gre une liste de certificats qui ne sont pas considrs comme
valides, et publie une liste de rvocation de certificats. Par dfaut, le serveur dauthentification
vrifie chacun des certificats de la chane de certificats des clients VPN (la srie de certificats entre
le certificat du client VPN et lautorit de certification racine) afin de voir sil na pas t rvoqu.
Si lun des certificats de la chane a t rvoqu, la validation du certificat choue.
Le certificat est assorti dune signature numrique valide. Les autorits de certification signent
numriquement les certificats quelles mettent. Le serveur dauthentification vrifie la signature
numrique de chaque certificat de la chane ( lexception du certificat dautorit de certification
racine) en obtenant la cl publique auprs de lautorit de certification mettrice des certificats
et en validant mathmatiquement la signature numrique.
Pour que le client VPN valide le certificat du serveur dauthentification pour
lauthentification EAP-TLS, les assertions suivantes doivent tre vraies pour chaque certificat
de la chane de certificats envoye par le serveur dauthentification :
o
La date actuelle doit tre comprise dans les dates de validit du certificat.
7-35
A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
bas Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres
pour assister le sige social de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure
serveur et client Windows Server 2012.
La direction de A. Datum souhaite implmenter une solution daccs distance pour ses employs afin
que les utilisateurs puissent se connecter au rseau dentreprise en dehors du bureau. Vous dcidez de
dployer un projet pilote qui permettra aux utilisateurs du service informatique de se connecter laide
dune connexion VPN lintranet dentreprise.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
1.
2.
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-RTR
22411B-LON-CL2
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd
Leon 5
Configuration de DirectAccess
7-41
Les organisations comptent souvent sur les connexions VPN pour fournir des utilisateurs distants laccs
scuris aux donnes et aux ressources sur le rseau dentreprise. Les connexions VPN sont faciles
configurer et sont prises en charge par diffrents clients. Cependant, elles doivent dabord tre initialises
par lutilisateur, et peuvent requrir une configuration supplmentaire au niveau du pare-feu de
lentreprise. En outre, les connexions VPN permettent gnralement daccder distance lensemble du
rseau dentreprise. De plus, les organisations ne peuvent pas grer efficacement les ordinateurs distants,
moins quils ne soient connects. Pour aller au-del de telles restrictions sur ces connexions VPN, les
organisations peuvent implmenter DirectAccess pour fournir une connexion transparente entre le rseau
interne et lordinateur distant sur Internet. DirectAccess permet aux organisations de grer les ordinateurs
distants plus efficacement, car ils sont considrs comme faisant partie du rseau dentreprise.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
dcrire DirectAccess ;
Les connexions peuvent requrir plusieurs tapes pour sinitialiser, et la procdure de connexion peut
prendre plusieurs secondes voire plus.
Les pare-feu peuvent soulever dautres considrations. Si elles ne sont pas correctement configures
sur le pare-feu, les connexions VPN peuvent chouer, voire permettre laccs distance la totalit
du rseau dentreprise.
Le dpannage des problmes lis aux checs de connexions VPN peut souvent reprsenter une
importante partie des appels au support technique pour de nombreuses organisations.
La gestion des ordinateurs disposant de connexions VPN savre complexe. Les ordinateurs clients
distants bass sur VPN reprsentent un dfi pour les professionnels de linformatique, car ces
ordinateurs ne peuvent pas se connecter au rseau interne pendant des semaines la fois, ce qui les
empche de tlcharger des objets de stratgie de groupe (GPO, Group Policy Objects) et les mises
jour logicielles.
Pour aller au-del de ces restrictions sur ces connexions VPN traditionnelles, les organisations peuvent
implmenter DirectAccess pour fournir une connexion transparente entre le rseau interne et lordinateur
distant sur Internet. DirectAccess permet aux organisations de grer plus facilement des ordinateurs
distants car ils sont toujours connects.
7-43
utilisation de divers protocoles, y compris HTTPS, pour tablir une connectivit IPv6. HTTPS est
gnralement autoris via les pare-feu et les serveurs proxy ;
prise en charge de laccs au serveur slectionn et authentification IPsec de bout en bout avec les
serveurs du rseau intranet ;
Connectivit toujours active. Lorsque lutilisateur connecte lordinateur client Internet, lordinateur
client est galement connect lintranet. Cette connectivit permet aux ordinateurs clients distants
daccder aux applications, et de les mettre jour, plus facilement. Les ressources intranet demeurent
ainsi toujours disponibles, permettant aux utilisateurs de se connecter lintranet dentreprise depuis
nimporte quel endroit, tout moment, amliorant par consquent leur productivit et leurs
performances.
Accs bidirectionnel. Vous pouvez configurer DirectAccess de manire ce que les clients
DirectAccess aient accs aux ressources intranet et de sorte que vous puissiez galement avoir accs
ces clients DirectAccess depuis lintranet. Par consquent, DirectAccess peut tre bidirectionnel. Cela
garantit la mise jour constante des ordinateurs clients avec les dernires mises jour de scurit,
lapplication du domaine Stratgie de groupe et une exprience identique, que lutilisateur soit sur
lintranet dentreprise ou sur le rseau public. Cet accs bidirectionnel a galement les
consequences suivantes :
renforcement de la scurit ;
Prise en charge de la gestion sortante. Cette nouvelle fonctionnalit de Windows Server 2012 permet
dactiver uniquement la fonctionnalit de gestion distance dans le client DirectAccess. Cette
nouvelle sous-option de lAssistant de configuration des clients DirectAccess automatise le
dploiement des stratgies qui sont utilises pour la gestion des ordinateurs clients. La prise en
charge de la gestion sortante nassure aucune option de stratgie permettant aux utilisateurs de se
connecter au rseau pour accder un fichier ou une application. Unidirectionnelle, elle fournit un
accs entrant des fins administratives uniquement.
Scurit optimise. Contrairement aux VPN traditionnels, DirectAccess offre plusieurs niveaux de
contrle daccs aux ressources du rseau. Ce contrle avanc permet aux architectes de la scurit
de contrler de manire prcise les utilisateurs distants qui accdent aux ressources spcifies. Vous
pouvez utiliser une stratgie granulaire pour dfinir les utilisateurs pouvant utiliser DirectAccess ainsi
que lemplacement partir duquel ils peuvent y accder. Le chiffrement IPsec est utilis pour
protger le trafic DirectAccess, de telle sorte que les utilisateurs peuvent garantir la fiabilit de la
scurit de leur communication.
Solution intgre. DirectAccess sintgre pleinement aux solutions NAP et disolation de serveur et de
domaine, entranant ainsi lintgration transparente des stratgies de spcification dintgrit, daccs
et de scurit entre lintranet et les ordinateurs distants.
Composants de DirectAccess
Pour dployer et configurer DirectAccess,
votre organisation doit prendre en charge
les composants dinfrastructure suivants :
serveur DirectAccess ;
clients DirectAccess ;
ressources internes ;
domaine AD DS ;
Stratgie de groupe
Serveur NAP
Serveur DirectAccess
Le serveur DirectAccess peut tre nimporte quel serveur Windows Server 2012 connect un domaine ;
il accepte les connexions partir des clients DirectAccess et tablit la communication avec les ressources
intranet. Ce serveur fournit les services dauthentification pour les clients DirectAccess et agit comme
point de terminaison de mode de tunnel IPsec pour le trafic externe. Le nouveau rle du serveur daccs
distance permet ladministration centralise, la configuration et lanalyse la fois de la connectivit
DirectAccess et de la connectivit VPN.
Par rapport la prcdente implmentation dans Windows Server 2008 R2, la nouvelle installation
sous la forme dun Assistant simplifie la gestion DirectAccess pour les petites et moyennes organisations.
LAssistant simplifie la gestion en supprimant le recours au dploiement complet PKI ainsi que le
besoin de deux adresses IPv4 publiques conscutives pour la carte physique connecte Internet.
Dans Windows Server 2012, lAssistant dinstallation DirectAccess dtecte ltat rel de limplmentation
du serveur DirectAccess et slectionne automatiquement le meilleur dploiement. Cela pargne ainsi
ladministrateur la complexit dune configuration manuelle des technologies de transition IPv6.
Clients DirectAccess
Les clients DirectAccess peuvent tre tout ordinateur connect un domaine fonctionnant sous
Windows 8 Enterprise, Windows 7 Enterprise ou Windows 7 Ultimate.
Remarque : Avec la mise en service hors site, vous pouvez associer lordinateur client
Windows 8 Enterprise un domaine sans le connecter en interne.
7-45
Lordinateur client DirectAccess se connecte au serveur DirectAccess laide dIPv6 et IPsec. Si un rseau
IPv6 natif nest pas disponible, le client tablit alors un tunnel IPv6/IPv4 laide des technologies de
transition 6to4 ou Teredo. Notez que lexcution de cette tape ne requiert pas que lutilisateur soit
connect lordinateur.
Si un pare-feu ou un serveur proxy empche lordinateur client utilisant 6to4 ou Teredo de se
connecter au serveur DirectAccess, lordinateur client essaie automatiquement de se connecter laide
du protocole IP-HTTPS qui utilise une connexion SSL pour garantir la connectivit. Le client a accs
aux rgles de Table de stratgie de rsolution de noms et de tunnel de scurit de connexion.
Les clients DirectAccess utilisent le serveur demplacement rseau (NLS) pour dterminer leur
emplacement. Si lordinateur client peut se connecter avec HTTPS, il suppose alors quil est sur lintranet
et il dsactive les composants DirectAccess. Sil est impossible de contacter le serveur NLS, le client
suppose quil est sur Internet. Le serveur NLS est install avec le rle serveur Web.
Remarque : LURL pour le serveur NLS est distribue laide dun objet de stratgie de groupe.
Ressources internes
Vous pouvez configurer nimporte quelle application compatible avec IPv6 qui sexcute sur les serveurs
internes ou les ordinateurs clients de manire la rendre disponible pour les clients DirectAccess.
Pour les applications et serveurs plus anciens, notamment ceux qui ne sont pas bass sur les systmes
dexploitation Windows et qui ne prennent pas en charge IPv6, Windows Server 2012 inclut dsormais
la prise en charge native dune passerelle de traduction de protocole (NAT64) et de rsolution de noms
(DNS64) pour convertir les communications IPv6 provenant dun client DirectAccess vers IPv4 pour les
serveurs internes.
Remarque : Comme dans le pass, cette fonctionnalit peut tre galement accomplie en
passant par le dploiement de Microsoft Forefront Unified Access Gateway. De mme, comme
dans les versions antrieures, ces services de traduction ne prennent pas en charge les sessions
lances par les priphriques internes, mais uniquement les demandes en provenance de
DirectAccess IPv6.
Vous devez dployer au moins un domaine Active Directory dot, au minimum, du niveau fonctionnel du
domaine Windows Server 2003. Windows Server 2012 DirectAccess offre une prise en charge intgre de
plusieurs domaines, ce qui permet aux ordinateurs clients provenant de diffrents domaines daccder aux
ressources qui peuvent tre situes dans diffrents domaines approuvs.
Stratgie de groupe
La stratgie de groupe est ncessaire ladministration centralise et au dploiement des paramtres
DirectAccess. LAssistant Installation DirectAccess cre un ensemble dobjets de stratgie de groupe
et les paramtres des clients DirectAccess, le serveur DirectAccess ainsi que les serveurs slectionns.
PKI
Serveur DNS
Lorsque le protocole ISATAP est excut, vous devez utiliser au moins Windows Server 2008 R2,
Windows Server 2008 Service Pack 2 (SP2) ou plus rcent, ou un serveur DNS non-Microsoft qui prend
en charge les changes de messages DNS sur le protocole ISATAP.
Serveurs NAP
La protection daccs rseau (NAP) est un composant facultatif de la solution DirectAccess qui permet
deffectuer un contrle de conformit et dappliquer la stratgie de scurit pour les clients DirectAccess
sur Internet. DirectAccess sous Windows Server 2012 permet de configurer une vrification dintgrit
NAP directement depuis linterface utilisateur dinstallation plutt que de modifier manuellement les
objets de stratgie de groupe ncessaires avec DirectAccess sous Windows Server 2008 R2.
7-47
Lorsquun client DirectAccess est connect Internet, chaque demande de requte de nom est compare
aux rgles despace de noms figurant dans la table NRPT.
Si une correspondance est trouve, la demande est traite selon les paramtres de la rgle NRPT.
Si une demande de requte de nom ne correspond pas un espace de noms rpertori dans
la table NRPT, la demande est envoye aux serveurs DNS configurs dans les paramtres TCP/IP
pour linterface rseau spcifie.
Pour un ordinateur client distant, les serveurs DNS sont gnralement les serveurs DNS Internet
configurs via le fournisseur de services Internet (ISP, Internet Service Provider).
Pour un client DirectAccess sur lintranet, les serveurs DNS sont gnralement les serveurs DNS
intranet configurs via le protocole DHCP.
Les noms en une partie, par exemple, http://internal, ont, en gnral, des suffixes de recherche DNS
configurs ajouts au nom avant quils ne soient contrls par rapport la table NRPT.
Si aucun suffixe de recherche DNS nest configur et que le nom en une partie ne correspond aucune
autre entre de nom en une partie dans la table NRPT, la demande est envoye aux serveurs DNS
spcifis dans les paramtres TCP/IP du client.
Les espaces de noms, par exemple, internal.adatum.com, sont saisis dans la table NRPT, suivis des serveurs
DNS vers lesquels les demandes correspondant cet espace de noms doivent tre diriges. Si une adresse
IP est saisie pour le serveur DNS, toutes les demandes DNS sont envoyes directement au serveur DNS
sur la connexion DirectAccess. De telles configurations ne requirent pas de scurit supplmentaire.
Cependant, si un nom est spcifi pour le serveur DNS (par exemple, dns.adatum.com) dans la table
NRPT, ce nom doit pouvoir tre publiquement rsolu lorsque le client interroge les serveurs DNS spcifis
dans ses paramtres TCP/IP.
La table NRPT permet aux clients DirectAccess dutiliser les serveurs DNS intranet pour la rsolution de
noms des ressources internes et les serveurs DNS Internet pour la rsolution de noms dautres ressources.
Les serveurs DNS ddis ne sont pas indispensables la rsolution de nom. DirectAccess est conu pour
empcher lexposition de votre espace de noms intranet Internet.
Il convient de traiter diffremment certains noms en ce qui concerne la rsolution de nom ; ces noms ne
doivent pas tre traduits laide des serveurs DNS intranet. Pour garantir la traduction de ces noms avec
les serveurs DNS spcifis dans les paramtres TCP/IP du client, vous devez les ajouter aux exemptions de
la table NRPT.
La table NRPT est contrle par la stratgie de groupe. Quand lordinateur est configur pour utiliser la
table NRPT, le mcanisme de rsolution de noms utilise, dans lordre :
le fichier dhtes ;
la table NRPT.
Puis, le mcanisme de rsolution de noms envoie la demande aux serveurs DNS spcifis dans les
paramtres TCP/IP.
Il est vital que le serveur NLS soit disponible depuis chaque site de lentreprise, car le comportement
du client DirectAccess dpend de la rponse du serveur NLS. Les emplacements des succursales peuvent
requrir un serveur NLS distinct sur chaque site pour garantir que le serveur NLS reste accessible mme
en cas de dfaillance de liaison entre les succursales.
Le client DirectAccess tente de rsoudre le nom de domaine complet (FQDN) dune URL du serveur
NLS. Puisque le nom de domaine complet (FQDN) de lURL du serveur NLS correspond une rgle
dexemption dans la table NRPT, le client DirectAccess envoie la place la requte DNS un serveur
DNS configur localement (un serveur DNS bas sur lintranet). Le serveur DNS bas sur lintranet
rsout le nom.
2.
Le client DirectAccess accde lURL accessible via HTTPS du serveur NLS, procdure au cours de
laquelle il obtient le certificat du serveur NLS.
3.
Selon le champ Points de distribution de la liste de rvocation des certificats du certificat du serveur
NLS, le client DirectAccess vrifie les fichiers de rvocation de la liste de rvocation de certificats dans
le point de distribution CRL pour dterminer si le certificat du serveur NL a t rvoqu.
4.
Lorsque le code de rponse HTTP est 200, le client DirectAccess dtermine le succs de lURL du
serveur NLS (accs, authentification de certificat et test de vrification de rvocation russis). Le client
DirectAccess bascule vers le profil du pare-feu du domaine et ignore les stratgies DirectAccess ;
il suppose quil se situe sur le rseau interne jusqu la prochaine modification rseau.
5.
7-49
Puisque le client ne rfrence plus aucune rgle DirectAccess dans la table NRPT pendant le reste
de la session connecte, toutes les demandes DNS sont envoyes via les serveurs DNS configurs
sur linterface (serveurs DNS bass sur lintranet). Avec lassociation de la dtection demplacement
rseau et la connexion au domaine dordinateurs, le client DirectAccess se configure pour un accs
normal lintranet.
6.
Normalement, les rgles du tunnel de scurit de connexion DirectAccess stendent aux profils de parefeu privs et publics ; elles sont dsactives partir de la liste des rgles actives de scurit de connexion.
Le client DirectAccess a dtermin avec succs quil est connect son intranet, et nutilise pas de
paramtres DirectAccess (rgles de la table NRPT ou rgles de tunnel de scurit de connexion). Le client
DirectAccess peut prsent accder normalement des ressources intranet. Il peut galement accder
des ressources Internet par des moyens normaux, tels quun serveur proxy.
Enfin, le client tente daccder aux ressources intranet, puis aux ressources Internet.
Le client essaie de rsoudre le nom de domaine complet de lURL du serveur NLS. Puisque le nom
de domaine complet de lURL du serveur NLS correspond une rgle dexemption de la table NRPT,
le client DirectAccess nenvoie pas de demande DNS un serveur DNS configur au niveau local
(serveur DNS bas sur Internet). Un serveur DNS externe bas sur Internet ne parviendrait pas
rsoudre le nom.
2.
Le client DirectAccess traite la demande de rsolution de noms comme dfini dans les rgles
dexemption de DirectAccess dans la table NRPT.
3.
Puisque le serveur NLS est introuvable sur le mme rseau sur lequel le client DirectAccess se trouve
actuellement, le client DirectAccess applique au rseau associ un profil rseau de pare-feu priv ou
public.
4.
Les rgles de tunnel de scurit de connexion pour DirectAccess, tendues aux profils privs et
publics, fournissent le profil rseau de pare-feu priv ou public.
Le client DirectAccess utilise la fois les rgles NRPT et les rgles de scurit de connexion pour trouver
les ressources intranet et y accder travers Internet via le serveur DirectAccess.
Aprs la dtermination de son emplacement rseau, le client DirectAccess tente de trouver un contrleur
de domaine et de sy connecter. Cette procdure gnre un tunnel IPsec ou un tunnel dinfrastructure
laide du mode de tunnel IPsec et du mode ESP vers le serveur DirectAccess. Le processus se droule
comme suit :
1.
Le nom DNS pour le contrleur de domaine correspond la rgle despace de noms intranet dans
la table NRPT, qui spcifie ladresse IPv6 du serveur DNS intranet. Le service client DNS tablit la
demande de nom DNS adresse ladresse IPv6 du serveur DNS intranet et la fait suivre la pile
TCP/IP du client DirectAccess pour envoi.
2.
Avant de procder lenvoi du paquet, la pile TCP/IP effectue une vrification et dtermine si des
rgles sortantes du Pare-feu Windows ou des rgles de scurit de connexion pour le paquet existent.
3.
Puisque ladresse IPv6 de destination dans la demande de nom DNS correspond une rgle de
scurit de connexion qui correspond elle-mme au tunnel de linfrastructure, le client DirectAccess
utilise les protocoles AuthIP (Authenticated IP) et IPsec pour ngocier et authentifier un tunnel IPsec
chiffr vers le serveur DirectAccess. Le client DirectAccess ( la fois lordinateur et lutilisateur)
sauthentifie respectivement avec son certificat dordinateur install et ses informations
didentification Microsoft Windows NT LAN Manager (NTLM).
Le client DirectAccess envoie la demande de nom DNS via le tunnel IPsec dinfrastructure vers le
serveur DirectAccess.
5.
Le serveur DirectAccess transmet la demande de nom DNS au serveur DNS intranet. La rponse la
demande de nom DNS est renvoye au serveur DirectAccess, puis vers le client DirectAccess via le
tunnel IPsec dinfrastructure.
Le trafic de connexions au domaine ultrieur passe par le tunnel IPsec dinfrastructure. Lorsque lutilisateur
sur le client DirectAccess se connecte, le trafic de connexions du domaine se passe via le tunnel IPsec
dinfrastructure.
7-51
La premire fois que le client DirectAccess envoie le trafic un emplacement intranet qui ne figure pas
sur la liste de destinations pour le tunnel dinfrastructure (tel quun site Web interne), le processus suivant
se produit :
1.
Lapplication ou le processus qui tente dtablir une communication labore un message ou une
charge utile, puis le/la transfre vers la pile TCP/IP pour envoi.
2.
Avant de procder lenvoi du paquet, la pile TCP/IP effectue une vrification et dtermine si des
rgles sortantes du Pare-feu Windows ou des rgles de scurit de connexion pour le paquet existent.
3.
Puisque ladresse IPv6 de destination correspond la rgle de scurit de connexion qui correspond
au tunnel intranet (qui spcifie lespace dadressage IPv6 de lintranet tout entier), le client
DirectAccess utilise AuthIP et IPsec pour ngocier et authentifier un tunnel IPsec supplmentaire vers
le serveur DirectAccess. Le client DirectAccess sauthentifie avec son certificat dordinateur install et
les informations didentification Kerberos de son compte dutilisateur.
4.
Le client DirectAccess envoie le paquet via le tunnel intranet vers le serveur DirectAccess.
5.
Le serveur DirectAccess transmet le paquet vers les ressources intranet. La rponse est renvoye au
serveur DirectAccess, puis vers le client DirectAccess via le tunnel intranet.
Tout trafic daccs intranet ultrieur qui ne correspond pas une destination intranet dans la rgle de
scurit de connexion du tunnel dinfrastructure passe via le tunnel intranet.
Le service client DNS transmet le nom DNS pour la ressource Internet via la table NRPT. Il nexiste
aucune correspondance. Le service client DNS tablit la demande de nom DNS adresse ladresse IP
dun serveur DNS Internet configur sur linterface et la fait suivre la pile TCP/IP pour envoi.
2.
Avant de procder lenvoi du paquet, la pile TCP/IP effectue une vrification et dtermine si des
rgles sortantes du Pare-feu Windows ou des rgles de scurit de connexion pour le paquet existent.
3.
Parce que ladresse IP de destination dans la demande de nom DNS ne correspond pas aux rgles de
scurit de connexion pour les tunnels vers le serveur DirectAccess, le client DirectAccess envoie
normalement la demande de nom DNS.
4.
5.
6.
Parce que ladresse IP de destination dans la demande de nom DNS ne correspond pas aux rgles de
scurit de connexion pour les tunnels vers le serveur DirectAccess, le client DirectAccess envoie
normalement le paquet.
Tout trafic daccs Internet ultrieur, qui ne correspond pas une destination dans les rgles soit du
tunnel Internet dinfrastructure, soit de scurit de connexion, transite normalement.
La procdure daccs au contrleur de domaine et aux ressources intranet est trs similaire la
procdure de connexion, parce que les deux utilisent les tables NRPT pour trouver le serveur DNS
appropri afin de rsoudre les demandes de nom. La diffrence rside dans le fait que le tunnel IPsec
est tabli entre le client et le serveur DirectAccess. En accdant au contrleur de domaine, toutes les
demandes DNS sont envoyes par le tunnel IPsec dinfrastructure, et lors de laccs aux ressources
intranet, un deuxime tunnel IPsec (intranet) est tabli.
Une seule carte rseau peut tre installe sur le systme dexploitation Windows Server 2012 install
en tant que serveur DirectAccess. Elle doit tre connecte lintranet et publie sur Microsoft
Forefront Threat Management Gateway (TMG) 2010 ou Microsoft Forefront Unified Access Gateway
(UAG) 2010 pour connexion Internet. Dans le scnario de dploiement selon lequel DirectAccess est
install sur un serveur Edge, deux cartes rseau doivent tre disponibles : lune tant connecte au
rseau interne et lautre, au rseau externe. Un serveur Edge correspond nimporte quel serveur
qui rside la priphrie entre deux, voire plusieurs, rseaux ; en gnral, il sagit dun rseau priv
et dInternet.
Limplmentation de DirectAccess dans Windows Server 2012 ne requiert pas que deux adresses IPv4
publiques, statiques conscutives soient attribues la carte rseau.
Sur le serveur DirectAccess, vous pouvez installer le rle daccs distance pour configurer les
paramtres DirectAccess pour le serveur et les clients DirectAccess et surveiller ltat du serveur
DirectAccess. LAssistant Accs distance fournit la possibilit de configurer des scnarios
DirectAccess uniquement, VPN uniquement, ou les deux la fois sur le mme serveur excutant
Windows Server 2012. Cela ntait pas possible dans le dploiement Windows Server 2008 R2
de DirectAccess.
Pour la prise en charge de lquilibrage de charge, Windows Server 2012 peut utiliser lquilibrage de
la charge rseau (jusqu 8 nuds) pour obtenir une haute disponibilit et lvolutivit la fois pour
DirectAccess et RAS.
Lordinateur client peut tre charg avec Windows 8 Enterprise, Windows 7 Enterprise,
Windows 7 Ultimate, Windows Server 2012 ou Windows Server 2008 R2. Il est impossible
de dployer DirectAccess sur des clients excutant Windows Vista, Windows Server 2008
ou dautres versions antrieures des systmes dexploitation Windows.
7-53
AD DS. Vous devez dployer au moins un domaine Active Directory. Les groupes de travail ne sont
pas pris en charge.
DNS et contrleur de domaine. Vous devez avoir au moins un contrleur de domaine et un serveur
DNS excutant Windows Server 2012, Windows Server 2008 SP2 ou Windows Server 2008 R2.
PKI. Si vous disposez uniquement dordinateurs client Windows 8, vous navez pas besoin de PKI.
Les ordinateurs client Windows 7 requirent une installation plus complexe et donc une PKI.
Stratgies IPSec. DirectAccess utilise les stratgies IPsec configures et administres dans le cadre
du pare-feu Windows avec fonctions avances de scurit.
Trafic de requtes dcho ICMPv6. Vous devez crer des rgles de trafic entrant et de trafic sortant
distinctes qui autorisent les messages de requtes dcho ICMPv6. La rgle de trafic entrant est
requise pour permettre les messages de requtes dcho ICMPv6, et doit tre tendue tous les
profils. La rgle de trafic sortant pour autoriser les messages de requtes dcho ICMPv6 doit
tre tendue tous les profils, et est requise uniquement si le bloc sortant est activ. Les clients
DirectAccess qui utilisent Teredo pour la connectivit IPv6 lintranet utilisent le message ICMPv6
pour tablir la communication.
Technologies de transition IPv6. Les technologies de transition IPv6 doivent tre disponibles
sur le serveur DirectAccess. Pour chaque serveur DNS excutant Windows Server 2008
ou Windows Server 2008 R2, vous devez supprimer le nom ISATAP de la liste rouge de
requtes globale.
Configuration de DirectAccess
Pour configurer DirectAccess, procdez
comme suit :
1.
2.
3.
Installez Windows Server 2012 sur un ordinateur serveur dot dune ou deux cartes rseau
physiques (selon le scnario de conception DirectAccess).
Le serveur DirectAccess est sur le rseau de primtre avec une carte rseau connecte au
rseau de primtre, et au moins une autre carte rseau connecte lintranet. Dans ce
scnario de dploiement, le serveur DirectAccess est plac entre un pare-feu frontal et le
pare-feu principal.
Le serveur DirectAccess est publi laide de TMG, dUAG, ou dautres pare-feux tiers. Dans
ce scnario de dploiement, DirectAccess est plac derrire un pare-feu frontal et il dispose
dune carte rseau connecte au rseau interne.
Le serveur DirectAccess est install sur un serveur Edge (en gnral, un pare-feu frontal),
avec une carte rseau connecte Internet, et au moins une autre carte rseau connecte
lintranet.
Une autre possibilit consiste en ce que le serveur DirectAccess dispose dune interface rseau
uniquement, et non de deux. Pour cette approche, procdez comme suit :
4.
7-55
Vrifiez que les ports et les protocoles ncessaires pour DirectAccess et la requte dcho ICMP
sont autoriss dans les exceptions du pare-feu et ouverts sur les pare-feux Internet et de
primtre.
Dans le cadre dune implmentation simplifie, le serveur DirectAccess peut utiliser une adresse IP
publique unique en association avec les services proxy Kerberos pour authentifier le client au
niveau des contrleurs de domaine. Dans le cadre de lauthentification deux facteurs et de
lintgration de protection daccs rseau (NAP), vous devez configurer au moins deux adresses
IPv4 publiques, statiques conscutives pouvant tre rsolues en externe via le serveur DNS.
Assurez-vous que vous avez une adresse IPv4 disponible et que vous pouvez la publier dans votre
serveur DNS externe.
Si vous avez dsactiv IPv6 sur les clients et les serveurs, vous devez le ractiver car il est
indispensable pour DirectAccess.
Installez un serveur Web sur le serveur DirectAccess pour permettre aux clients DirectAccess de
dterminer sils se trouvent sur ou en dehors de lintranet. Vous pouvez installer ce serveur Web
sur un serveur interne distinct pour dterminer lemplacement rseau.
Selon le scnario de dploiement, vous devez indiquer une des cartes rseau de serveur comme
linterface Internet (dans un dploiement avec deux cartes rseau), ou publier le serveur
DirectAccess dploy derrire un priphrique NAT pour laccs Internet.
Sur le serveur DirectAccess, assurez-vous que linterface Internet est configure pour tre une
interface publique ou prive, selon la conception de votre rseau. Configurez les interfaces
dintranet comme interfaces de domaine. Si vous disposez de plus de deux interfaces, vrifiez
que seuls deux types de classification sont slectionns au maximum.
Vrifiez que la stratgie de groupe DirectAccess a t applique et que des certificats ont t
distribus aux ordinateurs clients :
Puisque A. Datum Corporation sest dveloppe, plusieurs employs sont maintenant frquemment hors
du bureau, travaillant depuis leur domicile ou en voyageant. A. Datum souhaite implmenter une solution
daccs distance pour ses employs afin quils puissent se connecter au rseau dentreprise tout en tant
en dehors du bureau. Bien que la solution VPN implmente fournisse un haut niveau de scurit, la
gestion dentreprise est proccupe par la complexit de lenvironnement pour les utilisateurs finaux. En
outre, les responsables informatiques sont galement proccups par le fait de ne pas tre en mesure de
grer efficacement les clients distants. Pour aborder ces problmes, A. Datum a dcid dimplmenter
DirectAccess en fonction des ordinateurs clients excutant Windows 8.
En tant quadministrateur rseau senior, vous devez dployer et valider le dploiement DirectAccess. Vous
configurerez lenvironnement DirectAccess et validerez que les ordinateurs clients peuvent se connecter
au rseau interne en fonctionnant distance.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-RTR
22411B-LON-CL1
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd
Module 8
Installation, configuration et rsolution des problmes
du rle de serveur NPS
Table des matires :
Vue d'ensemble du module
8-1
8-2
8-7
8-14
8-24
8-30
8-34
Le rle de serveur NPS (Network Policy Server) dans Windows Server 2012 fournit la prise en charge
du protocole RADIUS (Remote Authentication Dial-In User Service), et peut tre configur comme
une serveur RADIUS ou proxy. En outre, NPS fournit une fonctionnalit qui est essentielle pour
limplmentation de la protection daccs rseau (NAP). Pour prendre en charge des clients distants et
implmenter la protection daccs rseau (NAP), il est important que vous sachiez installer, configurer
et rsoudre NPS.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
Leon 1
8-2
NPS est implment en tant que rle serveur dans Windows Server 2012. Quand vous installez le rle NPS,
vous devez dcider dutiliser NPS en tant que serveur RADIUS, proxy RADIUS ou serveur de stratgie NAP.
Aprs linstallation, vous pouvez configurer le rle NPS laide de divers outils. Vous devez comprendre
comment installer et configurer le rle NPS afin de prendre en charge votre infrastructure RADIUS.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
serveur RADIUS ;
proxy RADIUS ;
Serveur RADIUS
8-3
NPS ralise, de manire centralise, des oprations dauthentification, dautorisation et de gestion des
comptes pour les connexions daccs distance et VPN, ainsi que pour les connexions sans fil et reposant
sur des commutateurs dauthentification. Lorsque vous utilisez le service NPS en tant que serveur RADIUS,
vous devez configurer des serveurs daccs rseau (tels que des points daccs sans fil et des serveurs VPN)
en tant que clients RADIUS dans le service NPS. Vous devez configurer galement des stratgies rseau
dont le serveur NPS se sert pour autoriser les demandes de connexion, et vous pouvez configurer la
gestion de comptes RADIUS de telle sorte que le serveur NPS enregistre les informations de comptes dans
des fichiers journaux sur le disque dur local ou dans une base de donnes Microsoft SQL Server.
Le serveur NPS est limplmentation Microsoft dun serveur RADIUS. Il permet lutilisation dun jeu
htrogne de priphriques sans fil, commutateur, daccs distance ou VPN. Vous pouvez utiliser NPS
avec le service de routage et daccs distance, qui est disponible dans Windows 2000 et des versions
plus rcentes de Windows Server.
Quand un serveur NPS est membre dun domaine des services de domaine Active Directory (AD DS),
NPS utilise AD DS comme base de donnes de comptes dutilisateurs et fournit lauthentification unique
(SSO), ce qui signifie que les utilisateurs utilisent le mme ensemble dinformations didentification pour le
contrle daccs rseau (authentification et autorisation de laccs un rseau) comme ils le font pour
accder des ressources dans le domaine AD DS.
Les organisations en charge de laccs rseau (les fournisseurs de services Internet, par exemple)
sont confrontes un dfi croissant, savoir les diffrents types daccs rseau partir dun point
dadministration unique, indpendamment des types de priphriques daccs rseau utiliss. La norme
RADIUS prend en charge ce besoin. Le service RADIUS est un protocole client-serveur qui permet aux
priphriques daccs rseau (utiliss en tant que clients RADIUS) de soumettre des demandes
dauthentification et de comptes un serveur RADIUS.
Un serveur RADIUS a accs aux informations du compte dutilisateur et peut vrifier les informations
dauthentification daccs rseau. Si les informations didentification de lutilisateur sont authentifies et
que le serveur RADIUS autorise la tentative de connexion, le serveur RADIUS autorise laccs de
lutilisateur en fonction de conditions spcifies et enregistre la connexion daccs rseau dans un journal
de gestion. Le service RADIUS vous permet de collecter et de conserver dans un emplacement central,
plutt que sur chaque serveur daccs, les donnes dauthentification, dautorisation et de comptes des
utilisateurs relatives laccs rseau.
Proxy RADIUS
Lorsque vous utilisez le serveur NPS en tant que proxy RADIUS, vous configurez des stratgies de
demande de connexion qui spcifient, dune part, les demandes de connexion transmises par le
serveur NPS dautres serveurs RADIUS et, dautre part, les serveurs RADIUS auxquels vous souhaitez
transmettre les demandes de connexion. Vous pouvez galement configurer le serveur NPS de manire
ce quil transmette les donnes de comptes un ou plusieurs ordinateurs dans un groupe de serveurs
RADIUS distants des fins de journalisation.
Avec le serveur NPS, votre organisation peut galement sous-traiter linfrastructure daccs distance
un fournisseur de services tout en maintenant le contrle de lauthentification, de lautorisation et de
la gestion de comptes des utilisateurs.
Vous pouvez crer des configurations NPS diffrentes pour les solutions suivantes :
accs Internet ;
8-4
Lorsque vous configurez le serveur NPS en tant que serveur de stratgie NAP, le serveur NPS value les
dclarations dintgrit envoyes par les ordinateurs clients compatibles avec la protection daccs rseau
(NAP) qui tentent de se connecter au rseau. Le serveur NPS agit galement en tant que serveur RADIUS
lorsquil est configur avec la protection NAP, en assurant lauthentification et lautorisation des
demandes de connexion. Vous pouvez configurer des stratgies NAP et des paramtres dans le
serveur NPS, y compris les programmes de validation dintgrit systme, la stratgie de contrle
dintgrit et les groupes de serveurs de mise jour qui permettent aux ordinateurs clients de mettre
jour leur configuration afin de se conformer la stratgie rseau de votre organisation.
Windows 8 et Windows Server 2012 intgrent NAP, qui contribue protger laccs aux rseaux
privs en vrifiant que les ordinateurs clients sont configurs conformment aux stratgies de
contrle dintgrit rseau de lorganisation avant quils ne puissent se connecter aux ressources rseau.
En outre, la protection daccs rseau contrle la conformit des ordinateurs clients la stratgie de
contrle dintgrit dfinie par ladministrateur lorsque lordinateur est connect au rseau. La mise
jour automatique NAP permet de garantir que les ordinateurs non conformes soient mis jour
automatiquement, ce qui assure leur mise en conformit la stratgie de contrle dintgrit afin quils
puissent se connecter au rseau.
Les administrateurs systme dfinissent des stratgies de contrle dintgrit rseau, puis crent
ces stratgies laide de composants NAP fournis soit par le serveur NPS, en fonction de votre
dploiement NAP, soit par des socits tierces.
Les stratgies de contrle dintgrit peuvent inclure les logiciels requis, les mises jour de scurit
requises et les paramtres de configuration requis. La protection daccs rseau met en uvre des
stratgies de contrle dintgrit en inspectant et en valuant lintgrit des ordinateurs clients, en
limitant laccs rseau lorsque des ordinateurs clients sont jugs dfectueux et en mettant jour les
ordinateurs clients dfectueux pour obtenir un accs rseau complet.
Procdure de dmonstration
Installer le rle NPS
1.
2.
Ouvrez le Gestionnaire de serveur, puis ajoutez le rle de Stratgie rseau et services daccs.
3.
2.
3.
Commandes netsh pour NPS. Les commandes netsh pour NPS fournissent un jeu de commandes
qui est compltement quivalent tous les paramtres de configuration disponibles travers
le composant logiciel enfichable MMC NPS. Vous pouvez excuter des commandes netsh
manuellement linvite netsh ou dans des scripts dadministrateur.
8-5
Par exemple, aprs avoir install et configur le serveur NPS, vous pouvez enregistrer la configuration
laide de la commande netsh suivante : netsh nps show config > path\file.txt. Vous devez alors
sauvegarder la configuration NPS avec cette commande chaque fois que vous faites une modification.
Windows PowerShell. Vous pouvez galement utiliser les applets de commande Windows
PowerShell pour configurer et grer un serveur NPS.
Par exemple, pour exporter la configuration NPS, vous pouvez utiliser lapplet de commande
Export-NpsConfiguration -Path <filename>.
enregistrer la configuration.
Procdure de dmonstration
Configurer un serveur RADIUS pour des connexions VPN
8-6
1.
Dans la console Serveur NPS, lancez la configuration VPN ou lAssistant Accs distance.
2.
3.
Utilisez un secret partag Pa$$word pour lauthentification entre le client RADIUS et le serveur NPS.
4.
Enregistrer la configuration
1.
2.
3.
Leon 2
8-7
RADIUS est un protocole dauthentification standard que beaucoup de fournisseurs utilisent pour prendre
en charge lchange dinformations dauthentification entre les lments dune solution daccs distant.
Pour centraliser les besoins dauthentification distants de votre organisation, vous pouvez configurer NPS
comme serveur RADIUS ou proxy RADIUS. Lorsque vous configurez des clients et des serveurs RADIUS,
vous devez considrer plusieurs facteurs, notamment les serveurs RADIUS qui authentifieront les
demandes de connexion des clients RADIUS et des ports que le trafic de RADIUS utilisera.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Pour dployer le serveur NPS en tant que serveur RADIUS, proxy RADIUS ou serveur de stratgie NAP,
vous devez configurer des clients RADIUS dans le serveur NPS.
8-8
Des serveurs daccs rseau qui fournissent la connectivit daccs distance un rseau
dorganisation ou Internet, par exemple un ordinateur qui excute le systme dexploitation
Windows Server 2012 et le service de routage et daccs distance qui fournit des services daccs
distance traditionnels ou VPN lintranet dune organisation.
Des points daccs sans fil qui fournissent laccs la couche physique du rseau dune organisation
laide de technologies de transmission et de rception sans fil.
Des commutateurs qui fournissent laccs la couche physique du rseau dune organisation laide
de technologies de rseau local traditionnelles comme Ethernet.
Des proxys RADIUS NPS qui transmettent les demandes de connexion aux serveurs RADIUS membres
dun groupe de serveurs RADIUS distants que vous configurez sur le proxy RADIUS ou dautres
proxys RADIUS.
Vous tes un fournisseur de services qui sous-traite des services daccs rseau distance, VPN
ou sans fil plusieurs clients.
Votre NAS envoie des demandes de connexion au proxy RADIUS NPS. En fonction de la partie de
domaine du nom dutilisateur dans la demande de connexion, le proxy RADIUS NPS transmet la
demande de connexion un serveur RADIUS gr par le client, et peut authentifier et autoriser
la tentative de connexion.
Vous souhaitez authentifier et autoriser les comptes dutilisateurs qui ne sont pas membres du
domaine dont le serveur NPS est membre ou dun domaine qui bnficie dune approbation
bidirectionnelle avec le domaine du membre du serveur NPS.
8-9
Il sagit notamment des comptes dans des domaines non approuvs, des domaines approuvs sens
unique et dautres forts. Au lieu de configurer vos serveurs daccs pour envoyer leurs demandes de
connexion un serveur RADIUS NPS, vous pouvez les configurer pour envoyer leurs demandes de
connexion un proxy RADIUS NPS. Le proxy RADIUS NPS utilise la partie du nom de domaine du
nom de lutilisateur et transmet la demande un serveur NPS dans le domaine ou la fort appropri.
Les tentatives de connexion pour les comptes dutilisateurs dans un domaine ou une fort peuvent
tre authentifies pour NAS dans un autre domaine ou une autre fort.
Vous souhaitez effectuer lauthentification et lautorisation en utilisant une base de donnes qui nest
pas une base de donnes de comptes Windows.
Dans ce cas, le serveur NPS transmet les demandes de connexion qui correspondent un nom de
domaine spcifi un serveur RADIUS, lequel a accs une autre base de donnes de comptes
dutilisateurs et de donnes dautorisation. Les bases de donnes SQL sont un autre exemple de base
de donnes utilisateur.
Vous souhaitez traiter un grand nombre de demandes de connexion. Dans ce cas, au lieu de
configurer vos clients RADIUS de manire tenter dquilibrer leurs demandes de connexion et de
comptes sur plusieurs serveurs RADIUS, vous pouvez les configurer de telle sorte quils envoient leurs
demandes de connexion et de comptes un proxy RADIUS NPS.
Le proxy RADIUS NPS quilibre dynamiquement la charge des demandes de connexion et de
comptes sur plusieurs serveurs RADIUS et augmente le traitement de grands nombres de clients
RADIUS et dauthentifications par seconde.
Un pare-feu intranet se trouve entre votre intranet et votre rseau de primtre (le rseau entre votre
intranet et Internet). En plaant un serveur NPS sur votre rseau de primtre, le pare-feu situ entre
votre rseau de primtre et lintranet doit autoriser le flux de trafic entre le serveur NPS et plusieurs
contrleurs de domaine.
Si vous remplacez le serveur NPS par un proxy NPS, le pare-feu doit autoriser uniquement le flux de
trafic RADIUS entre le proxy NPS et un ou plusieurs serveurs NPS dans votre intranet.
Procdure de dmonstration
1.
2.
3.
4.
Reconfigurez LON-RTR en tant que serveur VPN laide des paramtres suivants :
o
Secret : Pa$$w0rd
Conditions
8-11
Les conditions de la stratgie de demande de connexion se composent dun ou plusieurs attributs RADIUS
qui sont valus par rapport aux attributs du message de demande daccs RADIUS entrant. Si plusieurs
conditions existent, NPS applique la stratgie uniquement si toutes les conditions dans le message de
demande de connexion et dans la stratgie de demande de connexion correspondent.
Paramtres
Les paramtres de la stratgie de demande de connexion sont un jeu de proprits qui sont appliques
un message RADIUS entrant. Les paramtres sont constitus des groupes de proprits suivants :
Authentification
Gestion
Manipulation dattribut
Avanc
La gestion de comptes nest pas configure de manire transmettre les informations de comptes
un groupe de serveurs RADIUS distants.
La manipulation dattribut nest pas configure avec des rgles qui modifient les attributs dans les
demandes de connexion transmises.
La transmission de la demande est active, ce qui signifie que le serveur NPS local authentifie et
autorise les demandes de connexion.
La stratgie de demande de connexion par dfaut utilise le serveur NPS en tant que serveur RADIUS.
Pour configurer un serveur NPS pour agir en tant que proxy RADIUS, vous devez galement configurer un
groupe de serveurs RADIUS distants. Vous pouvez crer un groupe de serveurs RADIUS distants au cours du
processus la cration dune stratgie de demande de connexion laide de lAssistant Nouvelle stratgie de
demande de connexion. Vous pouvez soit supprimer la stratgie de demande de connexion par dfaut, soit
vrifier que la stratgie de demande de connexion par dfaut est la dernire stratgie traite.
Remarque : Si le serveur NPS et le service de routage et daccs distance sont installs
sur le mme ordinateur, et que le service de routage et daccs distance est configur
pour lauthentification et la gestion de comptes Windows, il est possible que les demandes
dauthentification et de gestion du service de routage et daccs distance soient transmises un
serveur RADIUS. Cela peut se produire lorsque les demandes dauthentification et de comptes du
service de routage et daccs distance correspondent une stratgie de demande de connexion
configure pour les transmettre un groupe de serveurs RADIUS distants.
Vous pouvez utiliser lAssistant Nouvelle stratgie de demande de connexion pour crer un groupe
de serveurs RADIUS distants lors de la demande de connexion.
Si vous ne souhaitez pas que le serveur NPS agisse en tant que serveur RADIUS et traite les demandes
de connexion localement, vous pouvez supprimer la stratgie de demande de connexion par dfaut.
Si vous souhaitez que le serveur NPS agisse en tant que serveur RADIUS (pour traiter les demandes
de connexion localement) et en tant que proxy RADIUS (pour transmettre certaines demandes de
connexion un groupe de serveurs RADIUS distants), ajoutez une nouvelle stratgie, puis vrifiez
que la stratgie de demande de connexion par dfaut est la dernire stratgie traite.
Les valeurs 1812 pour lauthentification et 1813 pour la gestion de comptes sont des ports RADIUS
standard dfinis dans les documents RFC 2865 et 2866. Toutefois, de nombreux serveurs daccs utilisent
par dfaut le port 1645 pour les demandes dauthentification et le port 1646 pour les demandes de
comptes. Lorsque vous dterminez les numros de port utiliser, assurez-vous de configurer le
serveur NPS et le serveur daccs pour utiliser les mmes numros de port. si vous nutilisez pas les
numros de port RADIUS par dfaut, vous devez configurer des exceptions sur le pare-feu pour
lordinateur local de manire activer le trafic RADIUS sur les nouveaux ports.
8-13
1.
2.
Cliquez avec le bouton droit sur Serveur NPS, puis cliquez sur Proprits.
3.
Cliquez sur longlet Ports, puis examinez les paramtres des ports. Si vos ports UDP dauthentification
RADIUS et de gestion de comptes RADIUS ont des valeurs diffrentes des valeurs par dfaut fournies
(1812 et 1645 pour lauthentification, et 1813 et 1646 pour la gestion de comptes), tapez vos
paramtres de port dans Authentification et Gestion.
Procdure de dmonstration
1.
Sur LON-DC1, basculez vers la console Serveur NPS (Network Policy Server).
2.
3.
4.
Leon 3
NPS authentifie et autorise la demande de connexion avant dautoriser ou de refuser laccs lorsque des
utilisateurs tentent de se connecter votre rseau par lintermdiaire de serveurs daccs rseau (aussi
appels clients RADIUS), tels que des points daccs sans fil, des commutateurs dauthentification 802.1X,
des serveurs daccs distance et des serveurs VPN.
Lauthentification tant le processus de vrification de lidentit de lutilisateur ou de lordinateur qui
essaie de se connecter au rseau, le serveur NPS doit recevoir une preuve didentit de lutilisateur
ou de lordinateur sous forme dinformations didentification.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Dcrivez les mthodes dauthentification bases sur un mot de passe pour un serveur NPS.
Dcrivez la manire dont les certificats sont utiliss pour fournir lauthentification pour des clients
rseau.
La mthode dauthentification dont vous avez besoin est dtermine par la configuration du serveur
daccs rseau, de lordinateur client et de la stratgie rseau sur le serveur NPS. Consultez la
documentation de votre serveur daccs pour dterminer les mthodes dauthentification qui sont
prises en charge.
8-15
Vous pouvez configurer le serveur NPS de telle sorte quil accepte plusieurs mthodes dauthentification.
Vous pouvez galement configurer vos serveurs daccs rseau, aussi appels clients RADIUS, de manire
ce quils tentent de ngocier une connexion avec les ordinateurs en utilisant diffrents protocoles, du
plus scuris au moins scuris. Par exemple, le service de routage et daccs distance essaie de ngocier
une connexion laide des protocoles suivants dans lordre indiqu :
1.
2.
MS-CHAP v2
3.
MS-CHAP
4.
5.
6.
Lorsque le protocole EAP est choisi comme mthode dauthentification, la ngociation du type EAP
se produit entre le client daccs et le serveur NPS.
MS-CHAP Version 2
Le protocole MS-CHAP v2 offre une scurit renforce pour les connexions daccs rseau par rapport
son prdcesseur (MS-CHAP). Le protocole MS-CHAP v2 est un processus dauthentification mutuelle par
mot de passe chiffr sens unique. Il fonctionne comme suit :
1.
Lauthentificateur (serveur daccs rseau ou serveur NPS) envoie au client distant une demande
daccs qui se compose dun identificateur de session et dune chane de demande daccs arbitraire.
2.
3.
4.
le nom dutilisateur ;
une rponse authentifie base sur la chane de demande daccs envoye, la chane de
demande daccs de lhomologue, la rponse chiffre du client et le mot de passe de lutilisateur.
Le client daccs vrifie la rponse dauthentification et utilise la connexion si celle-ci est valide.
Si la rponse dauthentification est incorrecte, le client daccs met fin la connexion.
MS-CHAP
Le protocole MS-CHAP, aussi appel MS-CHAP version 1, est un protocole dauthentification par mot de
passe irrversible et chiffr.
Le processus de demande daccs fonctionne comme suit :
1.
Lauthentificateur (serveur daccs rseau ou serveur NPS) envoie au client distant une demande
daccs qui se compose dun identificateur de session et dune chane de demande daccs arbitraire.
2.
Le client daccs envoie une rponse qui contient le nom de lutilisateur ainsi quun chiffrement
irrversible de la chane de demande daccs, lidentificateur de la session et le mot de passe.
3.
Lauthentificateur vrifie la rponse et, si elle est valide, authentifie les informations didentification
de lutilisateur.
CHAP
Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole dauthentification
par demande daccs/rponse qui utilise le schma de hachage MD5 (Message Digest 5) standard pour
chiffrer la rponse.
Plusieurs fournisseurs de clients et serveurs daccs rseau utilisent le protocole CHAP. Un serveur qui
excute le service de routage et daccs distance prend en charge le protocole CHAP, ce qui permet
aux clients daccs qui requirent le protocole CHAP dtre authentifis. Le protocole CHAP ncessitant
lutilisation dun mot de passe chiffr rversible, songez utiliser un autre protocole dauthentification,
par exemple MS-CHAP v2.
Lorsque les mots de passe des utilisateurs expirent, le protocole CHAP ne permet pas aux utilisateurs
de modifier leurs mots de passe au cours du processus dauthentification.
Vrifiez que votre serveur daccs rseau prend en charge le protocole CHAP avant de lactiver sur
une stratgie rseau dun serveur NPS. Pour plus dinformations, consultez la documentation de votre
serveur daccs rseau.
PAP
8-17
Ce protocole utilise des mots de passe en clair et constitue le protocole dauthentification le moins sr.
Il est ngoci en gnral si le client daccs et serveur daccs rseau ne peuvent ngocier aucune autre
mthode dauthentification plus scurise. Lorsque vous activez le protocole PAP comme protocole
dauthentification, les mots de passe des utilisateurs sont envoys sous forme de texte en clair. Toute
personne capturant les paquets du processus dauthentification peut aisment lire le mot de passe,
puis lutiliser pour accder votre intranet de faon non autorise. Lutilisation du protocole PAP est
fortement dconseille, surtout pour les connexions VPN.
Dans le cadre dun accs non authentifi, les informations didentification de lutilisateur (nom dutilisateur
et mot de passe) ne sont pas requises. Bien que laccs non authentifi soit utile dans certains cas, nous
dconseillons en gnral son dploiement dans le rseau de votre organisation.
Lorsque vous activez laccs non authentifi, les utilisateurs peuvent accder votre rseau sans envoyer
dinformations didentification de lutilisateur. En outre, les clients daccs non authentifis ne ngocient
pas lutilisation dun protocole dauthentification commun pendant le processus dtablissement de la
connexion et nenvoient pas de nom dutilisateur ni de mot de passe au serveur NPS.
Si vous autorisez laccs non authentifi, les clients peuvent se connecter sans tre authentifis si les
protocoles dauthentification configurs sur le client daccs ne correspondent pas aux protocoles
dauthentification configurs sur le serveur daccs rseau. Dans ce cas, lutilisation dun protocole
dauthentification commun nest pas ngocie, et le client daccs nenvoie pas de nom dutilisateur
ni de mot de passe. Cette circonstance pose un srieux problme de scurit. Par consquent, laccs
non authentifi ne doit pas tre autoris sur la plupart des rseaux.
Les serveurs NPS utilisent les protocoles EAP-TLS et PEAP pour effectuer lauthentification base sur les
certificats pour de nombreux types daccs rseau, y compris les connexions VPN et sans fil.
Mthodes dauthentification
Deux mthodes dauthentification, lorsque vous les configurez avec des types dauthentification base
sur les certificats, utilisent des certificats : EAP et PEAP. Avec le protocole EAP, vous pouvez configurer
le type dauthentification TLS (EAP-TLS) ; et avec le protocole PEAP, vous pouvez configurer les types
dauthentification TLS (PEAP-TLS) et MS-CHAP v2 (PEAP-MS-CHAP v2). Ces mthodes dauthentification
utilisent toujours des certificats pour lauthentification serveur. En fonction du type dauthentification que
vous configurez avec la mthode dauthentification, vous pouvez galement utiliser des certificats pour
lauthentification dutilisateurs et lauthentification dordinateurs clients.
Remarque : Lutilisation de certificats dans le cadre de lauthentification de connexion VPN
constitue la forme dauthentification la plus puissante dans Windows Server 2008 R2. Vous devez
utiliser des certificats pour lauthentification dIPsec sur les connexions VPN qui sont bass
sur le protocole L2TP/IPsec (Layer Two Tunneling protocol over Internet protocol security).
Les connexions PPTP ne requirent pas de certificats, bien que vous puissiez configurer des
connexions PPTP de manire utiliser des certificats pour lauthentification dordinateur
lorsque vous utilisez la mthode dauthentification EAP-TLS. Pour les clients sans fil (appareils
informatiques avec des cartes rseau sans fil, tels quun ordinateur portable ou un assistant
numrique personnel), utilisez la mthode dauthentification PEAP avec EAP-TLS et des cartes
puce ou des certificats.
Remarque : Vous pouvez dployer des certificats en vue dune utilisation avec le
serveur NPS en installant et en configurant le rle serveur AD CS.
Authentification mutuelle
Lorsque vous utilisez le protocole EAP avec un type EAP fort (par exemple la scurit TLS avec des cartes
puce ou des certificats), le client et le serveur utilisent des certificats pour vrifier leurs identits les uns par
rapports aux autres, cette procdure est galement appele authentification mutuelle. Les certificats
doivent rpondre des exigences spcifiques pour que le serveur et le client puissent les utiliser pour
lauthentification mutuelle.
Entre autres, le certificat doit tre configur avec un ou plusieurs rles dans les extensions dutilisation
amliore de la cl (EKU) qui correspondent lutilisation du certificat. Par exemple, vous devez configurer
un certificat que vous utilisez pour lauthentification dun client avec le rle Authentification du client. De la
mme faon, vous devez configurer un certificat que vous utilisez pour lauthentification dun serveur avec le
rle Authentification du serveur. Lorsque vous utilisez des certificats pour lauthentification, lauthentificateur
examine le certificat client la recherche de lidentificateur dobjet de rle correct dans les extensions EKU.
Par exemple, lidentificateur dobjet pour le rle Authentification du client est 1.3.6.1.5.5.7.3.2. Lorsque vous
utilisez un certificat pour lauthentification dordinateur client, cet identificateur dobjet doit tre prsent
dans les extensions EKU du certificat ; sinon, lauthentification choue.
Modles de certificats
8-19
Modles de certificats est un composant logiciel enfichable MMC qui permet la personnalisation de
certificats mis par les services AD CS. Il est possible de personnaliser le mode dmission des certificats
et leur contenu, y compris leurs rles. Dans Modles de certificats, vous pouvez utiliser un modle par
dfaut, tel que le modle Ordinateur, pour dfinir le modle utilis par lautorit de certification pour
affecter des certificats aux ordinateurs. Vous pouvez galement crer un modle de certificat et lui
affecter des rles dans les extensions EKU. Par dfaut, le modle Ordinateur inclut les rles
Authentification du client et Authentification du serveur dans les extensions EKU.
Le modle de certificat que vous crez peut inclure le rle de votre choix. Par exemple, si vous utilisez des
cartes puce pour lauthentification, vous pouvez inclure le rle Ouverture de session par carte puce
en plus du rle Authentification du client. Lorsque vous utilisez le serveur NPS, vous pouvez le configurer
pour vrifier les rles du certificat avant daccorder lautorisation rseau. Le serveur NPS peut vrifier
des rles EKU et de stratgie dmission supplmentaires (aussi appels stratgies de certificat).
Remarque : Certains logiciels dautorit de certification non-Microsoft peuvent contenir
un rle nomm Tout, celui-ci reprsentant tous les rles possibles. Cela est indiqu par une
extension EKU vide (ou nulle). Bien que Tout signifie tous les rles possibles , vous ne pouvez
pas remplacer le rle Authentification du client, le rle Authentification du serveur ou tout autre
rle en rapport lauthentification daccs rseau par le rle Tout.
Certificat
Certificat
dautorit de
certification dans
le magasin de
certificats
Autorits de
certification racine
approuves pour
lordinateur local
et lutilisateur
actuel
Requis pour
lauthentification EAP-TLS
et PEAP-TLS ?
Oui. Le certificat dautorit
de certification est inscrit
automatiquement pour
les ordinateurs membres
du domaine. Pour les
ordinateurs qui ne sont
pas membres du domaine,
vous devez importer
manuellement le certificat
dans le magasin de
certificats.
Requis pour
lauthentification
PEAP-MS-CHAP v2 ?
Oui. Ce certificat est
inscrit automatiquement
pour les ordinateurs
membres du domaine.
Pour les ordinateurs qui
ne sont pas membres du
domaine, vous devez
importer manuellement
le certificat dans le
magasin de certificats.
Dtails
Pour
lauthentification
PEAP-MS-CHAP v2,
ce certificat est
requis pour
lauthentification
mutuelle entre le
client et le serveur.
(suite)
Certificat
Requis pour
lauthentification EAP-TLS
et PEAP-TLS ?
Requis pour
lauthentification
PEAP-MS-CHAP v2 ?
Dtails
Certificat
dordinateur
client dans le
magasin de
certificats
du client
Non. Lauthentification
utilisateur est effectue
avec des informations
didentification bases
sur un mot de passe, et
non avec des certificats.
Certificat de
serveur dans le
magasin de
certificats du
serveur NPS
Le serveur NPS
envoie le certificat de
serveur lordinateur
client. Lordinateur
client utilise le
certificat pour
authentifier le
serveur NPS.
Certificat
utilisateur sur une
carte puce
AD CS de manire inscrire
automatiquement les
certificats de serveur auprs
des membres du groupe de
serveurs RAS et IAS dans
AD DS.
Non. Lauthentification
utilisateur est effectue
avec des informations
didentification bases
sur un mot de passe, et
non avec des certificats.
Pour EAP-TLS et
PEAP-TLS, si vous
ninscrivez pas
automatiquement les
certificats
dordinateur client,
des certificats
utilisateur sur les
cartes puce sont
requis.
Lauthentification 802.1X de linstitut IEEE (Institute of Electrical and Electronics Engineers, Inc.) offre
un accs authentifi aux rseaux sans fil 802.11 et aux rseaux Ethernet cbls. 802.1X prend en charge
les types EAP scuriss, tels que la scurit TLS avec les cartes puce ou les certificats. Vous pouvez
configurer lauthentification 802.1X avec EAP-TLS de plusieurs manires.
8-21
Si vous configurez loption Valider le certificat du serveur sur le client, le client authentifie le serveur
en utilisant son certificat. Lauthentification de lordinateur client et de lutilisateur est accomplie
laide de certificats du magasin de certificats client ou dune carte puce, garantissant une
authentification mutuelle.
Avec les clients sans fil, vous pouvez utiliser la mthode dauthentification PEAP-MS-CHAP v2. Cette
dernire est une mthode dauthentification utilisateur base sur mot de passe qui utilise la scurit TLS
avec les certificats de serveur. Pendant lauthentification PEAP-MS-CHAP v2, le serveur NPS fournit un
certificat pour valider son identit au client (si loption Valider le certificat du serveur est configure sur le
client Windows 8). Lauthentification de lordinateur client et de lutilisateur est accomplie laide de mots
de passe, ce qui simplifie en partie le dploiement de certificats vers les ordinateurs clients sans fil.
Le nom du sujet contient une valeur. Si vous mettez un certificat votre serveur NPS avec un sujet
vide, le certificat nest pas disponible pour authentifier votre serveur NPS. Pour configurer le modle
de certificat avec un nom de sujet :
a.
b.
Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.
c.
Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations Active
Directory.
d.
Dans Format du nom du sujet, slectionnez une valeur autre que None.
Le certificat dordinateur sur le serveur est li une autorit de certification racine de confiance et
satisfait tous les contrles effectus par CryptoAPI ou spcifis par les stratgies daccs distance
ou rseau.
Le certificat de serveur NPS ou VPN est configur avec le rle Authentification du serveur dans les
extensions EKU (lidentificateur dobjet pour le rle Authentification du serveur est 1.3.6.1.5.5.7.3.1).
Le certificat de serveur est configur avec la valeur dalgorithme requise RSA. Pour configurer le
paramtre de chiffrement requis :
a.
b. Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.
c.
Cliquez sur longlet Chiffrement. Dans Nom de lalgorithme, cliquez sur RSA. Vrifiez que
Taille de cl minimale est dfinie sur 2048.
Lextension Autre nom de lobjet (SubjectAltName), si vous lutilisez, doit contenir le nom de domaine
pleinement qualifi (FQDN, Fully Qualified Domain Name) du serveur. Pour configurer le modle de
certificat avec le nom DNS (Domain Name System) du serveur dinscription :
a.
b. Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.
c.
Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations
Active Directory.
d. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.
Avec les mthodes PEAP-TLS et EAP-TLS, les serveurs affichent une liste de tous les certificats installs
dans le composant logiciel enfichable Certificats, avec les exceptions suivantes :
les certificats qui ne contiennent pas le rle Authentification du serveur dans les extensions EKU ;
les certificats bass sur le Registre et douverture de session par carte puce.
Une autorit de certification dentreprise a mis le certificat client ou est mappe un compte
dutilisateur ou dordinateur Active Directory.
Le certificat utilisateur ou dordinateur sur le client est li une autorit de certification racine de
confiance. Il inclut le rle Authentification du client dans les extensions EKU (lidentificateur dobjet
pour le rle Authentification du client est 1.3.6.1.5.5.7.3.2) ; et satisfait aux contrles effectus par
CryptoAPI, spcifis par les stratgies daccs distance ou rseau, et aux contrles didentificateur
dobjet Certificat, spcifis par les stratgies daccs distance IAS ou rseau NPS.
Le client 802.1X nutilise pas les certificats bass sur le Registre qui sont des certificats douverture de
session par carte puce ou des certificats protgs par un mot de passe.
Pour les certificats utilisateur, lextension Autre nom de lobjet (SubjectAltName) dans le certificat
contient le nom principal de lutilisateur. Pour configurer le nom principal de lutilisateur dans un
modle de certificat :
8-23
a.
b.
Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.
c.
Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations
Active Directory.
d.
Pour les certificats dordinateur, lextension Autre nom de lobjet (SubjectAltName) dans le certificat
doit contenir le nom de domaine complet du client, aussi appel nom DNS . Pour configurer ce
nom dans le modle de certificat :
a.
b. Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.
c.
Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations
Active Directory.
d. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.
Avec les mthodes PEAP-TLS et EAP-TLS, les clients affichent une liste de tous les certificats installs dans
le composant logiciel enfichable Certificats, avec les exceptions suivantes :
Les clients sans fil naffichent pas les certificats bass sur le Registre ni les certificats douverture de
session par carte puce.
Les clients sans fil et les clients VPN naffichent pas les certificats protgs par un mot de passe.
Les certificats qui ne contiennent pas le rle Authentification du client dans les extensions EKU.
Leon 4
Vous pouvez analyser le serveur NPS en configurant et en utilisant la journalisation des vnements et les
demandes dauthentification et de comptes dutilisateurs. La journalisation des vnements vous permet
denregistrer des vnements NPS dans les journaux systme et les journaux des vnements de scurit.
Vous pouvez utiliser la journalisation des demandes pour lanalyse des connexions et la facturation.
Les informations collectes dans les fichiers journaux sont utiles pour rsoudre les problmes de
tentatives de connexion et pour tudier la scurit.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Vrifiez que vous configurez la journalisation des vnements avec une capacit suffisante pour
prendre en charge vos journaux.
Sauvegardez rgulirement tous les fichiers journaux car il vous sera impossible de les recrer si vous
les endommagez ou les supprimez.
8-25
Utilisez lattribut Class RADIUS pour suivre lemploi et simplifier lidentification des services ou des
utilisateurs facturer. Bien que lattribut Class, qui est gnr automatiquement, soit unique pour
chaque demande, des enregistrements dupliqus peuvent exister lorsque la rponse au serveur
daccs est perdue et que la demande est renvoye. Vous devrez peut-tre supprimer les demandes
dupliques dans vos journaux pour obtenir un suivi prcis de lutilisation.
Pour gnrer un basculement et une redondance dans le cadre de la journalisation SQL Server, placez
deux ordinateurs quips de SQL Server sur des sous-rseaux diffrents. Utilisez lAssistant Cration
dune publication de SQL Server pour configurer la rplication de la base de donnes entre les deux
serveurs. Pour plus dinformations, consultez la documentation SQL Server.
Pour envoyer les donnes du fichier journal afin dtre collectes par un autre processus, vous pouvez
configurer le service NPS de manire crire dans un canal nomm. Pour utiliser des canaux
nomms, dfinissez le dossier du fichier journal comme suit : \\.\canal ou \\ComputerName\canal. Le
programme serveur de canal nomm cre un canal nomm appel \\.\canal\iaslog.log pour accepter
les donnes. Dans la bote de dialogue Proprits de Fichier local, dans Crer un fichier journal,
slectionnez Jamais (taille de fichier non limite) lorsque vous utilisez des canaux nomms.
Pour crer le rpertoire du fichier journal, utilisez des variables denvironnement systme (au lieu de
variables utilisateur), telles que %systemdrive%, %systemroot% et %windir%. Par exemple, le chemin
daccs suivant, qui utilise la variable denvironnement %windir%, localise le fichier journal dans le
rpertoire systme du sous-dossier \System32\Logs (cest--dire %windir%\System32\Logs\).
Le fait de changer de formats de fichier journal nentrane pas la cration dun nouveau journal.
Si vous modifiez les formats de fichier journal, le fichier actif au moment de la modification contient
un mlange des deux formats. Les enregistrements en dbut de journal appliqueront lancien format,
tandis que les enregistrements en fin de journal auront le nouveau format.
Si vous grez un serveur NPS distance, vous ne pouvez pas parcourir la structure de rpertoires.
Pour journaliser des informations de comptes sur un serveur distant, spcifiez le nom du fichier
journal en tapant un nom UNC (Universal Naming Convention), par exemple
\\MyLogServer\LogShare.
Si la gestion de comptes RADIUS choue en raison dun lecteur de disque dur plein ou pour dautres
motifs, le serveur NPS cesse de traiter les demandes de connexion, ce qui empche les utilisateurs
daccder aux ressources rseau.
Le serveur NPS vous permet denregistrer des journaux dans une base de donnes SQL Server en plus,
ou la place, de lenregistrement dans un fichier local.
Pour configurer les proprits des fichiers journaux laide de linterface Windows, procdez comme suit :
1.
2.
3.
Dans le volet dinformations, cliquez sur Modifier les proprits du fichier journal.
4.
Dans Proprits du fichier journal, sur longlet Fichier journal, dans Rpertoire, tapez
lemplacement o vous souhaitez stocker les fichiers journaux NPS. Lemplacement par dfaut est
le dossier systemroot\System32\LogFiles.
5.
6.
Pour configurer le serveur NPS de manire dmarrer de nouveaux fichiers journaux des intervalles
spcifis, cliquez sur lintervalle que vous souhaitez utiliser :
Pour un volume de transaction lourd et des activits de journalisation importantes, cliquez sur
Chaque jour.
Pour des volumes de transaction et des activits de journalisation moindres, cliquez sur
Hebdomadaire ou Tous les mois.
Pour stocker toutes les transactions dans un fichier journal, cliquez sur Jamais (taille de fichier
non limite).
Pour limiter la taille de chaque fichier journal, cliquez sur Lorsque le fichier journal atteint
cette taille, puis tapez une taille de fichier. La taille par dfaut est de 10 mgaoctets (Mo).
7.
Pour configurer le serveur NPS de manire supprimer automatiquement des fichiers journaux
lorsque le disque est plein, cliquez sur Lorsque le disque est plein, supprimer les anciens fichiers
journaux. Si le fichier journal le plus ancien est le fichier journal actif, il nest pas supprim.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine, Administrateurs de lentreprise ou Administrateurs sur lordinateur local.
8-27
Pour configurer la journalisation SQL Server dans le serveur NPS laide de linterface Windows, procdez
comme suit :
1.
2.
3.
Dans le volet dinformations, cliquez sur Modifier les proprits de journalisation SQL Server.
La bote de dialogue Proprits de journalisation SQL Server souvre.
4.
5.
Pour journaliser toutes les demandes de comptes, cliquez sur Demandes de comptes.
Pour journaliser le statut priodique, tel que les demandes de comptes intrimaires, cliquez sur
Statut de gestion de compte priodique.
Pour journaliser le statut priodique, tel que les demandes dauthentification intrimaires, cliquez
sur Statut dauthentification priodique.
Pour configurer le nombre de sessions simultanes que vous souhaitez autoriser entre le serveur NPS
et la base de donnes SQL Server, tapez un nombre dans Nombre maximal de sessions
simultanes.
6.
7.
Cliquez sur Configurer pour configurer la source de donnes SQL Server. La bote de dialogue
Proprits de liaison de donnes souvre. Sous longlet Connexion, indiquez les informations
suivantes :
Pour spcifier le nom du serveur sur lequel la base de donnes est stocke, tapez ou slectionnez
un nom dans Slectionnez un serveur ou entrez un nom de serveur.
Pour spcifier la mthode dauthentification avec laquelle se connecter au serveur, cliquez sur
Scurit intgre de Windows NT ou sur Utiliser un nom dutilisateur et mot de passe
spcifiques, puis saisissez vos informations didentification Nom dutilisateur et Mot de passe.
Pour autoriser un mot de passe vide, cliquez sur Mot de passe vide.
Pour stocker le mot de passe, cliquez sur Autoriser lenregistrement du mot de passe.
Pour spcifier quelle base de donnes se connecter sur lordinateur SQL Server, cliquez sur
Slectionnez la base de donnes sur le serveur, puis slectionnez un nom de base de donnes
dans la liste.
Pour tester la connexion entre le serveur NPS et lordinateur sur lequel sexcute SQL Server, cliquez
sur Tester la connexion.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine, Administrateurs de lentreprise ou Administrateurs sur lordinateur local.
Configuration de la journalisation
des vnements NPS
Pour configurer la journalisation des vnements
NPS laide de linterface Windows, procdez
comme suit :
1.
2.
Cliquez avec le bouton droit sur NPS (Local), puis cliquez sur Proprits.
3.
Sous longlet Gnral, cochez la case des deux options suivantes, selon les besoins, puis cliquez
sur OK:
o
Remarque : pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine ou du groupe Administrateurs de lentreprise.
laide des journaux des vnements dans lObservateur dvnements, vous pouvez analyser les
erreurs NPS et dautres vnements enregistrs par le serveur NPS selon vos spcifications.
8-29
Le serveur NPS enregistre les vnements dchec des demandes de connexion dans les journaux systme
et les journaux des vnements de scurit par dfaut. Les vnements dchec des demandes de
connexion se composent des demandes refuses ou ignores par le serveur NPS. Dautres vnements
dauthentification NPS sont enregistrs dans le journal systme de lObservateur dvnements en
fonction des paramtres que vous spcifiez dans le composant logiciel enfichable Serveur NPS. Par
consquent, le journal de scurit de lObservateur dvnements peut enregistrer certains vnements
qui contiennent des donnes sensibles.
Bien que le serveur NPS enregistre les vnements dchec des demandes de connexion par dfaut, vous
pouvez modifier la configuration en fonction de vos besoins de journalisation. Le serveur NPS refuse
ou ignore des demandes de connexion pour diverses raisons, en particulier :
La mise en forme du message RADIUS nest pas conforme au document RFC 2865 ou 2866.
Le client RADIUS a plusieurs adresses IP et a envoy la demande sur une adresse autre que celle
dfinie dans NPS.
Lauthentificateur de message (aussi appel signature numrique) que le client a envoy nest pas
valide car le secret partag nest pas valide.
Lorsque le serveur NPS refuse une demande de connexion, les informations dans le texte dvnement
contiennent le nom dutilisateur, les identificateurs de serveur daccs, le type dauthentification, le nom
de la stratgie rseau correspondante, la raison du refus et dautres informations.
Bien que le serveur NPS enregistre les vnements de russite des demandes de connexion par dfaut,
vous pouvez modifier la configuration en fonction de vos besoins de journalisation.
Lorsque le serveur NPS accepte une demande de connexion, les informations dans le texte dvnement
contiennent le nom de lutilisateur, les identificateurs de serveur daccs, le type dauthentification et
le nom de la premire stratgie rseau correspondante.
Schannel (Secure channel) est un fournisseur SSP (Security Support Provider) qui prend en charge un jeu
de protocoles de scurit Internet, notamment SSL et TLS. Ces protocoles assurent lauthentification des
identits et garantissent des communications scurises et prives grce au chiffrement.
La journalisation dchecs de la validation de certificats clients est un vnement de canal scuris et
nest pas activ par dfaut sur le serveur NPS. Vous pouvez activer des vnements de canal scuris
supplmentaires en remplaant la valeur 1 (type REG_DWORD, donnes 0x00000001) de la cl de
Registre suivante par la valeur 3 (type REG_DWORD, donnes 0x00000003) :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogg
ing
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs London pour assister le
bureau de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Windows Server 2012.
A. Datum dveloppe sa solution daccs distant dans toute lorganisation. Cette opration ncessite la
mise en place de plusieurs serveurs VPN situs diffrents endroits pour assurer la connectivit des
employs. Vous tes charg de mettre en place les tches ncessaires pour prendre en charge ces
connexions VPN.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-RTR
22411B-LON-CL2
Nom dutilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd
Module 9
Implmentation de la protection daccs rseau
Table des matires :
Vue d'ensemble du module
9-1
9-2
9-8
9-16
9-22
9-27
9-34
Il est relativement facile de maintenir la configuration et la mise jour des ordinateurs qui restent
dans lenvironnement de bureau et qui sont toujours connects au mme rseau. Il est moins facile
de contrler les ordinateurs qui se connectent diffrents rseaux, en particulier les rseaux non grs.
Il est par exemple difficile de contrler les ordinateurs portables que les utilisateurs utilisent pour se
connecter aux rseaux des clients ou aux points daccs Wi-Fi publics. En outre, les ordinateurs non grs
qui cherchent se connecter distance votre rseau (les utilisateurs se connectant partir de leurs
ordinateurs personnels, par exemple) posent galement une difficult.
La protection daccs rseau (NAP) vous permet de crer des stratgies personnalises de spcifications
dintgrit pour valider lintgrit des ordinateurs avant de permettre laccs ou la communication. En
outre, la protection daccs rseau (NAP) met automatiquement jour les ordinateurs pour vrifier leur
conformit, et peut limiter laccs aux ordinateurs non conformes un rseau restreint jusqu ce quils
deviennent conformes.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
dcrire comment la protection daccs rseau (NAP) peut aider protger votre rseau ;
Leon 1
9-2
NAP est une plateforme dapplication de stratgies qui est intgre aux systmes dexploitation
Windows 8, Windows 7, Windows Vista, Windows XP avec Service Pack 3 (SP3), Windows Server 2008,
Windows Server 2008 R2 et Windows Server 2012. NAP vous permet de protger plus efficacement les
ressources du rseau en mettant en uvre la conformit des spcifications dintgrit systme. NAP
fournit les composants logiciels ncessaires pour garantir que les ordinateurs qui sont connects ou qui se
connectent au rseau restent grables, afin quils nentranent aucun risque de scurit pour le rseau de
lentreprise ou les autres ordinateurs connects.
Le fait de comprendre la fonctionnalit et les limitations de la protection daccs rseau (NAP) vous aide
protger votre rseau contre les risques de scurit poss par les ordinateurs non conformes.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Expliquez comment vous pouvez utiliser la protection daccs rseau (NAP) pour appliquer les
exigences dintgrit des ordinateurs.
Dcrivez les scnarios dans lesquels vous utiliseriez la protection daccs rseau (NAP).
Il est important de garder lesprit que NAP ne protge pas un rseau des utilisateurs malveillants.
Elle vous permet plutt dassurer automatiquement lintgrit des ordinateurs en rseau de votre
organisation, ce qui contribue garantir lintgrit gnrale du rseau. Par exemple, si un ordinateur
inclut tous les logiciels et les paramtres de configuration quimpose la stratgie de contrle dintgrit,
lordinateur est conforme et bnficie alors dun accs illimit au rseau. Toutefois, la protection daccs
rseau nempche pas un utilisateur autoris quip dun ordinateur conforme de tlcharger un
programme malveillant sur le rseau ou dentreprendre dautres actions inappropries.
9-3
Pour valider ltat dintgrit. Lorsquun ordinateur tente de se connecter au rseau, NAP valide son
tat dintgrit par rapport aux stratgies de spcification dintgrit que ladministrateur dfinit.
Vous pouvez galement dfinir laction entreprendre en cas de non-conformit dun ordinateur.
Dans un environnement danalyse uniquement, ltat dintgrit de tous les ordinateurs est valu,
et ltat de conformit de chaque ordinateur est consign par NAP des fins danalyse. Dans un
environnement avec accs limit, les ordinateurs qui rpondent aux stratgies de spcification
dintgrit bnficient dun accs rseau illimit. Quant aux ordinateurs qui ne rpondent pas aux
stratgies de spcification dintgrit, leur accs peut tre limit un rseau restreint.
Pour appliquer les stratgies de contrle dintgrit. pour garantir la conformit aux stratgies de
spcification dintgrit, vous pouvez choisir de mettre automatiquement jour les ordinateurs non
conformes en leur appliquant les mises jour logicielles manquantes ou les modifications de
configuration par le biais de logiciels de gestion, tels que Microsoft System Center Configuration
Manager. Dans un environnement danalyse uniquement, NAP garantit que les ordinateurs peuvent
mettre jour laccs au rseau avant de recevoir les modifications de configuration ou les mises jour
requises. Dans un environnement avec accs limit, les ordinateurs non conformes bnficient dun
accs limit tant que les mises jour et les modifications de configuration nont pas t effectues.
Dans les deux environnements, les ordinateurs compatibles avec NAP peuvent devenir conformes
automatiquement, et vous pouvez dfinir des exceptions pour les ordinateurs non compatibles
avec NAP.
Pour limiter laccs rseau. Vous pouvez protger vos rseaux en limitant laccs des ordinateurs
non conformes. Vous pouvez spcifier un accs rseau limit en fonction dune dure spcifique ou
des ressources auxquelles lordinateur non conforme peut accder. Dans ce dernier cas, vous devez
dfinir un rseau restreint contenant les ressources de mise jour de lintgrit, et laccs restera
limit tant que lordinateur non conforme naura pas atteint un tat de conformit. Vous pouvez
galement configurer des exceptions afin que laccs rseau des ordinateurs non compatibles
avec NAP ne soit pas limit.
9-4
La portabilit et la souplesse constituent deux avantages essentiels dun ordinateur portable, mais ces
caractristiques gnrent galement un risque en termes dintgrit du systme. En effet, les utilisateurs
connectent souvent leurs ordinateurs portables dautres rseaux. Lorsque les utilisateurs sont loin de
lorganisation, leurs ordinateurs portables ne peuvent pas forcment recevoir les mises jour logicielles ou
les modifications de configuration les plus rcentes. En outre, lexposition des rseaux non protgs, tels
quInternet, peut introduire des risques lis la scurit dans les ordinateurs portables. NAP vous permet
de vrifier ltat dintgrit de nimporte quel ordinateur portable lorsquil est reconnect au rseau de
lorganisation, que ce soit via une connexion VPN, une connexion Windows 8 DirectAccess ou une
connexion rseau sur le lieu de travail.
Ordinateurs de bureau
Bien que les ordinateurs de bureau restent en gnral dans lenceinte de lentreprise, ils peuvent tout de
mme prsenter un risque pour le rseau. Pour minimiser ce risque, vous devez garder ces ordinateurs
jour en installant les mises jour et les logiciels requis les plus rcents. Dans le cas contraire, ces
ordinateurs sont susceptibles dtre infects par des sites Web, des messages lectroniques, des fichiers
de dossiers partags et dautres ressources auxquelles tous les utilisateurs peuvent accder. Vous pouvez
utiliser NAP pour automatiser les contrles de ltat dintgrit afin de vrifier la conformit de chaque
ordinateur de bureau aux stratgies de spcification dintgrit. Vous pouvez consulter les fichiers
journaux pour identifier les ordinateurs qui ne sont pas conformes. En outre, lutilisation de logiciels de
gestion vous permet de gnrer des rapports automatiques et dassurer automatiquement la mise jour
des ordinateurs non conformes. Lorsque vous modifiez des stratgies de spcification dintgrit, vous
pouvez configurer NAP pour fournir automatiquement les mises jour les plus rcentes aux ordinateurs.
Les organisations sont frquemment amenes autoriser des consultants, des partenaires commerciaux
et des invits se connecter leurs rseaux privs. Il est possible que les ordinateurs portables que ces
visiteurs amnent dans votre organisation ne rpondent pas aux spcifications dintgrit systme et
prsentent des risques dintgrit. NAP vous permet de dterminer quels ordinateurs portables de
visiteurs ne sont pas conformes et de limiter leur accs un rseau restreint. En rgle gnrale, vous
nexigez ni ne fournissez aucune mise jour ou modification de configuration pour les ordinateurs
portables de visiteurs. Vous pouvez configurer un accs Internet pour ces ordinateurs portables, mais pas
pour dautres ordinateurs dorganisation bnficiant dun accs limit.
Les ordinateurs privs non grs qui nappartiennent pas au domaine Active Directory de la socit
peuvent se connecter un rseau dentreprise gr par le biais dune connexion VPN. Les ordinateurs
privs non grs constituent une difficult supplmentaire car vous ne pouvez pas y accder
physiquement. Du fait de labsence daccs physique, la mise en conformit aux spcifications dintgrit
(comme lutilisation dun antivirus) se rvle plus difficile. Toutefois, NAP vous permet de vrifier ltat
dintgrit dun ordinateur destin un usage priv chaque fois quil tablit une connexion VPN au
rseau de lentreprise, et de limiter son accs un rseau restreint jusqu ce quil rponde aux
spcifications dintgrit du systme.
9-5
Connexions rseau authentifies par le protocole IEEE (Institute of Electrical and Electronics
Engineers) 802.1X. La contrainte de mise en conformit IEEE 802.1X requiert quun ordinateur soit
conforme pour obtenir un accs rseau illimit via une connexion rseau authentifie IEEE 802.1X.
Les exemples de ce type de connexion rseau comprennent un commutateur dauthentification
Ethernet ou un point daccs sans fil IEEE 802.11.
Connexions VPN daccs distance. La contrainte de mise en conformit VPN ncessite quun
ordinateur soit conforme pour pouvoir obtenir un accs rseau illimit via une connexion VPN
daccs distance. Pour les ordinateurs non conformes, laccs rseau est limit au moyen dun jeu
de filtres de paquets IP que le serveur VPN applique la connexion VPN.
Connexions DirectAccess. Les connexions DirectAccess ncessitent quun ordinateur soit conforme
pour pouvoir obtenir un accs rseau illimit via un serveur DirectAccess. Pour les ordinateurs non
conformes, laccs rseau est limit lensemble dordinateurs qui sont dfinis comme serveurs
dinfrastructure laide du tunnel dinfrastructure. Les ordinateurs conformes peuvent crer le tunnel
intranet distinct qui offre un accs illimit aux ressources intranet. Les connexions DirectAccess
utilisent la mise en conformit IPsec.
Ces accs rseau ou ces mthodes de communication, ou ces mthodes de contrainte de mise
en conformit NAP sont utiles sparment ou ensemble pour limiter laccs ou la communication
des ordinateurs non conformes. Un serveur qui excute NPS (Network Policy Server) dans
Windows Server 2012 agit en tant que serveur de stratgie de contrle dintgrit pour toutes
ces mthodes de contrainte de mise en conformit NAP.
Composants
Clients NAP
Points de contrainte
de mise en
conformit NAP
Description
9-6
(suite)
Composants
Description
9-7
Serveurs de stratgie
de contrle
dintgrit NAP
Ordinateurs excutant Windows Server 2012 et le service NPS, qui stockent les
stratgies de spcification dintgrit et qui assurent la validation de ltat
dintgrit pour la protection daccs rseau. Le service NPS remplace le
service dauthentification Internet (IAS), ainsi que le serveur et le proxy RADIUS
(Remote Authentication Dial-In User Service) de Windows Server 2003.
Le service NPS fait galement office de serveur dauthentification,
dautorisation et dadministration (AAA) pour laccs rseau. Lorsquil agit en
tant que serveur AAA ou serveur de stratgie de contrle dintgrit NAP, le
service NPS sexcute gnralement sur un serveur indpendant pour
permettre la configuration centralise des stratgies daccs rseau et de
spcification dintgrit. Le service NPS sexcute galement sur les points de
contrainte de mise en conformit NAP (selon Windows Server 2012) qui ne
comportent pas dordinateur client RADIUS intgr, comme un serveur HRA
ou DHCP. Toutefois, dans ces configurations, le service NPS agit en tant que
proxy RADIUS pour changer des messages RADIUS avec un serveur de
stratgie de contrle dintgrit NAP.
Serveurs de
spcification
dintgrit
Ces ordinateurs fournissent ltat dintgrit systme actuel pour les serveurs
de stratgie de contrle dintgrit NAP. Il peut sagir, par exemple, dun
serveur de spcification dintgrit pour un antivirus qui dtecte la version la
plus rcente du fichier de signature antivirus.
AD DS
Priphriques 802.1X
Rseau restreint
Il sagit dun rseau logique ou physique qui contient les lments suivants :
o
Clients NAP dots dun accs limit. Ces ordinateurs sont placs sur le
rseau restreint lorsquils ne sont pas conformes aux stratgies de
spcification dintgrit.
Leon 2
9-8
Lorsquun client tente daccder au rseau ou de communiquer sur ce dernier, il doit prsenter son tat
dintgrit systme ou prouver sa conformit la stratgie de contrle dintgrit. Si un client ne peut pas
prouver quil est conforme aux spcifications dintgrit systme (quil comporte, par exemple, les mises
jour dantivirus et du systme dexploitation les plus rcentes), vous pouvez alors limiter son accs ou sa
communication sur le rseau contenant des ressources de serveur. Vous pouvez limiter cet accs jusqu
ce que les problmes de conformit soient rsolus. Une fois que les mises jour ont t installes, le client
demande laccs au rseau ou tente dtablir nouveau la communication. Sil est conforme, le client
reoit alors un accs illimit au rseau, ou les communications sont autorises.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
9-9
Lautorit HRA envoie des messages RADIUS qui contiennent ltat dintgrit systme du client NAP
au serveur de stratgie de contrle dintgrit NAP. Le serveur de stratgie de contrle
dintgrit NAP envoie des messages RADIUS pour indiquer que le client NAP a :
Un accs illimit parce quil est conforme. En fonction de la rponse, lautorit HRA obtient
un certificat dintgrit et lenvoie au client NAP.
Un accs limit jusqu ce quil excute des fonctions de mise jour. En fonction de la rponse,
lautorit HRA ne dlivre pas de certificat dintgrit au client NAP.
Entre un priphrique daccs rseau 802.1X et un serveur de stratgie de contrle dintgrit NAP
Le priphrique daccs rseau 802.1X envoie des messages RADIUS pour transfrer les messages
PEAP (Protected Extensible Authentication Protocol) envoys par un client NAP 802.1X. Le serveur de
stratgie de contrle dintgrit NAP envoie des messages RADIUS pour :
indiquer que le client 802.1X dispose dun accs illimit car il est conforme ;
indiquer un profil daccs limit et placer le client 802.1X sur le rseau restreint jusqu ce quil
excute des fonctions de mise jour ;
Le serveur VPN envoie des messages RADIUS pour transfrer les messages PEAP qui sont envoys par
un client NAP utilisant une connexion VPN. Le serveur de stratgie de contrle dintgrit NAP envoie
des messages RADIUS pour :
indiquer que le client VPN dispose dun accs illimit car il est conforme ;
indiquer que le client VPN dispose dun accs limit au moyen dun jeu de filtres de paquets IP
appliqus la connexion VPN ;
Le serveur DHCP envoie des messages RADIUS qui contiennent ltat dintgrit systme du client
DHCP au serveur de stratgie de contrle dintgrit NAP. Le serveur de stratgie de contrle
dintgrit NAP envoie des messages RADIUS au serveur DHCP pour indiquer que le client DHCP a :
Le client NAP effectue lauthentification de la connexion 802.1X, puis fournit ltat actuel de lintgrit
systme au serveur de la stratgie de contrle dintgrit NAP.
Le serveur de stratgie de contrle dintgrit NAP fournit soit des instructions de mise jour (car le
client 802.1X nest pas conforme) ou indique que le client 802.1X dispose dun accs rseau illimit.
La protection daccs rseau (NAP) route ces messages par le priphrique daccs rseau 802.1X.
Le serveur de stratgie de contrle dintgrit NAP rpond par des messages pour fournir soit les
instructions de mise jour (car le client VPN nest pas conforme) soit pour indiquer que le client VPN
dispose dun accs intranet illimit.
La protection daccs rseau (NAP) route ces messages par le serveur VPN.
Le serveur DHCP alloue une configuration dadresse IPv4 pour le rseau restreint, puis fournit les
instructions de mise jour (si le client DHCP nest pas conforme), ou une configuration dadresse IPv4
pour laccs illimit (si le client DHCP est conforme).
Adresse IP
9-11
La contrainte de mise en conformit IPsec restreint la communication aux ordinateurs conformes une fois
quils se sont correctement connects et quils ont obtenu une configuration dadresse IP valide. La
contrainte de mise en conformit IPsec constitue la forme de communication ou daccs rseau limit
la plus puissante de la protection daccs rseau.
Les composants de la contrainte de mise en conformit IPsec se composent dune autorit HRA qui
excute Windows Server 2012 et dun client de contrainte de mise en conformit IPSec qui excute lun
des systmes dexploitation suivants :
Windows Vista
Windows 7
Windows 8
Lautorit HRA obtient des certificats X.509 pour les clients NAP lorsque ces derniers prouvent quils
sont conformes. Ces certificats dintgrit sont alors utiliss pour authentifier les clients NAP lorsquils
tablissent des communications protges par la scurit IPsec avec dautres clients NAP sur un intranet.
La contrainte de mise en conformit IPsec limite la communication des clients NAP protgs par IPsec en
rejetant les tentatives de communications entrantes envoyes par les ordinateurs qui ne peuvent pas
ngocier la protection IPsec laide de certificats dintgrit. Avec la contrainte de mise en conformit
IPsec, chaque ordinateur excute la contrainte de mise en conformit IPsec, alors quavec la contrainte de
mise en conformit 802.1X et VPN, la contrainte de mise en conformit se produit au point dentre du
rseau. tant donn que vous pouvez tirer parti des paramtres de stratgie IPsec, la contrainte de mise
en conformit de certificats dintgrit peut concerner :
un ordinateur spcifique ;
un jeu spcifique de ports TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol) ;
La contrainte de mise en conformit IPsec est plus complexe implmenter que dautres mthodes,
car elle requiert une autorit HRA et une autorit de certification.
Aucun matriel supplmentaire nest requis pour implmenter la contrainte de mise en conformit
IPsec. Il nest pas ncessaire de mettre niveau des commutateurs ou des protocoles WAP, alors que
vous devriez le faire si vous slectionnez la contrainte de mise en conformit 802.1X.
Vous pouvez implmenter la contrainte de mise en conformit IPsec dans nimporte quel
environnement.
Vous pouvez configurer IPsec pour chiffrer la communication pour plus de scurit.
Les composants de la contrainte de mise en conformit 802.1X se composent de NPS dans Windows
Server 2012 et dun client de contrainte dhte de programme daide au personnel dans Windows 8,
Windows 7, Windows Vista, Windows XP Service Pack 3, Windows Server 2008, Windows Server 2008 R2,
et Windows Server 2012. La contrainte de mise en conformit 802.1X fournit laccs rseau limit fort
pour tous les ordinateurs qui accdent au rseau par une connexion 802.1X authentifie.
Pour implmenter la contrainte de mise en conformit 802.1X, vous devez vrifier que les commutateurs
rseau ou les points daccs sans fil prennent en charge lauthentification 802.1X. Les commutateurs ou
les points daccs sans fil agissent alors en tant que point de contrainte de mise en conformit pour des
clients NAP. Ltat dintgrit du client est envoy dans le cadre de la procdure dauthentification.
Quand un ordinateur nest pas conforme, le commutateur le place sur un rseau VLAN distinct ou utilise
des filtres de paquets pour restreindre laccs aux serveurs de mise jour seulement.
9-13
Lorsque vous choisissez une mthode de contrainte de mise en conformit NAP 802.1X, tenez compte
des lments ci-dessous :
Le commutateur ou le point daccs sans fil qui se connecte avec le client isole les ordinateurs non
conformes. Ceci est trs difficile contourner, et est par consquent trs scuris.
Utilisez la contrainte de mise en conformit 802.1X pour les ordinateurs internes. Ce type de mise en
conformit est appropri pour des ordinateurs du rseau local avec des connexions cbles et sans fil.
Vous ne pouvez pas utiliser la contrainte de mise en conformit 802.1X si vos commutateurs et points
daccs sans fil ne prennent pas en charge lutilisation du protocole 802.1X pour lauthentification.
Windows 8
Windows 7
Windows Vista
Windows XP SP3
La contrainte de mise en conformit VPN fournit un accs rseau limit puissant pour tous les ordinateurs
qui accdent au rseau via une connexion VPN daccs distance. La contrainte de mise en conformit
VPN utilise un jeu de filtres de paquets IP daccs distance pour limiter le trafic des clients VPN, afin quil
puisse atteindre uniquement les ressources du rseau restreint. Le serveur VPN applique les filtres de
paquets IP au trafic IP quil reoit du client VPN et rejette silencieusement tous les paquets qui ne
correspondent pas un filtre de paquets configur.
La contrainte de mise en conformit VPN est la plus adapte lorsque vous utilisez dj VPN. Il est peu
probable que vous implmentiez des connexions VPN sur un rseau interne pour utiliser la contrainte
de mise en conformit VPN.
Utilisez la contrainte de mise en conformit VPN pour vous assurer que les membres du personnel se
connectant partir dordinateurs personnels nintroduisent pas de programmes malveillants dans
votre rseau. Souvent les utilisateurs ne grent pas leurs ordinateurs personnels correctement, et
ceux-ci peuvent reprsenter un risque lev. Beaucoup dutilisateurs nont pas dantivirus, ou
nappliquent pas les mises jour Windows rgulirement.
Utilisez la contrainte de mise en conformit VPN pour vous assurer que les ordinateurs portables
demploys itinrants nintroduisent pas de programmes malveillants dans votre rseau. Les
ordinateurs portables demploys itinrants sont plus sensibles aux attaques malveillantes que
les ordinateurs directement connects au rseau dentreprise, car ils ne peuvent pas forcment
tlcharger les mises jour des virus et les mises jour Windows en dehors du rseau dentreprise.
Ils sont galement plus susceptibles de se trouver dans des environnements o un programme
malveillant est prsent.
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Comme la contrainte de mise en conformit par DHCP repose sur une configuration dadresse IPv4
limite quun utilisateur (bnficiant dun accs administrateur) peut remplacer, il sagit de la forme
daccs rseau limit la plus faible de la protection daccs rseau dans NAP.
9-15
La configuration dadresses DHCP limite laccs rseau du client DHCP via sa table de routage IPv4. tant
donn que la contrainte de mise en conformit par DHCP dfinit la valeur 0.0.0.0 pour loption Router
DHCP, aucune passerelle par dfaut nest configure pour lordinateur non conforme. La contrainte de
mise en conformit par DHCP dfinit galement le masque de sous-rseau pour ladresse IPv4 alloue
la valeur 255.255.255.255. Il nexiste donc aucun itinraire vers le sous-rseau li.
Pour permettre lordinateur non conforme daccder aux serveurs de mise jour du rseau restreint, le
serveur DHCP attribue loption DHCP Itinraires statiques sans classe. Cette option contient des itinraires
htes vers les ordinateurs du rseau restreint, tels que les serveurs DNS (Domain Name System) et de mise
jour. Le rsultat final de laccs rseau limit de DHCP est une table de configuration et de routage qui
autorise uniquement la connectivit aux adresses de destination spcifiques correspondant au rseau
restreint. Par consquent, lorsquune application tente denvoyer des donnes une adresse IPv4 unicast
(monodiffusion) diffrente de celles fournies via loption Itinraires statiques sans classe, le protocole
TCP/IP retourne une erreur de routage.
La contrainte de mise en conformit par DHCP est facile implmenter, et peut tre applique
nimporte quel ordinateur avec une adresse IP dynamique.
Il est facile de contourner la contrainte de mise en conformit par DHCP. Un client peut contourner la
contrainte de mise en conformit par DHCP laide dune adresse IP statique. En outre, un ordinateur
non conforme pourrait ajouter des itinraires htes statiques pour atteindre les serveurs qui ne sont
pas des serveurs de mise jour.
La contrainte de mise en conformit par DHCP nest pas possible pour des clients IPv6. Si les
ordinateurs de votre rseau utilisent les adresses IPv6 pour communiquer, la contrainte de mise en
conformit par DHCP est inefficace.
Leon 3
Configuration de NAP
Si vous souhaitez que votre dploiement de NAP fonctionne de faon optimale, il est important que vous
compreniez ce que chacun des composants de protection daccs rseau (NAP) fait, et comment ils
interagissent pour protger votre rseau. Si vous souhaitez protger votre rseau laide de la protection
daccs rseau (NAP), vous devez comprendre les impratifs requis en matire de configuration pour le
client NAP, comment configurer NPS en tant que serveur de la stratgie de contrle dintgrit NAP,
configurer des stratgies de contrle dintgrit et des stratgies rseau et configurer les paramtres de
client et serveur. Il est galement important de tester la protection daccs rseau (NAP) avant de lutiliser.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
9-17
La protection daccs rseau est conue pour tre flexible et extensible, et elle peut interagir avec les
logiciels de tous les fournisseurs qui proposent des agents dintgrit systme et des programmes de
validation dintgrit systme utilisant lAPI NAP. Un programme de validation dintgrit systme reoit
une dclaration dintgrit, puis compare les informations dtat dintgrit systme fournies dans la
dclaration dintgrit ltat dintgrit systme requis. Par exemple, si la dclaration dintgrit provient
dun agent dintgrit systme dantivirus et quelle contient le dernier numro de version du fichier de
signature antivirus, le programme de validation dintgrit systme dantivirus correspondant peut
contacter le serveur de spcification dintgrit dantivirus afin dobtenir le numro de version le plus
rcent et de valider la dclaration dintgrit du client NAP.
Il place le client NAP sur un rseau restreint, o il peut recevoir des mises jour des serveurs de mise
jour qui procdent la mise en conformit du client avec la stratgie de contrle dintgrit. Une
fois que la conformit du client NAP a t vrifie et son nouvel tat dintgrit soumis nouveau,
NPS lui permet de se connecter.
Il autorise le client NAP se connecter au rseau bien quil ne soit pas conforme la stratgie de
contrle dintgrit.
Vous pouvez dfinir des stratgies de contrle dintgrit des clients dans le service NPS en ajoutant un
ou plusieurs programmes de validation dintgrit systme la stratgie de contrle dintgrit.
Une fois que vous avez configur une stratgie de contrle dintgrit avec un ou plusieurs programmes
de validation dintgrit systme, vous pouvez lajouter la condition Stratgies de contrle dintgrit
dune stratgie rseau que vous souhaitez utiliser pour mettre en application la protection daccs rseau
lorsque des ordinateurs clients tentent de se connecter votre rseau.
Vous devez configurer les clients de contrainte de mise en conformit NAP sur les ordinateurs
compatibles avec la protection daccs rseau.
2.
Dans larborescence de la console, double-cliquez sur Stratgie Ordinateur Local, puis sur
Configuration ordinateur, sur Modles dadministration, sur Composants Windows, et enfin
sur Centre de scurit.
3.
9-19
Vous pouvez utiliser la procdure dactivation du service de protection daccs rseau sur les clients pour
activer et configurer le service de protection daccs rseau sur des ordinateurs clients compatibles avec
la protection daccs rseau. Lorsque vous dployez la protection daccs rseau, il est indispensable
dactiver ce service.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine, Administrateurs de lentreprise ou Administrateurs sur lordinateur local.
Pour activer le service de protection daccs rseau sur les ordinateurs clients :
1.
Ouvrez le Panneau de configuration, cliquez sur Systme et scurit, puis sur Outils
dadministration, et double-cliquez sur Services.
2.
Dans la liste Services, faites dfiler le contenu et double-cliquez sur Agent de protection daccs
rseau.
3.
Dans la bote de dialogue Proprits de Agent de protection daccs rseau, remplacez Type
de dmarrage par Automatique, puis cliquez sur OK.
client de contrainte de mise en conformit IPsec (galement utilis pour les connexions
DirectAccess) ;
1.
2.
Cliquez sur Clients de contrainte. Dans le volet dinformations, cliquez avec le bouton droit sur le
client de contrainte que vous souhaitez activer ou dsactiver, puis cliquez sur Activer ou Dsactiver.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe
Administrateurs sur lordinateur local ou bien disposer des autorisations appropries.
Si lordinateur est rattach un domaine, les membres du groupe Admins du domaine
peuvent peut-tre excuter la procdure. Par mesure de scurit, il est conseill deffectuer
cette procdure laide de la commande Excuter en tant que.
configurer le serveur NPS en tant que serveur de stratgie de contrle dintgrit NAP ;
tester NAP.
Procdure de dmonstration
Installer le rle de serveur NPS
1.
2.
Ouvrez le Gestionnaire de serveur, puis installez le rle de Stratgie rseau et services daccs.
2.
Crez une stratgie de contrle dintgrit appele Conforme qui spcifier la condition Russite
de tous les contrles SHV pour le client.
2.
Crez une autre stratgie de contrle dintgrit appele Non conformequi spcifie la condition
chec dun ou de plusieurs contrles SHV pour le client.
9-21
1.
Dsactivez les deux stratgies rseau existantes ; elles empcheraient le traitement des stratgies que
vous tes sur le point de crer.
2.
Crez une nouvelle stratgie rseau appele Conforme Accs Complet ayant une condition de
stratgie de contrle dintgrit Conforme. Un accs illimit est accord aux ordinateurs.
Crez une nouvelle stratgie rseau appele Non conforme-restreint ayant une condition de
stratgie de contrle dintgrit Non conforme. Un accs limit est accord aux ordinateurs.
2.
Modifiez les proprits de la porte IPv4 pour prendre en charge la protection daccs rseau.
3.
Crez une nouvelle stratgie DHCP qui alloue des options de porte DHCP appropries aux
ordinateurs non conformes. Ces options attribuent un suffixe DNS restricted.Adatum.com.
2.
3.
Utilisez la console de gestion de stratgie de groupe locale pour activer le centre de scurit.
4.
Reconfigurez LON-CL1 pour obtenir une adresse IP partir dun serveur DHCP.
Tester NAP
1.
2.
3.
Dans la zone de barre dtat systme, cliquez sur la fentre contextuelle Protection daccs rseau.
Examinez le contenu de la bote de dialogue Protection daccs rseau. Cliquez sur Fermer.
4.
5.
Leon 4
Lopration de rsolution des problmes et danalyse de la structure NAP est une tche dadministration
importante en raison des diffrents niveaux de technologie, notamment de la diversit des comptences
et des connaissances pralables indispensables pour chaque mthode de contrainte de mise en
conformit NAP. Des journaux de suivi sont disponibles pour la protection daccs rseau, mais ils sont
dsactivs par dfaut. Ces journaux ont une double utilit : ils permettent de rsoudre les problmes et
dvaluer lintgrit et la scurit dun rseau.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Dcrivez comment le suivi NAP peut aider surveiller et rsoudre la protection daccs rseau (NAP).
Vous souhaitez valuer lintgrit et la scurit globales des ordinateurs de votre organisation.
En plus de la journalisation du suivi, vous pouvez afficher des journaux de gestion de comptes NPS.
Ces journaux peuvent contenir des informations utiles sur la protection daccs rseau (NAP). Par dfaut,
les journaux de gestion de comptes NPS se trouvent dans %systemroot%\system32\logfiles.
Les journaux suivants peuvent contenir des informations lies la protection daccs rseau (NAP) :
IASNAP.LOG. Ce journal contient des donnes dtailles au sujet des processus de protection daccs
rseau (NAP), de lauthentification NPS et de lautorisation NPS.
9-23
Vous pouvez utiliser linterface utilisateur Windows afin dactiver ou de dsactiver le suivi de la protection
daccs rseau et de spcifier le niveau de dtail enregistr en procdant comme suit :
1.
2.
Dans larborescence de la console, cliquez avec le bouton droit sur Configuration du client NAP
(ordinateur local), puis cliquez sur Proprits.
3.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe
Administrateurs sur lordinateur local ou bien disposer des autorisations appropries. Par mesure de
scurit, il est conseill deffectuer cette opration laide de la commande Excuter en tant que.
4.
Si loption Activ est choisie, sous Spcifier le niveau de dtails inscrire dans les journaux
de suivi, slectionnez De base, Avanc ou Dbogage.
Pour utiliser un outil en ligne de commande afin dactiver ou de dsactiver le suivi NAP et de spcifier le
niveau de dtail enregistr, procdez comme suit :
1.
2.
Pour activer ou dsactiver le suivi NAP, effectuez lune des oprations suivantes :
o
Pour activer le suivi NAP et configurer le niveau denregistrement de base ou avanc, tapez :
netsh NAP client set tracing state=enable level =[advanced or basic]
Pour activer le suivi NAP afin de consigner des informations de dbogage, tapez : netsh NAP
client set tracing state=enable level =verbose
Pour dsactiver le suivi NAP, tapez : netsh NAP client set tracing state=disable
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe
Administrateurs sur lordinateur local ou bien disposer des autorisations appropries. Par mesure de
scurit, il est conseill deffectuer cette opration laide de la commande Excuter en tant que.
Demonstration
Cette dmonstration montre comment :
Procdure de dmonstration
Configurer le suivi partir de linterface utilisateur graphique
1.
Sur LON-CL1, ouvrez la console NAPCLCFG [Configuration du client NAP (ordinateur local)].
2.
partir des proprits Configuration de client NAP (ordinateur local), activez le suivi Avanc.
linvite de commandes, tapez netsh NAP client set tracing state = enable et appuyez sur Entre.
Commandes Netsh
Utilisez la commande de protection daccs rseau
netsh pour rsoudre des problmes de protection
daccs rseau (NAP). La commande suivante
affiche ltat dun client NAP, y compris ce
qui suit :
tat de restriction
La commande suivante affiche les paramtres de configuration locaux sur un client NAP, notamment :
Paramtres de chiffrement
Paramtres de chiffrement
9-25
Se produit quand un client NAP authentifie avec succs, et, selon son tat dintgrit, obtient laccs
complet ou limit au rseau.
Se produit quand un problme de configuration surgit, ou si les paramtres de client RADIUS sont
incorrects ou si NPS ne peut pas crer des journaux de gestion de comptes.
ID dvnement 6277. Le serveur NPS a accord laccs un utilisateur, mais la mis en priode
dessai parce que lhte ne respecte pas la stratgie de contrle dintgrit dfinie.
Se produit quand la demande daccs client correspond une stratgie rseau qui est configure
avec un paramtre de contrainte de mise en conformit NAP de type Autoriser laccs rseau
complet pendant une priode limite quand la date spcifie dans la stratgie est passe.
ID dvnement 6278. Le serveur NPS a accord laccs complet un utilisateur parce que lhte
respecte la stratgie de contrle dintgrit dfinie.
Se produit quand la demande daccs client correspond une stratgie rseau qui est configure
avec un paramtre de contrainte de mise en conformit NAP de type Autoriser un accs rseau
complet.
9-27
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes situs Londres pour soccuper
du sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Windows Server 2012.
Pour amliorer la scurit et les exigences de conformit, A. Datum doit tendre sa solution VPN pour
inclure la protection daccs rseau (NAP). Vous devez trouver une manire de le vrifier et, sil y a lieu,
mettre automatiquement les ordinateurs client en conformit chaque fois quils se connectent distance
laide de la connexion VPN. Vous allez raliser cet objectif laide de NPS pour crer des paramtres de
validation dintgrit systme, des stratgies rseau et de contrle dintgrit et configurer la protection
daccs rseau (NAP) pour vrifier lintgrit des clients et y remdier.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-RTR
22411B-LON-CL2
Nom dutilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd
Module 10
Optimisation des services de fichiers
Table des matires :
Vue d'ensemble du module
10-1
10-3
Leon 2 : Utilisation de FSRM pour grer les quotas, les filtres de fichiers
et les rapports de stockage
10-10
10-21
10-28
10-32
10-41
10-46
10-50
10-55
Les fichiers se trouvant sur vos serveurs changent constamment, en fonction du contenu qui est ajout,
supprim et modifi.
Le rle serveur Service de fichiers et de stockage de Windows Server 2012 est conu pour aider les
administrateurs dans un environnement dentreprise grer le volume de donnes, qui est en constante
augmentation et volution. Quand les besoins de stockage changent en mme temps que les donnes
stockes, vous devez grer une infrastructure de stockage de plus en plus volumineuse et complexe. Par
consquent, pour rpondre aux besoins de votre organisation, vous devez comprendre et dterminer la
manire dont les ressources de stockage existantes sont utilises.
Ce module vous prsente le Gestionnaire de ressources du serveur de fichiers (FSRM) et le systme de
fichiers DFS (Distributed File System), deux technologies que vous pouvez utiliser pour rsoudre et grer
ces problmes.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
dcrire FSRM ;
utiliser FSRM pour grer les quotas, les filtres de fichiers et les rapports de stockage ;
Leon 1
10-3
Le Gestionnaire de ressources du serveur de fichiers (FSRM) est un ensemble doutils qui vous permettent
de comprendre, contrler et grer la quantit et le type de donnes enregistres sur vos serveurs. FSRM
vous permet de placer des quotas sur les volumes de stockage, filtrer les fichiers et dossiers, gnrer des
rapports de stockage complets, contrler linfrastructure de classification des fichiers, et utiliser des tches
de gestion de fichiers pour raliser des actions programmes sur des ensembles de fichiers. Ces outils vous
aident surveiller les ressources de stockage existantes et planifier et implmenter les modifications de
stratgie venir.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Anticipation des besoins futurs. Les besoins de stockage changent constamment. Les nouveaux
projets et les nouvelles initiatives dorganisation requirent davantage despace de stockage. Il en va
de mme pour les nouvelles applications et les donnes importes. Si vous ntes pas en mesure
danticiper ces vnements ou de vous y prparer, votre environnement de stockage risque de ne pas
pouvoir rpondre aux besoins de stockage.
Dfinir des stratgies de gestion des ressources de stockage. Il est indispensable de sappuyer sur un
ensemble fiable de stratgies pour grer lenvironnement de stockage actuel et sassurer que la
croissance du stockage progresse de faon matrisable et prvisible. Empcher lenregistrement des
fichiers non autoriss sur vos serveurs, vrifier que les donnes sont stockes au bon emplacement et
que les utilisateurs disposent de lespace de stockage ncessaire font partie des principales questions
auxquelles vos stratgies de gestion de la capacit sont susceptibles de rpondre.
Implmenter des stratgies pour grer laugmentation du stockage. Aprs limplmentation des
stratgies de gestion de la capacit, vous devez disposer dun outil efficace pour vrifier que ces
stratgies sont techniquement appliques. Les quotas qui sont dfinis pour le stockage des donnes
dun utilisateur doivent tre grs, lenregistrement des fichiers restreints doit tre empch, et les
fichiers professionnels doivent tre stocks aux emplacements appropris.
Gestion de quota
10-5
La gestion de quota est un composant qui vous permet de crer, de grer et dobtenir des informations
sur les quotas. Ces informations sont ensuite utilises pour fixer des limites de stockage sur des volumes
ou des dossiers (et leur contenu). En dfinissant des seuils de notification, vous pouvez envoyer des
notifications par courrier lectronique, enregistrer un vnement, excuter une commande ou un script,
ou gnrer des rapports lorsque les utilisateurs sapprochent dun quota ou le dpassent. La gestion de
quota vous permet galement de crer et grer des modles de quota afin de simplifier le processus
de gestion de quota.
La gestion du filtrage de fichiers est un composant qui vous permet de crer, de grer et dobtenir des
informations sur les filtres de fichiers. Vous pouvez utiliser ces informations pour empcher le stockage de
types de fichiers spcifiques sur un volume ou un dossier ou pour vous informer quand les utilisateurs
enregistrent ces types de fichiers. Lorsque les utilisateurs tentent denregistrer des fichiers non autoriss,
le filtrage de fichiers peut bloquer le processus et informer les administrateurs pour quils autorisent la
gestion proactive.
linstar de la gestion de quota, la gestion du filtrage de fichiers vous permet de crer et grer des
modles de filtre de fichiers pour simplifier la gestion du filtrage de fichiers. Vous pouvez galement crer
des groupes de fichiers qui vous permettent de dterminer les types de fichiers pouvant tre bloqus ou
autoriss.
La gestion des rapports de stockage est un composant qui vous permet de planifier et de configurer des
rapports de stockage. Ces rapports fournissent des informations concernant les composants et les aspects
de FSRM, notamment :
lutilisation de quota ;
les fichiers susceptibles davoir un impact ngatif sur la gestion de la capacit, tels que les fichiers
volumineux, les fichiers en double ou les fichiers inutiliss ;
Remarque : Les rapports de stockage peuvent tre excuts selon une planification, ou
vous pouvez les gnrer la demande.
Gestion de la classification
La gestion de la classification est un composant qui vous permet de crer et grer des proprits
de classification que vous pouvez ensuite attribuer aux fichiers. Vous pouvez attribuer des valeurs de
proprit aux fichiers laide de rgles de classification, qui peuvent tre appliques la demande ou
bases sur une planification. La classification vous permet de classer et de grer des fichiers laide dun
grand nombre de proprits dans le but didentifier et de grouper vos fichiers.
Pour installer FSRM dans Windows 2012, ajoutez le service de rle FSRM dans le rle Services de fichiers
et de stockage.
FSRM comporte plusieurs options de configuration qui sappliquent globalement tous ses composants.
Pour accder ces options, procdez comme suit :
1.
2.
Dans le volet gauche, cliquez avec le bouton droit sur le nud racine Gestionnaire de ressources
du serveur de fichiers, puis cliquez sur Configurer les options.
Options FSRM
10-7
Onglet Notifications par courrier lectronique. Cet onglet vous permet dindiquer le nom ou ladresse
dun serveur SMTP, ainsi que dautres dtails que FSRM utilisera pour envoyer des notifications par
courrier lectronique.
Onglet Limites de notification. Les limites de notification vous permettent de spcifier une dure
pendant laquelle FSRM attend entre chaque envoi de notifications afin dviter lexcs de notifications
rsultant de la rptition dun dpassement de quota ou dune dtection de fichier non autoris. Cet
onglet vous permet de dfinir des valeurs distinctes pour les notifications par courrier lectronique,
les entres enregistres dans le journal des vnements, les commandes en cours dexcution ou les
rapports en cours de gnration. La valeur par dfaut de chaque intervalle est de 60 minutes.
Onglet Rapports de stockage. Cet onglet vous permet de configurer et dafficher les paramtres par
dfaut de rapports de stockage existants. Onglet Emplacements des rapports. Cet onglet vous permet
dafficher et de modifier lemplacement dans lequel les trois diffrents types de rapports de stockage
sont enregistrs : rapports dincident, rapports planifis et rapports la demande. Par dfaut, chaque
catgorie est enregistre dans son propre dossier : %systemdrive%\Rapports de stockage.
Onglet Vrification du filtrage de fichiers. Sous cet onglet, une case cocher permet dactiver ou
de dsactiver lenregistrement de lactivit de filtrage des fichiers dans la base de donnes de
vrification. Vous pouvez afficher lactivit rsultante du filtrage de fichiers quand vous excutez
le rapport de vrification du filtrage des fichiers depuis Gestion des rapports de stockage.
Onglet Classification automatique. Cet onglet vous permet de dfinir une planification qui rgit la
classification automatique des fichiers. Vous pouvez spcifier les journaux gnrer, puis indiquer
sil faut gnrer un rapport du processus de classification et comment procder.
Onglet Assistance en cas daccs refus. Cet onglet vous permet de dfinir un message personnalis
quand FSRM empche une opration de niveau fichier suite une restriction de la gestion de quota
pour le filtrage de fichiers.
La gestion dun serveur excutant FSRM se produit en gnral localement, via la console FSRM Microsoft
Management Console (MMC). Toutefois, vous disposez dautres options pour grer un serveur excutant
ce type de service.
Windows PowerShell 3.0 contient les nouvelles applets de commande pour la gestion de FSRM. Celles-ci
tendent les fonctionnalits de gestion tous les aspects de FSRM. Le module FileServerResourceManager
pour Windows PowerShell est install sur un ordinateur Windows Server 2012 automatiquement quand
vous installez le service de rle FSRM.
Les applets de commande Windows PowerShell3.0 remplacent la fonctionnalit prcdemment fournie
par les excutables de ligne de commande dirquota.exe, filescrn.exe et storrpt.exe de FSRM. Bien que ces
excutables soient toujours prsents dans Windows Server 2012, ils sont dconseills et seront supprims
de la future version de Windows Server. Par consquent, vous devriez utiliser les applets de commande
Windows PowerShell pour crer toutes les solutions de gestion impliquant des tches de ligne de
commande.
Pour voir la liste complte des applets de commande FSRM disponibles, excutez la commande suivante
depuis une interface de ligne de commande Windows PowerShell :
Get-Command -Module FileServerResourceManager
Vous pouvez vous connecter distance un autre serveur qui excute FSRM laide de la console FSRM.
Depuis cette console, vous grez FSRM de la mme manire que vous grez des ressources sur votre
ordinateur local.
Pour grer FSRM distance laide de la console FSRM :
Assurez-vous que les deux serveurs excutent Windows Server 2008 R2 ou une version plus rcente,
puis installez FSRM.
Autorisez le trafic dappel de procdure distante (RPC) entre les deux serveurs quel que soit le pare-feu.
Connectez-vous lordinateur local avec un compte membre du groupe dadministrateurs locaux sur
lordinateur distant.
Vous pouvez galement excuter les applets de commande Windows PowerShell de FSRM distance
laide des fonctionnalits de communication distance de Windows PowerShell.
Dans cette dmonstration, vous allez apprendre :
Procdure de dmonstration
Installer le service de rle FSRM
1.
2.
3.
Installez le service de rle Gestionnaire de ressources du serveur de fichiers dans le rle Service
de fichiers et de stockage (Install).
10-9
1.
2.
Ouvrez la fentre Options du Gestionnaire de ressources du serveur de fichiers pour linstance locale
du Gestionnaire de ressources du serveur de fichiers.
3.
Leon 2
10-10
Que lajout de fichiers aux serveurs soit effectu par les utilisateurs ou les applications, la gestion de quota
vous permet de vous assurer que ces utilisateurs et ces applications utilisent uniquement lespace qui leur
est allou. Les filtres de fichiers dans FSRM vous permettent de dterminer quels types de fichiers peuvent
tre enregistrs dans votre infrastructure de fichiers et de stockage. Par ailleurs, les rapports de stockage
vous permettent de fournir des dtails sur la gestion de quota, le filtrage de fichiers et plusieurs autres
aspects de la fonctionnalit FSRM.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
expliquer comment utiliser FSRM pour grer les quotas et les filtres de fichiers et pour gnrer des
rapports de stockage.
Types de quotas
Vous pouvez crer deux types diffrents de quotas dans la gestion de quota :
10-11
Un quota inconditionnel empche les utilisateurs denregistrer des fichiers une fois que la limite
despace est atteinte et gnre des notifications lorsque le volume de donnes atteint chaque seuil
configur.
Un quota conditionnel ne met pas excution la limite de quota mais gnre des notifications
configures.
Notifications de quotas
Pour dterminer ce qui se produit lorsque la limite de quota est atteinte, vous configurez des seuils de
notification. Pour chaque seuil que vous dfinissez, vous pouvez envoyer des notifications par courrier
lectronique, enregistrer un vnement, excuter une commande ou un script, ou gnrer des rapports
de stockage. Par exemple, vous pouvez avertir ladministrateur et lutilisateur lorsquun dossier
atteint 85 % de sa limite de quota, puis envoyer une autre notification lorsque la limite de quota est
atteinte. Parfois, il peut tre ncessaire dexcuter un script qui lve automatiquement la limite de quota
lorsquun seuil est atteint.
Cration de quotas
Quand vous crez un quota sur un volume ou un dossier, vous pouvez le baser sur un modle de quota
ou utiliser des proprits personnalises. Autant que possible, basez un quota sur un modle de quota.
Vous pouvez rutiliser un modle de quota pour crer dautres quotas ; cela simplifie la gestion actuelle
des quotas.
FSRM peut galement gnrer des quotas automatiquement. Quand vous configurez un quota
automatique, vous appliquez un modle de quota un volume ou un dossier parent. Ensuite, un
quota bas sur ce modle est cr pour chacun des sous-dossiers existants, et un quota est gnr
automatiquement pour chaque nouveau sous-dossier cr. Vous pouvez galement crer des quotas
via lapplet de commande Windows PowerShell, New-FSRMQuota.
10-12
Vous pouvez utiliser le modle Limite de 200 Mo pour les rapports dutilisateurs pour dfinir une
limite inconditionnelle de 200 Mo sur le dossier personnel de chaque utilisateur, puis envoyer des
rapports de stockage aux utilisateurs qui dpassent le quota.
Pour certains dossiers, vous pouvez utiliser le modle Limite de 200 Mo avec extension de 50 Mo
pour accorder une extension de quota ponctuelle de 50 Mo aux utilisateurs qui dpassent la limite
de quota de 200 Mo.
Dautres modles par dfaut sont conus pour surveiller lutilisation du disque par lintermdiaire de
quotas conditionnels, notamment le modle Analyser lutilisation de volume de 200 Go et le modle
Analyser un partage de 500 Mo. Quand vous utilisez ces modles, les utilisateurs peuvent dpasser la
limite de quota, mais des notifications par courrier lectronique et de journal des vnements sont
gnres le cas chant.
10-13
Le rapport dutilisation des quotas vous permet didentifier les quotas susceptibles dtre bientt atteints
ou dpasss afin que vous puissiez prendre les mesures appropries. La gnration de ce rapport sera
aborde en dtail dans la leon Gestion des rapports de stockage.
Windows PowerShell
Vous pouvez utiliser lapplet de commande Get-FSRMQuota pour afficher les quotas FSRM qui existent
sur le serveur, ainsi que les statistiques de chaque quota.
Le filtrage actif empche les utilisateurs denregistrer des types de fichiers non autoriss sur le serveur
et gnre des notifications configures lorsquils tentent de le faire.
Le filtrage passif envoie des notifications configures aux utilisateurs qui enregistrent des types de
fichiers spcifiques, mais il nempche pas les utilisateurs denregistrer ces fichiers.
10-14
Pour simplifier la gestion des filtres de fichiers, vous pouvez baser vos filtres de fichiers sur les modles de
filtre de fichiers, qui seront prsents ultrieurement dans cette leon.
Pour davantage de flexibilit, vous pouvez configurer une exception de filtre de fichiers dans un sousdossier dun chemin daccs o vous avez cr un filtre de fichiers. Quand vous placez une exception
de filtre de fichiers dans un sous-dossier, vous permettez aux utilisateurs denregistrer des types de fichier
qui seraient normalement bloqus par le filtre de fichiers appliqu au dossier parent. Vous pouvez
galement crer des filtres de fichiers dans Windows PowerShell laide de lapplet de commande
New-FSRMFileScreen.
Remarque : Un filtre de fichiers nempche pas les utilisateurs et les applications daccder
aux fichiers qui ont t enregistrs dans le chemin daccs avant la cration de ce filtre, que ces
fichiers appartiennent ou non des groupes de fichiers bloqus.
Par exemple, un groupe de fichiers appel Fichiers audio peut contenir les modles de noms de fichiers
suivants :
Fichiers inclure : *.mp* : inclut tous les fichiers audio crs dans les formats MPEG actuels et futurs
(MP2, MP3, etc.).
Fichiers exclure : *.mpp : Exclut les fichiers crs dans Microsoft Project (fichiers .mpp), qui auraient
normalement d tre inclus en vertu de la rgle dinclusion *.mp*.
10-15
FSRM fournit plusieurs groupes de fichiers par dfaut, que vous pouvez afficher dans Gestion du filtrage
de fichiers en cliquant sur le nud Groupes de fichiers. Vous pouvez dfinir dautres groupes de fichiers
ou modifier les fichiers inclure et exclure. Toute modification apporte un groupe de fichiers affecte
tous les filtres de fichiers, modles et rapports existants auxquels le groupe de fichiers a t ajout.
Remarque : Pour plus de commodit, vous pouvez modifier les groupes de fichiers quand
vous modifiez les proprits dun filtre de fichiers, dune exception de filtre de fichiers, dun
modle de filtre de fichiers, ou le rapport Fichiers par groupe de fichiers. Notez que toutes les
modifications que vous apportez un groupe de fichiers partir de ces feuilles de proprits
affectent tous les lments qui utilisent ce groupe de fichiers.
Vous pouvez configurer deux types de filtrage dans un modle de filtre de fichiers. Le filtrage actif ne
permet pas aux utilisateurs denregistrer des fichiers associs aux groupes de fichiers slectionns que
vous configurez avec le modle. Le filtrage passif permet aux utilisateurs denregistrer les fichiers mais
envoie des notifications des fins de surveillance.
FSRM fournit plusieurs modles de filtres de fichiers par dfaut, que vous pouvez utiliser pour bloquer des
fichiers audio et vido, des fichiers excutables, des fichiers image et des fichiers de courrier lectronique,
afin de rpondre aux besoins administratifs courants. Pour afficher les modles par dfaut, dans
larborescence de la console Gestionnaire de ressources du serveur de fichiers, cliquez sur le nud
Modles de filtres de fichiers.
Le fait de crer des filtres de fichiers exclusivement partir de modles vous permet de les grer de
manire centralise en mettant jour ces modles au lieu de modifier les filtres de fichiers un un.
Remarque : La procdure pour crer des filtres de fichiers partir de modles de filtres est
identique celle utilise pour crer des quotas partir de modles de quotas.
10-16
Il est parfois ncessaire dautoriser des exceptions au filtrage de fichiers. Par exemple, vous pouvez
bloquer les fichiers vido provenant dun serveur de fichiers, mais vous devez autoriser votre groupe de
stagiaires enregistrer les fichiers vido dans le cadre de leur formation assiste par ordinateur. Pour
autoriser certains fichiers bloqus par dautres filtres, vous pouvez crer une exception de filtre de fichiers.
Une exception de filtre de fichiers est un type particulier de filtre de fichiers qui remplace tout autre filtre
de fichiers qui devrait normalement sappliquer un dossier et ses sous-dossiers, dans un chemin daccs
dsign de lexception. Cela signifie quelle cre une exception toute rgle drive dun dossier parent.
Pour dterminer quels types de fichier lexception autorisera, des groupes de fichiers sont attribus.
Pour crer une exception de filtre de fichiers, sous Gestion du filtrage de fichiers dans FSRM, cliquez sur
Crer une exception de filtre de fichiers partir du nud Filtres de fichiers.
Remarque : Les exceptions de filtres de fichiers remplacent toujours des filtres de fichiers
dont les paramtres sont en conflit. Par consquent, vous devez les organiser et les implmenter
avec prudence.
10-17
Description
Fichiers dupliqus
Ce rapport rpertorie les fichiers qui semblent tre des doublons (fichiers avec
la mme taille et la dernire date de modification). Il permet didentifier et de
rcuprer lespace disque gaspill en raison de fichiers dupliqus. Cest le seul
rapport qui nest pas configurable.
Vrification du
filtrage des fichiers
Fichiers par
propritaire
Ce rapport rpertorie les fichiers qui sont groups par propritaires. Il permet
danalyser les tendances dutilisation sur le serveur et didentifier les utilisateurs
qui consomment de grandes quantits despace disque.
Dossiers par
proprit
Fichiers volumineux
Fichiers ouverts le
moins rcemment
Ce rapport rpertorie les fichiers qui nont pas t ouverts depuis un nombre
de jours spcifi. Il peut vous aider identifier les donnes rarement utilises
qui peuvent tre archives et supprimes du serveur.
Fichiers ouverts le
plus rcemment
Ce rapport rpertorie les fichiers qui ont t ouverts au cours dune priode
en jours spcifie. Il permet didentifier les donnes frquemment utilises
qui doivent tre maintenues un haut niveau de disponibilit.
Utilisation du quota
10-18
Except pour le rapport Fichiers dupliqus, tous les rapports ont des paramtres configurables qui
dterminent leur contenu. Ces paramtres varient selon le type de rapport. Pour certains rapports, vous
pouvez utiliser des paramtres pour slectionner les volumes et les dossiers particuliers, dfinir une taille
de fichier minimale inclure ou restreindre leur porte aux fichiers appartenant des utilisateurs
spcifiques.
Enregistrement de rapports
Indpendamment de la faon dont vous le gnrez, ou que vous choisissiez de lafficher immdiatement
ou non, le rapport est enregistr sur le disque. Les rapports dincident sont enregistrs au format DHTML
(Dynamic HTML). Vous pouvez enregistrer les rapports planifis et la demande au format DHTML,
HTML, XML, CSV et texte.
Les rapports planifis, les rapports la demande et les rapports dincident sont enregistrs dans des
dossiers spars au sein dun rfrentiel de rapports dsign.
Par dfaut, les rapports sont enregistrs dans les sous-rpertoires du dossier
%Systemdrive%\StorageReports\. Pour modifier les emplacements par dfaut des rapports, dans la bote
de dialogue Options du Gestionnaire de ressources du serveur de fichiers, sous longlet
Emplacements des rapports, indiquez o enregistrer chaque type de rapport de stockage.
2.
Cliquez avec le bouton droit sur Gestion des rapports de stockage, puis cliquez sur Planifier une
nouvelle tche de rapport. Vous pouvez galement cliquer sur Planifier une nouvelle tche de
rapport dans le volet Actions.
Remarque : Pour rduire limpact du traitement des rapports sur les performances du
serveur, gnrez plusieurs rapports selon la mme planification de sorte que les donnes soit
collectes une seule fois.
10-19
Pendant les oprations quotidiennes, vous pouvez gnrer des rapports la demande pour analyser les
diffrents aspects de lutilisation actuelle du disque sur le serveur. Les donnes actuelles sont collectes
avant la gnration des rapports.
Lorsque vous gnrez des rapports la demande, ceux-ci sont enregistrs dans le rfrentiel des rapports,
mais aucune tche de cration de rapport nest cre pour une utilisation ultrieure. Vous pouvez afficher
les rapports juste aprs les avoir gnrs, ou vous pouvez les envoyer un groupe dadministrateurs par
courrier lectronique.
Pour gnrer des rapports la demande :
1.
2.
Cliquez avec le bouton droit sur Gestion des rapports de stockage, puis cliquez sur Gnrer les
rapports maintenant (ou dans le volet Actions, cliquez sur Gnrer les rapports maintenant).
Remarque : Lorsque vous gnrez un rapport la demande, vous pouvez attendre quil
soit gnr et lafficher immdiatement. Si vous choisissez douvrir les rapports immdiatement,
vous devez attendre quils soient gnrs. Le temps de traitement varie selon les types de
rapports et ltendue des donnes.
crer un quota ;
tester un quota ;
Procdure de dmonstration
Crer un quota
1.
2.
3.
4.
Crez un quota bas sur le paramtre Limite de 100 Mo dans le dossier E:\Labfiles\Mod10\Data.
Tester un quota
1.
2.
3.
10-20
Dans le Gestionnaire de ressources du serveur de fichiers, crez un nouveau filtre de fichiers selon le
modle de filtre de fichiers Bloquer les fichiers image
pour E:\Labfiles\Mod10\Data.
2.
Accdez E:\Labfiles\Mod10.
3.
4.
5.
6.
2.
3.
Leon 3
10-21
La plupart des applications grent des fichiers selon le rpertoire dans lequel ils sont stocks. Cela gnre
des structures de fichiers qui requirent lattention des administrateurs. Une telle structure peut
galement engendrer de la frustration parmi les utilisateurs. Dans Windows Server 2012, les tches de
gestion de la classification et de gestion de fichiers permettent aux administrateurs de grer des groupes
de fichiers selon divers attributs de fichier et de dossier. Avec les tches de gestion de la classification et
de gestion de fichiers, vous pouvez automatiser les tches de maintenance des fichiers et des dossiers,
telles que le nettoyage des donnes primes ou la protection des informations sensibles.
Dans cette leon, vous apprendrez comment les tches de gestion de la classification et de fichiers
fonctionnent ensemble pour faciliter la gestion et lorganisation des fichiers et des dossiers sur vos
serveurs.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
identifier les lments prendre en considration pour lutilisation de la classification des fichiers ;
10-22
La gestion de la classification est conue pour simplifier la charge et la gestion des donnes rparties dans
lentreprise. Elle vous permet de classer les fichiers de diffrentes manires. Dans la plupart des scnarios,
vous effectuez la classification manuellement. Dans Windows Server 2012, la fonctionnalit Infrastructure
de classification des fichiers permet aux organisations de convertir ces processus manuels en stratgies
automatises. Vous pouvez spcifier des stratgies de gestion des fichiers bases sur la classification dun
fichier, puis appliquer les exigences de lentreprise pour grer les donnes en fonction de la valeur
commerciale. Vous pouvez galement modifier les stratgies facilement et utiliser des outils qui prennent
en charge la classification pour grer les fichiers.
Vous pouvez utiliser la classification des fichiers pour effectuer les actions suivantes :
1.
Dfinir les proprits et les valeurs de classification pouvant tre attribues aux fichiers en excutant
des rgles de classification.
2.
Crer, mettre jour et excuter des rgles de classification. Chaque rgle attribue une proprit et
une valeur prdfinies uniques aux fichiers dans un rpertoire spcifi, en fonction des plug-ins de
classification installs.
Lorsque vous excutez une rgle de classification, vous pouvez rvaluer les fichiers dj classs. Vous
pouvez choisir de remplacer des valeurs de classification existantes ou dajouter une valeur aux proprits
qui prennent en charge plusieurs valeurs.
Description
Oui/Non
Proprit boolenne qui peut avoir la valeur OUI ou NON. Lorsque plusieurs
valeurs sont combines, la valeur NON remplace la valeur OUI.
Date-Heure
Nombre
(suite)
Type de proprit
Description
10-23
Liste choix
multiples
Liste de valeurs qui peuvent tre attribues une proprit. Plusieurs valeurs
la fois peuvent tre attribues une proprit. Lorsque plusieurs valeurs sont
combines, chaque valeur dans la liste est utilise.
Liste de valeurs fixes. Une seule valeur la fois peut tre attribue une
proprit. Lorsque plusieurs valeurs sont combines, cest la valeur en premire
position dans la liste qui est utilise.
Chane
Simple proprit de type chane. Lorsque plusieurs valeurs sont combines, les
valeurs en conflit empchent la reclassification.
Chane multiple
Liste de chanes qui peuvent tre attribues une proprit. Plusieurs valeurs
la fois peuvent tre attribues une proprit. Lorsque plusieurs valeurs sont
combines, chaque valeur dans la liste est utilise.
Quelle est ltendue de la rgle ? Sous longlet Paramtres de la rgle, le paramtre de tendue
vous permet de slectionner un dossier ou des dossiers auxquels la rgle de classification
sappliquera. Quand la rgle est excute, elle traite et tente de classer tous les objets du systme
de fichiers dans cet emplacement.
10-24
RegularExpression. Permet dtablir une correspondance avec une expression rgulire laide de la
syntaxe Microsoft .NET. Par exemple, \d\d\d correspondra nimporte quelle chane trois chiffres.
StringCaseSensitive. Permet dtablir une correspondance avec une chane respectant la casse. Par
exemple, Confidential retournera comme correspondance Confidential, et non confidential ou
CONFIDENTIAL.
String. Permet dtablir une correspondance avec une chane quelle que soit la casse. Par exemple,
Confidential retournera comme correspondance Confidential, non confidential et CONFIDENTIAL.
La configuration dune planification de classification vous permet de spcifier un intervalle rgulier auquel
les rgles de classification des fichiers sexcuteront, ce qui vous garantit que les fichiers de votre serveur
sont rgulirement classs et jour avec les dernires proprits de classification.
Procdure de dmonstration
Crer une proprit de classification
1.
2.
10-25
1.
2.
Configurez la rgle pour classer les documents en leur attribuant la valeur Oui pour la proprit de
classification Confidentiel si le fichier contient lexpression de chane PAYROLL.
2.
Lorsque vous dplacez un fichier dun systme de fichiers NTFS vers un autre, si vous utilisez un
mcanisme standard tel que la copie ou le dplacement, le fichier conserve ses proprits de classification.
En revanche, si vous dplacez un fichier vers un systme de fichiers non NTFS, quel que soit le mode de
dplacement de ce fichier, les proprits de classification ne sont pas conserves. Si le fichier est le produit
dune application Microsoft Office, les proprits de classification restent attaches, quelle que soit la
faon dont le fichier est dplac.
Les proprits de classification sont disponibles uniquement sur les serveurs excutant
Windows Server 2008 R2 ou une version ultrieure. Cependant, les documents Microsoft Office
conservent les informations de proprits de classification dans les proprits des documents, qui sont
consultables quel que soit le systme dexploitation utilis.
Pour les proprits Oui/Non, la valeur OUI est prioritaire sur la valeur NON.
Pour les proprits de liste mise en ordre, la valeur de proprit la plus leve est prioritaire.
Pour les proprits de choix multiples, les jeux de proprits sont combins un en jeu.
Pour les proprits de chane multiple, une valeur de chane multiple contenant toutes les chanes
uniques des diffrentes valeurs de proprit est dfinie.
Emplacement
Proprits de classification
Heure de cration
Heure de modification
Nom de fichier
Vous pouvez galement configurer des tches de gestion de fichiers afin dinformer les propritaires de
fichiers de toute stratgie imminente qui sera applique leurs fichiers.
10-26
10-27
Les tches dexpiration de fichier dplacent automatiquement tous les fichiers qui correspondent
certains critres vers un rpertoire dexpiration spcifi, o un administrateur peut sauvegarder ces fichiers
et les supprimer. Quand vous excutez une tche dexpiration de fichier, un nouveau rpertoire est cr
dans le rpertoire dexpiration. Ce nouveau rpertoire est group daprs le nom du serveur sur lequel la
tche a t excute, et son nom est dfini en fonction de celui de la tche de gestion de fichiers et de
lheure laquelle elle a t excute. Quand un fichier expir est dcouvert, il est dplac vers le nouveau
rpertoire, tout en conservant sa structure de rpertoire initiale.
Lexpiration nest pas toujours une action souhaitable sur les fichiers. Les tches de gestion de fichiers vous
permettent dexcuter des commandes personnalises. partir de la bote de dialogue Commandes
personnalises, vous pouvez excuter un fichier excutable, un script ou toute autre commande
personnalise pour excuter une opration sur les fichiers dans le cadre de la tche de gestion de fichiers.
Remarque : Pour configurer des tches personnalises, slectionnez le type Personnalis
sous longlet Action de la fentre Crer une tche de gestion de fichiers.
configurer une tche de gestion de fichiers pour faire expirer des documents.
Procdure de dmonstration
Crer une tche de gestion de fichiers
1.
2.
Crez une tche de gestion de fichiers nomme Faire expirer les documents confidentiels avec
pour tendue E:\Labfiles\Mod10\Data.
Configurer une tche de gestion de fichiers pour faire expirer des documents
1.
2.
3.
10-28
A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
bas Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes assistent le sige
social de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Windows Server 2012.
Chaque client rseau dans le domaine Adatum est fourni avec un dossier de base reposant sur un serveur
qui est utilis pour enregistrer les documents ou fichiers personnels reprsentant les travaux en cours.
Vous avez constat que les dossiers de base sont de plus en plus volumineux et peuvent contenir des
types de fichier tels que les fichiers .MP3 qui ne sont pas approuvs en raison de la stratgie dentreprise.
Vous dcidez dimplmenter les quotas et le filtrage de fichiers FSRM pour rsoudre ce problme.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateur(s) virtuel(s)
22411B-LON-DC1
22411B-LON-SVR1
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd
Leon 4
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
10-32
DFS comprend deux technologies qui sont implmentes en tant que services de rle :
10-33
Espace de noms DFS (DFS-N). Permet aux administrateurs de grouper les dossiers partags se
trouvant sur diffrents serveurs dans un ou plusieurs espaces de noms logiquement structurs.
Chaque espace de noms apparat aux utilisateurs comme un dossier partag unique avec plusieurs
sous-dossiers. Les sous-dossiers indiquent gnralement des dossiers partags qui se trouvent sur
plusieurs serveurs dans diffrents sites gographiques dissmins dans lorganisation.
DFS-R. Moteur de rplication multimatre qui synchronise les fichiers entre des serveurs pour des
connexions des rseaux locaux et tendus. La rplication DFS prend en charge la planification de
rplication et la limitation de bande passante et utilise la compression diffrentielle distance pour
mettre jour uniquement les parties de fichiers qui ont chang depuis la dernire rplication. Vous
pouvez utiliser la rplication DFS conjointement avec les espaces de noms DFS ou comme un
mcanisme de rplication de fichier autonome.
Vous devez masquer le nom des serveurs despaces de noms aux utilisateurs. Cela simplifie galement
le remplacement dun serveur despace de noms ou la migration de lespace de noms vers un autre
serveur. Les utilisateurs accdent alors au format \\nom_domaine\espace_de_noms au lieu du format
\\nom_serveur\partage.
Si vous choisissez de dployer un espace de noms bas sur un domaine, vous devez galement
choisir entre le mode Microsoft Windows 2000 Server et le mode Windows Server 2008. Le mode
Windows Server 2008 fournit dautres avantages tels que la prise en charge de lnumration base sur
laccs, et il augmente le nombre de cibles de dossier de 5 000 50 000. Avec lnumration base sur
laccs, vous pouvez galement masquer des dossiers que les utilisateurs ne sont pas autoriss afficher.
Pour utiliser le mode Windows Server 2008, vous devez respecter les exigences suivantes :
La fort Active Directory doit tre au niveau fonctionnel de fort Windows Server 2003 ou un
niveau suprieur.
Le domaine Active Directory doit tre au niveau fonctionnel du domaine Windows Server 2008.
Tous les serveurs despaces de noms doivent fonctionner sous Windows Server 2008.
10-34
Une organisation na pas implment le service de domaine Active Directory (AD DS).
Une organisation ne rpond pas la configuration requise pour le mode Windows Server 2008, un
espace de noms bas sur un domaine, et il existe des besoins concernant plus de 5 000 dossiers DFS.
Les espaces de noms DFS autonomes prennent en charge jusqu 50 000 dossiers avec des cibles.
10-35
La rplication DFS utilise un dossier intermdiaire masqu pour effectuer une copie intermdiaire
dun fichier avant de lenvoyer ou de le recevoir. Les dossiers intermdiaires agissent comme des
caches pour les fichiers nouveaux et modifis rpliquer depuis des membres denvoi vers des
membres de rception. Le membre denvoi commence crer une copie intermdiaire dun fichier
lorsquil reoit une demande du membre de rception. Le processus implique la lecture du fichier
depuis le dossier rpliqu et la cration dune reprsentation compresse du fichier dans le dossier
intermdiaire. Aprs sa cration, le fichier intermdiaire est envoy au membre de rception ; si la
compression diffrentielle distance est utilise, seule une partie du fichier intermdiaire peut tre
rplique. Le membre de rception tlcharge les donnes et cre le fichier dans son dossier
intermdiaire. Une fois le tlchargement du fichier termin sur le membre de rception, la
rplication DFS dcompresse le fichier et linstalle dans le dossier rpliqu. Chaque dossier rpliqu
possde son propre dossier intermdiaire, qui, par dfaut, se trouve sous le chemin daccs local
du dossier rpliqu dans le dossier DFSrPrivate\Staging.
La rplication DFS dtecte des modifications sur le volume en surveillant le journal du nombre de
squences de mise jour du systme de fichiers, puis rplique les modifications uniquement aprs
la fermeture du fichier.
La rplication DFS utilise une version de protocole dchange vectoriel pour dterminer les fichiers
qui doivent tre synchroniss. Le protocole envoie moins d1 Ko par fichier travers le rseau pour
synchroniser les mtadonnes associes aux fichiers modifis sur les membres denvoi et de rception.
La rplication DFS utilise un heuristique de rsolution de conflit le dernier auteur lemporte pour
les fichiers en conflit (autrement dit, un fichier mis jour simultanment sur plusieurs serveurs) et
le premier crateur lemporte pour les conflits de nom. Les fichiers et les dossiers qui perdent la
rsolution de conflit sont dplacs vers un dossier appel dossier des fichiers en conflit et supprims.
Vous pouvez galement configurer le service de manire dplacer des fichiers supprims vers le
dossier des fichiers en conflit et supprims, en vue dune rcupration en cas de suppression du
fichier ou du dossier. Chaque dossier rpliqu possde son propre dossier masqu des fichiers en
conflit et supprims, qui se trouve sous le chemin daccs local du dossier rpliqu dans le
dossier DFSrPrivate\ConflictandDeleted.
La rplication DFS utilise un fournisseur Windows Management Instrumentation (WMI) qui fournit des
interfaces pour obtenir des informations sur la configuration et lanalyse du service de rplication DFS.
10-36
1.
2.
Lordinateur client accde au premier serveur dans la rfrence. Lordinateur client met en cache
les informations de rfrence puis contacte le premier serveur dans la rfrence. Cette rfrence
correspond en gnral un serveur dans le propre site du client, moins que ce dernier ne comporte
aucun serveur. Dans ce cas, ladministrateur peut configurer la priorit cible.
Dans lexemple de la diapositive, le dossier Marketing publi dans lespace de noms contient deux cibles
de dossier. Un partage se trouve sur un serveur de fichiers New York, et lautre partage sur un serveur
de fichiers Londres. La synchronisation des dossiers partags est assure par la rplication DFS. Bien que
plusieurs serveurs hbergent les dossiers source, ceci est transparent pour les utilisateurs, qui accdent
seulement un dossier unique dans lespace de noms. Si lun des dossiers cibles devient indisponible,
les utilisateurs seront redirigs vers les cibles restantes dans lespace de noms.
10-37
La dduplication des donnes peut tre implmente en mme temps que la rplication DFS pour fournir
une infrastructure de stockage et de rplication encore plus efficace.
Lorsque la dduplication des donnes est active pour un volume, Windows 2012 optimise les volumes en
tenant jour les composants suivants :
Fichiers non optimiss. Il sagit des fichiers qui ne rpondent pas aux critres danciennet pour la
dduplication des donnes. Pour tre optimiss par la dduplication des donnes, les fichiers doivent
rester statiques pendant un certain temps. Les fichiers non optimiss peuvent inclure les fichiers dtat
du systme, les fichiers chiffrs, les fichiers dune taille infrieure 32 Ko, les fichiers avec des attributs
tendus ou les fichiers utiliss par dautres applications.
Fichiers optimiss. Ils sont enregistrs en tant que points danalyse. Un point danalyse contient un
pointeur vers les emplacements des donnes de bloc dans le magasin de blocs ; les blocs respectifs
peuvent donc tre rcuprs en cas de besoin.
Magasin de blocs. Les donnes des fichiers optimiss sont situes dans le magasin de blocs.
La dduplication des donnes peut vous aider faire face la croissance du stockage dans les domaines
suivants :
Optimisation des capacits. La dduplication des donnes permet un serveur de stocker davantage
de donnes dans un espace disque physique rduit.
10-38
Intgrit des donnes de fiabilit. Windows Server 2012 utilise une somme de contrle. Cohrence et
validation pour garantir lintgrit des donnes affectes par la dduplication. La dduplication de
donnes gre galement les copies redondantes des donnes utilises le plus souvent sur un volume
pour offrir une protection contre la corruption des donnes.
Gestion simple de loptimisation. Windows Server 2012 et Windows PowerShell 3.0 offrent une prise
en charge intgr de la dduplication des donnes. Limplmentation et la gestion dans Windows
Server 2012 sont effectues avec des outils familiers.
2.
Vous pouvez galement utiliser lapplet de commande Windows PowerShell suivante pour activer la
dduplication des donnes (dans le cas prsent, pour le volume E:) :
Enable-DedupVolume E:
3.
Par dfaut, des travaux intgrs sont crs et planifis lorsque vous activez la dduplication des
donnes pour un volume. Si ncessaire, vous pouvez configurer manuellement ces travaux ou en
crer dautres afin de grer de manire plus approfondie le fonctionnement de la dduplication des
donnes.
Documentation supplmentaire : Vue densemble de la dduplication des donnes
http://go.microsoft.com/fwlink/?linkID=270996
la collecte de donnes ;
la distribution de donnes.
10-39
Collecte de donnes
Les technologies DFS peuvent collecter des fichiers dune succursale et les rpliquer sur un site
concentrateur, ce qui permet une utilisation des fichiers diffrentes fins. Des donnes essentielles
peuvent tre rpliques sur un site concentrateur laide de la rplication DFS, puis sauvegardes
sur le site concentrateur laide de procdures de sauvegarde standard. Cela augmente la facult de
rcupration des donnes de la succursale en cas dchec dun serveur, car les fichiers seront disponibles
depuis deux emplacements spars et sauvegards. De plus, les socits rduisent les cots relatifs leurs
succursales, le matriel de sauvegarde et le savoir-faire du personnel informatique ntant plus ncessaires
sur site. Les donnes rpliques peuvent galement tre utilises pour que des partages de fichiers de
succursale tolrent les pannes. Si le serveur de la succursale choue, les clients dans la succursale peuvent
accder aux donnes rpliques sur le site concentrateur.
Distribution de donnes
Vous pouvez utiliser les espaces de noms DFS et la rplication DFS pour publier et rpliquer des
documents, des logiciels et dautres donnes mtier travers votre organisation. Les espaces
de noms DFS et les cibles de dossier peuvent accrotre la disponibilit des donnes et rpartir
la charge du client entre plusieurs serveurs de fichiers.
Procdure de dmonstration
Installer le rle DFS
Sous le rle Service de fichiers et de stockage (Install), installez les rles de service Espaces
de noms DFS et Rplication DFS.
10-40
Leon 5
10-41
La configuration dun espace de noms DFS est constitue de plusieurs tches comprenant la cration de la
structure despace de noms, la cration de dossiers dans lespace de noms et lajout de cibles de dossier.
Vous pouvez aussi choisir deffectuer des tches de gestion supplmentaires, telles que la configuration
de lordre des rfrences, la restauration du client et limplmentation de la rplication DFS. Cette leon
fournit des informations sur la manire deffectuer ces tches de configuration et de gestion pour
dployer une solution DFS efficace.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
expliquer comment crer et configurer des espaces de noms et des cibles de dossier DFS ;
Aprs avoir cr lespace de noms, ajoutez-y un dossier pour y placer le contenu que vous souhaitez
publier. Au cours de la cration de dossier, vous pouvez ajouter des cibles de dossier ou effectuer une
autre tche pour ajouter, modifier ou supprimer des cibles de dossier ultrieurement.
3.
10-42
Une fois que vous avez cr un dossier dans lespace de noms, la tche suivante consiste crer des cibles
de dossier. La cible de dossier est un chemin daccs UNC dun dossier partag sur un serveur spcifique.
Vous pouvez rechercher des dossiers partags sur des serveurs distants et crer des dossiers partags si
ncessaire. Vous pouvez galement ajouter plusieurs cibles de dossier pour augmenter la disponibilit
du dossier dans lespace de noms. Si vous ajoutez plusieurs cibles de dossier, pensez utiliser la
rplication DFS pour vous assurer que le contenu est identique entre les cibles.
4.
Une rfrence est une liste trie de cibles reues par un ordinateur client partir du serveur despace
de noms, lorsquun utilisateur accde une racine despace de noms ou un dossier. Lorsquun client
reoit la rfrence, il essaie daccder la premire cible dans la liste. Si la cible nest pas disponible,
la cible suivante est tente. Par dfaut, les cibles dans le site du client sont toujours rpertories en
premier dans la rfrence. Vous pouvez configurer la mthode pour trier des cibles en dehors du site
du client, sous longlet Rfrences de la bote de dialogue Proprits de espace de noms. Vous
avez le choix entre configurer le cot le plus bas, effectuer un tri de manire alatoire ou configurer
la mthode de tri de manire exclure les cibles en dehors du site du client.
Remarque : Les dossiers hritent des paramtres de rfrence partir de la racine despace
de noms. Vous pouvez remplacer les paramtres despace de noms sous longlet Rfrences de
la bote de dialogue Proprits du dossier, en excluant des cibles en dehors du site du client.
Dfinir une priorit cible pour remplacer le tri des rfrences. Vous pouvez disposer dune cible de
dossier spcifique que vous souhaitez que tout le monde utilise depuis tous les emplacements de site,
ou dfinir une cible de dossier spcifique qui doit tre utilise en dernier parmi toutes les cibles. Vous
pouvez configurer ces scnarios en remplaant lordre des rfrences sous longlet Avanc de la bote
de dialogue Proprits de cible de dossier.
Activer la restauration automatique du client. Si un client ne peut pas accder une cible
rfrence, la cible suivante est slectionne. La restauration vrifie que les clients sont restaurs
automatiquement la cible dorigine une fois quelle a t restaure. Vous pouvez configurer la
restauration automatique du client sous longlet Rfrences de la bote de dialogue Proprits de
espace de noms, en activant la case cocher Restauration automatique des clients sur les cibles
prfres. Tous les dossiers et cibles de dossier hritent de cette option. Cependant, vous pouvez
galement remplacer un dossier spcifique pour activer ou dsactiver les fonctions de restauration
automatique du client, si ncessaire.
Rpliquer des cibles de dossier laide de la rplication DFS. Vous pouvez utiliser la rplication DFS
pour assurer la synchronisation du contenu de cibles de dossier. La prochaine rubrique prsente
la rplication DFS en dtail.
Mthode de dlgation
10-43
Admins du domaine
Ajouter un serveur
despace de noms un
espace de noms bas sur
un domaine
Admins du domaine
Crer un groupe de
rplication ou activer la
rplication DFS sur un
dossier
Admins du domaine
Procdure de dmonstration
Crer un espace de noms
1.
2.
Sur LON-SVR1, crez un espace de noms bas sur un domaine nomm Research.
2.
Crez une cible de dossier pour Proposals qui pointe vers \\LON-SVR1\Proposal_docs.
3.
10-44
Une rfrence est une liste de cibles quun ordinateur client reoit dun contrleur de domaine ou dun
serveur despace de noms lorsque lutilisateur accde une racine ou un dossier avec des cibles despace
de noms. En dsactivant la rfrence dune cible de dossier, vous empchez des ordinateurs clients
daccder cette cible de dossier dans lespace de noms. Cela se rvle utile lorsque vous dplacez des
donnes entre serveurs.
Les clients ne contactent pas un serveur despace de noms pour obtenir une rfrence chaque fois quils
accdent un dossier dans un espace de noms ; au lieu de cela, des rfrences de racine de lespace de
noms sont mises en cache. Les clients qui utilisent une rfrence mise en cache renouvellent la valeur
de dure du cache de la rfrence chaque accs un fichier ou un dossier laide de cette rfrence.
Cela signifie que les clients utilisent la rfrence indfiniment, jusqu ce que le cache de la rfrence
soit effac ou que le client soit redmarr. Vous pouvez personnaliser la dure du cache de rfrence.
La valeur par dfaut est de 300 secondes (5 minutes).
10-45
Pour maintenir la cohrence dun espace de noms bas sur un domaine entre les serveurs despace de
noms, ceux-ci doivent interroger priodiquement AD DS pour obtenir les donnes despace de noms les
plus rcentes. Les deux modes dinterrogation despace de noms sont les suivants :
Optimiser pour la cohrence. Les serveurs despace de noms interrogent lmulateur de contrleur de
domaine principal (PDC) chaque fois quune modification de lespace de noms se produit. Il sagit de
la valeur par dfaut.
Optimiser pour lvolutivit. Chaque serveur despace de noms interroge son contrleur de domaine le
plus proche intervalles priodiques.
Leon 6
10-46
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
expliquer comment configurer les services Espace de noms DFS et Rplication DFS ;
Un dossier rpliqu est synchronis entre chaque serveur membre. La cration de plusieurs dossiers
rpliqus dans un groupe de rplication unique aide simplifier les lments suivants pour la totalit
du groupe :
Topologie
Planification de la rplication
10-47
Les dossiers rpliqus stocks sur chaque membre peuvent se trouver sur diffrents volumes dans le
membre. Les dossiers rpliqus nont pas besoin dtre des dossiers partags ni de faire partie dun espace
de noms, bien que le composant logiciel enfichable Gestion du systme de fichiers distribus DFS facilite
le partage des dossiers rpliqus et les publie ventuellement dans un espace de noms existant.
Topologies de rplication
Lorsque vous configurez un groupe de rplication, vous devez dfinir sa topologie. Vous pouvez choisir
entre les lments suivants :
Hub and Spoke. Pour slectionner cette option, vous avez besoin dau moins trois serveurs membres
dans le groupe de rplication. Cette topologie fonctionne bien dans des scnarios de publication o
les donnes proviennent du concentrateur et sont rpliques sur les membres spoke.
Maille pleine. Si dix membres ou moins font partie du groupe de rplication, cette topologie
fonctionne bien, chaque membre effectuant une rplication vers les autres, en fonction des besoins.
Aucune topologie. Choisissez cette option si vous souhaitez configurer manuellement une topologie
personnalise aprs avoir cr le groupe de rplication.
10-48
La rplication initiale se produit toujours entre le membre principal et ses partenaires de rplication
de rception. Aprs avoir reu tous les fichiers du membre principal, un membre rplique des fichiers
sur ses partenaires de rception. Ainsi, la rplication dun nouveau dossier rpliqu dmarre depuis le
membre principal puis progresse pour stendre aux autres membres du groupe de rplication.
Lors de la rception de fichiers du membre principal pendant la rplication initiale, les membres
de rception qui contiennent des fichiers qui ne figurent pas sur le membre principal dplacent ces
fichiers vers leur dossier DFSrPrivate\PreExisting respectif. Si un fichier est physiquement identique
un fichier sur le membre principal, ce fichier nest pas rpliqu. Si la version dun fichier sur le membre
de rception est diffrente de la version du membre principal, la version du membre de rception est
dplace vers le dossier des fichiers en conflit et supprims, et la compression diffrentielle distance
(RDC) peut tre utilise pour tlcharger uniquement les blocs modifis.
Pour dterminer si des fichiers sont identiques sur le membre principal et le membre de rception,
la rplication DFS compare les fichiers laide dun algorithme de hachage. Si les fichiers sont
identiques, seules les mtadonnes minimales sont transfres.
Procdure de dmonstration
Crer une cible de dossier pour la rplication
2.
Dclarez LON-SVR1 en tant que membre principal et crez une rplication de maille pleine.
10-49
Rapport de propagation. Fournit des informations sur la progression pour le fichier de test qui est
gnr pendant un test de propagation. Ce rapport permet de sassurer que la rplication est
fonctionnelle.
Vrifier la topologie. Utilisez cet outil pour vrifier le statut de la topologie du groupe de rplication et
gnrer un rapport correspondant. Ce rapport enregistre tous les membres qui sont dconnects.
Dfsrdiag.exe. Utilisez cet outil de ligne de commande pour surveiller ltat de rplication du service de
rplication DFS.
Impossibilit daccder lespace de noms DFS. Assurez-vous que le service Ouverture de session
rseau et le service DFS sont en cours dexcution sur tous les serveurs qui hbergent lespace de
noms.
Impossibilit de trouver les dossiers partags. Si les clients ne peuvent pas se connecter un dossier
partag, utilisez les techniques de rsolution des problmes standard pour vrifier que le dossier est
accessible et que les clients disposent dautorisations. Noubliez pas que les clients se connectent au
dossier partag directement.
Impossibilit daccder aux liens et aux dossiers partags DFS. Vrifiez que le dossier sous-jacent est
accessible et que le client a des autorisations dessus. Si un rplica existe, dterminez si le problme est
li la latence de la rplication (reportez-vous lentre de cette liste concernant la latence de la
rplication).
Problme li la scurit. Noubliez pas que le client accde au dossier partag directement. Par
consquent, vous devez vrifier le dossier partag et les autorisations de liste de contrle daccs sur
le dossier.
Latence de la rplication. Gardez lesprit que la topologie de rplication DFS est enregistre dans les
services AD DS du domaine. Par consquent, une latence est ncessaire avant quune modification
apporte lespace de noms DFS soit rplique sur tous les contrleurs de domaine.
10-50
A. Datum Corporation a dploy une nouvelle succursale. Ce bureau a un serveur unique. Pour prendre
en charge les exigences lies au personnel de la succursale, vous devez configurer DFS. Pour viter davoir
effectuer des sauvegardes distance, un partage de fichiers par service dans la succursale sera rpliqu
au sige social afin de centraliser la sauvegarde, et les fichiers de donnes de la succursale seront
rpliqus sur le serveur de la succursale afin de fournir un accs plus rapide.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateur(s) virtuel(s)
22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-SVR4
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd
Module 11
Configuration du chiffrement et de laudit avanc
Table des matires :
Vue d'ensemble du module
11-1
11-2
11-6
11-14
11-18
En tant quadministrateur du systme dexploitation Windows Server 2012, vous devez assurer la scurit
continue des fichiers et des dossiers sur vos serveurs. Vous pouvez chiffrer des fichiers sensibles laide
des outils Windows Server 2012 natifs. Cependant, vous devez prendre en compte certains lments et
certaines mthodes dimplmentation afin de fournir un environnement fiable.
En utilisant Windows Server 2012, vous pouvez comprendre comment les fichiers et les dossiers sont
utiliss sur vos ordinateurs Windows Server 2012. Vous pouvez galement auditer laccs aux fichiers et
dossiers. Laudit de laccs aux fichiers et dossiers vous donne un aperu de lutilisation gnrale, ainsi que
des informations plus critiques, telles que les tentatives dutilisation non autorises.
Ce module dcrit les outils de Windows Server 2012 qui peuvent vous aider fournir une scurit de
systme de fichiers accrue sur vos serveurs.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
Leon 1
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
dcrire EFS ;
11-3
La configuration par dfaut du systme EFS ne requiert aucune tche dadministration. Les utilisateurs
peuvent commencer chiffrer immdiatement les fichiers, et le systme EFS gnre automatiquement un
certificat utilisateur avec une paire de cls pour un utilisateur si elle nexiste pas. Lutilisation dune
autorit de certification (CA) pour mettre des certificats utilisateur amliore la facilit de gestion des
certificats.
Vous pouvez dsactiver le systme EFS sur les ordinateurs clients laide de la stratgie de groupe. Dans
les proprits de la stratgie, naviguez jusqu Configuration ordinateur\Stratgies\Paramtres
Windows\Paramtres de scurit\Stratgies de cl publique\Systme de fichiers EFS (Encrypting File
System), puis cliquez sur Ne pas autoriser.
Remarque : Si vous nutilisez pas des certificats manant dune autorit de certification et
souhaitez autoriser lutilisation du systme EFS sur un partage de fichiers, vous devez configurer
le compte du serveur de fichiers pour quil soit approuv pour la dlgation. Par dfaut, les
contrleurs de domaine sont approuvs pour la dlgation.
Le systme EFS utilise le chiffrement par cl publique pour protger la cl symtrique qui est requise pour
dchiffrer le contenu des fichiers. Chaque certificat utilisateur contient une cl prive et une cl publique
qui est utilise pour chiffrer la cl symtrique. Seul lutilisateur disposant du certificat et de sa cl prive
peut dchiffrer la cl symtrique.
1.
Quand un utilisateur chiffre un fichier, le systme EFS gnre une cl de chiffrement de fichier
(FEK, File Encryption Key) pour chiffrer les donnes. La cl FEK est chiffre avec la cl publique de
lutilisateur, puis la cl FEK chiffre est stocke avec le fichier. Ainsi, seul lutilisateur qui possde la cl
prive de chiffrement EFS correspondante peut dchiffrer le fichier. Une fois quun utilisateur a chiffr
un fichier, ce dernier demeure chiffr tant quil est stock sur le disque.
2.
Pour dchiffrer des fichiers, lutilisateur peut ouvrir le fichier et supprimer lattribut de chiffrement, ou
dchiffrer le fichier laide de la commande cipher. Dans ce cas, le systme EFS dchiffre la cl FEK
avec la cl prive de lutilisateur, puis dchiffre les donnes laide de la cl FEK.
Une meilleure mthode pour rcuprer des fichiers chiffrs au format EFS consiste utiliser un agent de
rcupration. Un agent de rcupration est une personne autorise dchiffrer tous les fichiers chiffrs au
format EFS. Lagent de rcupration par dfaut est ladministrateur de domaine. Cependant, vous pouvez
dlguer le rle dagent de rcupration nimporte quel utilisateur.
Quand vous ajoutez un nouvel agent de rcupration laide de la stratgie de groupe, il est
automatiquement ajout tous les nouveaux fichiers chiffrs, mais il nest pas automatiquement ajout
aux fichiers chiffrs existants. Comme lagent de rcupration dun fichier est dfini au moment o le
fichier est chiffr, un fichier chiffr doit tre accessible et enregistr pour mettre jour lagent de
rcupration.
11-5
Pour sauvegarder le certificat dagent de rcupration, vous devez toujours exporter le certificat avec la
cl prive et le conserver dans un emplacement scuris. Deux raisons justifient la sauvegarde de la cl
prive pour lagent de rcupration (ou la cl de rcupration) :
Se protger contre une dfaillance du systme. La cl dadministrateur de domaine utilise par dfaut
pour la rcupration EFS nest stocke que sur le premier contrleur du domaine. Si ce contrleur de
domaine rencontre un problme, la rcupration EFS est impossible.
vrifier quun compte dordinateur prend en charge le systme EFS sur un partage rseau ;
Procdure de dmonstration
Vrifier quun compte dordinateur prend en charge le systme EFS sur
un partage rseau
1.
2.
2.
3.
4.
5.
Chiffrez MonFichierChiffr.
6.
1.
Sur LON-DC1, naviguez jusqu C:\Utilisateurs\. Notez que Doug a un profil sur lordinateur. Il sagit
de lemplacement de stockage du certificat auto-sign. Il ne peut pas tre affich dans le composant
logiciel enfichable Certificats de la console MMC (Microsoft Management Console) moins que Doug
se connecte localement au serveur.
2.
2.
Leon 2
11-7
Les journaux daudit enregistrent diverses activits de votre entreprise dans le journal de scurit
Windows. Vous pouvez surveiller ces journaux daudit pour identifier les problmes qui ncessitent
un examen approfondi. Laudit peut galement enregistrer les activits russies, pour fournir une
documentation des modifications. Il peut galement enregistrer les tentatives infructueuses et
potentiellement malveillantes daccs aux ressources de lentreprise. Lors de la configuration de laudit,
vous devez spcifier les paramtres daudit, activer une stratgie daudit et surveiller les vnements des
journaux de scurit.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Le tableau suivant dfinit chaque stratgie daudit et ses paramtres par dfaut sur un contrleur de
domaine Windows Server 2012.
Paramtre de
stratgie daudit
Description
Auditer les
vnements de
connexion aux
comptes
Les connexions au
compte russies sont
audites.
Auditer les
vnements de
connexion
Auditer la gestion
des comptes
Auditer laccs au
service dannuaire
Auditer les
modifications de
stratgie
Les modifications de
stratgie russies sont
audites.
Auditer lutilisation
des privilges
(suite)
Paramtre de
stratgie daudit
Description
11-9
Auditer les
vnements
systme
Notez que la plupart des principaux vnements Active Directory sont dj audits par les contrleurs de
domaine, dans lhypothse o les vnements sont russis. Par consquent, la cration dun utilisateur, la
rinitialisation du mot de passe dun utilisateur, la connexion au domaine et la rcupration des scripts de
connexion dun utilisateur sont toutes enregistres.
Cependant, tous les vnements ayant chou ne sont pas audits par dfaut. Vous devrez peut-tre
implmenter un audit supplmentaire des checs en fonction des stratgies et des exigences en matire
de scurit informatique de votre organisation. Par exemple, si vous auditez les checs de connexion aux
comptes, vous pouvez exposer les tentatives malveillantes daccs au domaine en essayant de faon
rpte de vous connecter en tant que compte dutilisateur du domaine sans connatre le mot de passe
du compte. Laudit des checs de gestion des comptes peut rvler un utilisateur malveillant qui tente de
manipuler lappartenance dun groupe sensible sur le plan de la scurit.
Lune des tches les plus importantes que vous devez effectuer consiste quilibrer et aligner la
stratgie daudit sur les stratgies de votre entreprise, et sur ce qui est raliste. La stratgie de votre
entreprise peut stipuler que tous les checs de connexion et toutes les modifications russies des
utilisateurs et groupes Active Directory doivent tre audits. Pour ce faire, il suffit dutiliser les Services
de domaine Active Directory (AD DS). Mais comment, exactement, allez-vous utiliser ces informations ?
Les journaux daudit dtaills sont inutiles si vous ne savez pas comment grer efficacement ces journaux,
ou ne disposez pas des outils ncessaires pour les grer. Pour implmenter laudit, vous devez avoir une
stratgie daudit bien configure et disposer doutils permettant de grer les vnements audits.
Ouvrez la bote de dialogue Proprits du fichier ou du dossier, puis cliquez sur longlet Scurit.
2.
3.
4.
Pour ajouter une entre, cliquez sur Modifier. Longlet Audit souvre en mode dition.
5.
6.
11-10
pour surveiller les accs qui suggreraient que les utilisateurs excutent des actions plus importantes
que ce que vous aviez prvu, ce qui indiquerait que les autorisations sont trop gnreuses ;
pour identifier les accs inhabituels pour un compte particulier, ce qui pourrait indiquer quun
compte dutilisateur a t pirat.
pour surveiller les tentatives malveillantes daccs une ressource dont laccs a t refus ;
pour identifier les tentatives infructueuses daccs un fichier ou dossier auquel un utilisateur a
besoin daccder. Cela indiquerait que les autorisations ne sont pas suffisantes pour rpondre aux
besoins dune entreprise.
11-11
Les entres daudit demandent aux systmes dexploitation Windows dauditer les activits russies ou
non dun principal de scurit (utilisateur, groupe ou ordinateur) pour utiliser une autorisation spcifique.
Le contrle total comprend tous les niveaux daccs individuels ; par consquent, cette entre couvre tout
type daccs. Par exemple, si vous attribuez un contrle total au groupe Consultant, et si un membre de ce
groupe tente un type daccs et choue, cette activit est enregistre.
En gnral, les entres daudit refltent les entres dautorisation de lobjet, mais les entres daudit et les
entres dautorisation peuvent ne pas toujours correspondre. Dans le scnario ci-dessus, gardez lesprit
quun membre du groupe Consultants peut galement appartenir un autre groupe qui est autoris
accder au dossier. Comme cet accs est russi, lactivit nest pas enregistre. Par consquent, si vous
souhaitez restreindre laccs au dossier et en interdire laccs aux utilisateurs, vous devez surveiller les
tentatives daccs infructueuses. Cependant, vous devez galement auditer les accs russis pour identifier
les situations o un utilisateur accde au dossier par le biais dune autre appartenance de groupe qui est
potentiellement incorrecte.
Remarque : Les journaux daudit peuvent devenir volumineux assez rapidement. Par
consquent, configurez le strict minimum requis pour rpondre aux besoins de scurit de votre
socit. Quand vous spcifiez dauditer les succs et les checs dun dossier de donnes actif pour
le groupe Tout le monde en utilisant un contrle total (toutes les autorisations), cela gnre des
journaux daudit volumineux qui peuvent affecter les performances du serveur, et rendre presque
impossible la localisation dun vnement daudit spcifique.
Vous pouvez ensuite dfinir la stratgie pour auditer les vnements ayant russi, les vnements ayant
chou ou les deux. Le paramtre de stratgie doit spcifier laudit des tentatives ayant russi ou chou
qui correspondent au type dentre daudit dans la liste SACL de lobjet. Par exemple, pour enregistrer
une tentative daccs infructueuse du groupe Consultants au dossier Donnes confidentielles, vous devez
configurer la stratgie Auditer laccs aux objets pour auditer les checs, et vous devez configurer la liste
SACL du dossier Donnes confidentielles pour auditer les checs. Si la stratgie daudit audite uniquement
les succs, les entres ayant chou dans la liste SACL du dossier ne dclenchent pas la journalisation.
Remarque : Gardez lesprit que laccs audit et consign est la combinaison des
paramtres de la stratgie daudit et des entres daudit de fichiers et dossiers spcifiques. Si vous
avez configur les entres daudit pour enregistrer les checs, mais la stratgie active uniquement
lenregistrement des succs, vos journaux daudit demeurent vides.
11-12
11-13
Un administrateur de groupe a modifi les paramtres ou donnes sur les serveurs contenant des
informations financires.
La liste SACL correcte est applique chaque fichier et dossier ou la cl de Registre sur un partage
dordinateurs ou de fichiers, en tant que dispositif de protection vrifiable contre les accs non
dtects.
Gestion des comptes. Vous pouvez activer laudit des vnements relatifs la modification de
comptes dutilisateur, de comptes dordinateur et de groupes avec le groupe de paramtres Gestion
des comptes.
Suivi dtaill. Ces paramtres contrlent laudit des vnements de chiffrement, des vnements
de cration et darrt de processus Windows et des vnements dappel de procdure distante
(RPC, Remote Procedure Call).
Accs DS. Ces paramtres daudit impliquent laccs aux services dannuaire, y compris laccs gnral,
les modifications et la rplication.
11-14
Accs lobjet. Ces paramtres activent laudit pour tout accs AD DS, au Registre, une application
et au stockage de fichiers.
Changement de stratgie. Quand vous configurez ces paramtres, les modifications internes
des paramtres de stratgie daudit sont audites.
Utilisation de privilge. Dans lenvironnement Windows, Windows Server 2012 audite les tentatives
dutilisation de privilges quand vous configurez ces paramtres.
Systme. Les paramtres systme sont utiliss pour auditer les modifications de ltat du sous-systme
de scurit.
Audit de laccs global aux objets. Ces paramtres permettent de contrler les paramtres SACL de
tous les objets sur un ou plusieurs ordinateurs. Quand les paramtres de ce groupe sont configurs et
appliqus laide de la stratgie de groupe, lappartenance SACL est dtermine par la configuration
du paramtre de stratgie, et les listes SACL sont configures directement sur le serveur proprement
dit. Vous pouvez configurer les listes SACL pour laccs au systme de fichiers et au Registre sous
Audit de laccs global aux objets.
Procdure de dmonstration
Crer et modifier un objet de stratgie de groupe pour la configuration
de la stratgie daudit
1.
2.
3.
Modifiez lobjet de stratgie de groupe Audit de fichier et activez les vnements daudit Succs et
chec pour les paramtres Auditer le partage de fichiers dtaill et Auditer le stockage amovible.
4.
11-15
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est bas
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour
assister le sige social de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure
serveur et client Windows Server 2012.
Vous devez configurer lenvironnement Windows Server 2012 pour protger les fichiers sensibles, et
vrifier que laccs aux fichiers sur le rseau est audit convenablement. Vous devez galement configurer
laudit du nouveau serveur.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-CL1
22411B-LON-SVR1
Nom dutilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd
Module 12
Implmentation de la gestion des mises jour
Table des matires :
Vue d'ensemble du module
12-1
12-2
12-5
12-9
12-14
Windows Server Update Services (WSUS) amliore la scurit en appliquant des mises jour de scurit
aux serveurs au moment opportun. Il fournit linfrastructure permettant de tlcharger, de tester et
dapprouver les mises jour de scurit. Lapplication rapide de mises jour de scurit permet dviter
les incidents rsultant de vulnrabilits connues. Lorsque vous implmentez WSUS, vous devez garder
lesprit la configuration matrielle et logicielle requise, les paramtres configurer, et les mises jour
approuver ou supprimer selon les besoins de votre entreprise.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
Leon 1
Le rle WSUS fournit un point central de gestion des mises jour de vos ordinateurs sous Windows.
WSUS vous permet de crer un environnement de mise jour plus efficace dans votre entreprise et
dtre mieux inform de ltat gnral des mises jour des ordinateurs de votre rseau. Cette leon vous
prsente WSUS et dcrit les principales fonctionnalits du rle serveur WSUS.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Vous pouvez organiser les ordinateurs par groupes pour simplifier lapprobation des mises jour. Par
exemple, vous pouvez configurer un groupe pilote pour tre le premier tre utilis pour tester les mises
jour.
WSUS peut gnrer des rapports pour faciliter le contrle de linstallation des mises jour. Ces derniers
peuvent identifier les ordinateurs nayant pas appliqu les mises jour rcemment approuves. Vous
pouvez utiliser ces rapports pour dterminer pourquoi des mises jour ne sont pas appliques.
lestimation ;
lidentification ;
lvaluation et la planification ;
Dployer
Phase destimation
Lobjectif de la phase destimation consiste configurer un environnement de production prenant en
charge la gestion des mises jour pour des scnarios de routine et durgence. Il sagit dun processus
constant que vous utilisez pour dterminer la topologie la plus efficace de mise lchelle des
composants WSUS. mesure que votre entreprise volue, vous pouvez identifier la ncessit
dajouter dautres serveurs WSUS dautres emplacements.
Phase didentification
La phase didentification consiste identifier les nouvelles mises jour disponibles et dterminer
si elles sont appropries pour lentreprise. Vous pouvez soit configurer WSUS pour quil rcupre
automatiquement toutes les mises jour, soit rcuprer uniquement certains types de mises jour.
WSUS identifie galement les mises jour concernant les ordinateurs inscrits.
12-3
Une fois les mises jour pertinentes identifies, vous devez dterminer si elles fonctionnent correctement
dans votre environnement. Il est toujours possible que la combinaison spcifique de logiciels de votre
environnement rencontre des problmes avec une mise jour.
Pour valuer les mises jour, vous devez disposer dun environnement de test dans lequel vous appliquez
ces dernires afin de vrifier quelles fonctionnent correctement. Ce processus peut vous aider identifier
des dpendances permettant une mise jour de fonctionner correctement, et vous pouvez planifier
toutes les modifications devant tre apportes.
Phase de dploiement
Aprs avoir soigneusement test une mise jour et dtermin les ventuelles dpendances, vous pouvez
approuver son dploiement dans le rseau de production. Dans lidal, vous devez approuver la mise
jour pour un groupe pilote dordinateurs avant de lapprouver pour lensemble de lentreprise.
SQL Server 2012, SQL Server 2008, SQL Server 2005 SP2 ou Base de donnes interne Windows
La configuration matrielle minimale requise pour WSUS est peu prs identique celle des systmes
dexploitation Windows Server. Cependant, vous devez prendre en compte lespace disque dans le cadre
de votre dploiement. Un serveur WSUS a besoin denviron 10 gigaoctets (Go) despace disque et vous
devez allouer au moins 30 Go despace disque pour les mises jour tlcharges.
Un seul serveur WSUS peut prendre en charge des milliers de clients. Par exemple, un serveur WSUS
possdant 4 Go de RAM et deux UC quadruples cur peut prendre en charge jusqu 100 000 clients.
Cependant, dans la plupart des cas, une entreprise possdant autant de clients dispose gnralement
de plusieurs serveurs WSUS pour rduire la charge sur les liaisons rseau tendu.
Leon 2
12-5
Cette leon explique les caractristiques du dploiement des mises jour avec WSUS sur les ordinateurs
client. Le dploiement des mises jour sur les clients Windows Update via WSUS peut comporter
de nombreux avantages. Vous pouvez configurer les mises jour pour quelles soient tlcharges,
approuves et installes automatiquement, sans intervention de la part dun administrateur. Vous pouvez
galement contrler davantage le processus de mise jour et fournir un environnement contrl dans
lequel dployer ces dernires. Vous pouvez effectuer des tests dans un groupe isol dordinateurs de test
avant dapprouver une mise jour dans lensemble de lentreprise.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
dcrire comment configurer la fonction Mises jour automatiques pour quelle utilise WSUS ;
Pour les environnements Active Directory Domain Services (AD DS), la fonction Mises jour
automatiques est gnralement configure dans un objet de stratgie de groupe en dfinissant les
paramtres situs sous Configuration ordinateur. Pour accder ces paramtres, dveloppez Stratgies,
Modles dadministration, Composants Windows, puis localisez le nud Windows Update.
En plus de configurer la source pour les mises jour, vous pouvez galement utiliser un objet de stratgie
de groupe pour configurer les paramtres suivants :
La frquence des mises jour. Ce paramtre dtermine quelle frquence les mises jour sont
dtectes.
Le calendrier dinstallation des mises jour. Ce paramtre dtermine quel moment les mises jour
sont installes. Il dtermine galement le moment o les mises jour sont reprogrammes,
lorsquelles nont pas pu tre installes lheure planifie.
Le groupe dordinateurs par dfaut dans WSUS. Ce paramtre dtermine le groupe dordinateurs
dans lequel lordinateur sera enregistr lors de linscription initiale avec WSUS.
Administration de WSUS
La console dadministration de WSUS est un
composant logiciel enfichable MMC que vous
pouvez utiliser pour administrer WSUS. Vous
pouvez utiliser cet outil pour :
La surveillance fait partie intgrante de la gestion dun service. WSUS consigne des informations
dintgrit dtailles dans le journal des vnements. En outre, vous pouvez tlcharger un pack
dadministration pour faciliter la surveillance dans Microsoft System Center 2012 - Operations Manager.
Les ordinateurs client effectuent des mises jour en fonction dune configuration manuelle ou, dans la
plupart des environnements dAD DS, dune stratgie de groupe. Dans certains cas, vous souhaitez peuttre lancer le processus de mise jour en dehors du calendrier habituel. Vous pouvez utiliser loutil
wuauclt.exe pour contrler le comportement de mise jour automatique sur des ordinateurs client
Windows Update. La commande suivante lance la dtection des mises jour Microsoft daprs
Windows Update.
Wuauclt.exe /detectnow
12-7
Dans Windows Server 2012, WSUS comprend des applets de commande Windows PowerShell, que vous
pouvez utiliser pour grer votre serveur WSUS. Le tableau ci-aprs rpertorie ces applets de commande.
Applet de commande
Description
Add-WsusComputer
Approve-WsusUpdate
Deny-WsusUpdate
Get-WsusClassification
Get-WsusComputer
Get-WsusProduct
Get-WsusServer
Get-WsusUpdate
Invoke-WsusServerCleanup
Set-WsusClassification
Set-WsusProduct
Set-WsusServerSynchronization
Vous pouvez crer des groupes dordinateurs personnaliss pour contrler la manire dont les mises
jour sont appliques. En gnral, les groupes dordinateurs personnaliss contiennent des ordinateurs
possdant des caractristiques semblables. Par exemple, vous pouvez crer un groupe dordinateurs
personnalis pour chaque service de votre entreprise. Vous pouvez galement crer un groupe
dordinateurs personnalis pour un environnement de test o vous dployez dabord les mises jour
pour les tester. Il est galement frquent de regrouper les serveurs sparment des ordinateurs client.
Certaines mises jour ne sont pas considres comme critiques et nont aucune implication en termes de
scurit. Vous pouvez dcider de ne pas implmenter certaines de ces mises jour. Pour toutes les mises
jour que vous dcidez de ne pas implmenter, vous pouvez refuser la mise jour. Une fois une mise jour
refuse, elle est supprime de la liste des mises jour sur le serveur WSUS dans laffichage par dfaut.
Si vous appliquez une mise jour et dcouvrez quelle provoque des problmes, vous pouvez utiliser
WSUS pour la supprimer. Cependant, cela est possible uniquement si cette mise jour spcifique prend
en charge la suppression. La plupart des mises jour prennent en charge la suppression.
Lorsque vous regardez les dtails dune mise jour, ils vous indiquent si cette dernire est remplace par
une autre mise jour. Les mises jour remplaces ne sont en gnral plus requises, car une mise jour
plus rcente comprend entre autres les changements de celle-ci. Les mises jour remplaces ne sont pas
refuses par dfaut, car elles sont parfois encore requises. Par exemple, une mise jour plus ancienne
peut tre requise si certains serveurs nexcutent pas le dernier Service Pack.
12-9
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social se situe
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour
assister le site de Londres et dautres succursales. A. Datum a rcemment dploy une infrastructure
serveur et client Windows Server 2012.
A. Datum appliquait manuellement les mises jour sur les serveurs dun site distant. Elle a ainsi rencontr
des difficults identifier les serveurs pour lesquels des mises jour avaient ou non t appliques.
Il sagit dun problme de scurit potentiel. Vous avez t invit automatiser le processus de mise
jour en tendant le dploiement du WSUS dA. Datum pour quil comprenne la succursale.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-SVR4
22411B-LON-CL1
Nom dutilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd
Module 13
Surveillance de Windows Server 2012
Table des matires :
Vue d'ensemble du module
13-1
13-2
13-9
13-18
13-21
13-27
13-31
Quand une dfaillance du systme ou un vnement qui affecte les performances systme se produit,
vous devez pouvoir rapidement et efficacement procder au dpannage ou la rsolution du problme.
Les variables et les possibilits de lenvironnement rseau moderne tant nombreuses, la capacit
dterminer la cause premire repose souvent sur un ensemble de mthodes et doutils efficaces danalyse
des performances.
Il est possible dutiliser des outils danalyse des performances pour identifier les composants qui
ncessitent des rglages et des rsolutions de problmes supplmentaires. En identifiant ces composants,
vous pouvez amliorer le rendement de vos serveurs.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
surveiller les journaux des vnements pour afficher et interprter les vnements survenus.
Leon 1
Outils danalyse
Windows Server 2012 comporte plusieurs outils permettant danalyser le systme dexploitation et les
applications sur un ordinateur. Vous pouvez utiliser ces outils pour optimiser votre systme et rsoudre
des problmes. Utilisez ces outils et compltez-les avec vos propres outils lorsque cela est ncessaire.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
Utilisateurs. Longlet Utilisateurs affiche la consommation de ressources par utilisateur. Vous pouvez
galement dvelopper la vue Utilisateur pour afficher des informations plus dtailles sur les
processus spcifiques excuts par un utilisateur.
13-3
Dtails. Longlet Dtails rpertorie tous les processus en cours dexcution sur le serveur et fournit
des statistiques sur la consommation du processeur, de la mmoire et sur toute autre consommation
de ressources. Vous pouvez utiliser cet onglet pour grer les processus en cours dexcution. Par
exemple, vous pouvez arrter un processus, arrter un processus et tous les processus associs et
modifier les valeurs de priorit des processus. En modifiant la priorit dun processus, vous
dterminez sa consommation de ressources de processeur. En augmentant la priorit, le processus
peut demander plus de ressources de processeur.
Services. Longlet Services fournit une liste des services Windows en cours dexcution, ainsi que les
informations relatives, notamment si le service est en cours dexcution et la valeur didentit de
processeur (PID) du service en cours dexcution. Vous pouvez dmarrer et arrter des services en
utilisant la liste situe dans longlet Services.
En gnral, pensez utiliser le Gestionnaire des tches lorsquun problme li aux performances se
produit pour la premire fois. Par exemple, vous pouvez examiner les processus en cours dexcution
pour dterminer si un programme particulier utilise des ressources de processeur excessives. Gardez
toujours lesprit que le Gestionnaire des tches affiche une capture instantane de la consommation
de ressources actuelle, et vous pouvez galement tre amen examiner les donnes dhistorique pour
avoir une ide prcise des performances et de la rponse sous la charge dun serveur.
valeur maximale ;
valeur minimale.
LAnalyseur de performances fonctionne en vous fournissant une collection dobjets et de compteurs qui
enregistrent les donnes relatives lutilisation des ressources de lordinateur.
Il existe de nombreux compteurs que vous pouvez analyser et surveiller en fonction de vos besoins.
Processeur > % Temps processeur. Ce compteur mesure le pourcentage de temps que le processeur
utilise pour excuter des threads actifs. Si ce pourcentage est suprieur 85 %, le processeur est
surcharg et le serveur peut ncessiter un processeur plus rapide. En dautres termes, ce compteur
affiche le pourcentage de temps quun thread donn a utilis pour excuter des instructions. Une
instruction est lunit dexcution de base dans un processeur, et un thread est lobjet qui excute des
instructions. Le code qui gre certaines interruptions matrielles et les conditions dinterception sont
inclus dans ce compte.
Processeur > Interruptions/s. Ce compteur affiche la frquence, en incidents par seconde, laquelle
le processeur a reu et gr les interruptions matrielles.
Le compteur Mmoire > Pages/s mesure la frquence laquelle les pages sont lues ou crites sur le
disque pour rsoudre les dfauts de page. Si une pagination excessive produit une valeur suprieure
1 000, il peut y avoir une fuite de mmoire. En dautres termes, le compteur Mmoire > Pages/s affiche
le nombre de dfauts de page par seconde. Un dfaut de page se produit quand la page de mmoire
demande est introuvable dans la mmoire RAM car elle existe actuellement dans le fichier de pagination.
Une augmentation de ce compteur indique quune pagination supplmentaire se produit, ce qui suggre
un manque de mmoire physique.
13-5
Lobjet de performances Disque physique se compose de compteurs qui surveillent les disques durs ou
fixes. Les disques contiennent les donnes de fichiers, de programmes et de pagination. Ils sont lus pour
rcuprer ces lments, et sont crits pour y enregistrer des modifications. Les valeurs totales des
compteurs de disque physique correspondent au total de toutes les valeurs des disques logiques (ou
partitions) dans lesquels elles sont divises. Les principaux compteurs de disque sont les suivants :
Disque physique > Pourcentage du temps disque. Ce compteur indique lactivit dun disque
particulier, et il mesure le pourcentage de temps pendant lequel le disque tait occup pendant
lintervalle dchantillonnage. Un compteur avoisinant 100 pour cent indique que le disque est
occup presque tout le temps, et un goulot dtranglement au niveau des performances est peut-tre
imminent. Vous pouvez ventuellement remplacer le systme de disque actuel par un autre plus
rapide.
Disque physique > Longueur moyenne de file dattente du disque. Ce compteur indique le nombre
de demandes de disque en attente de traitement par le gestionnaire dE/S dans Windows 7 un
moment donn. Si cette valeur est plus de deux fois plus importante que le nombre de piles, le
disque lui-mme peut tre engorg. Plus la file est longue, moins le dbit du disque est satisfaisant.
Remarque : Le dbit est la quantit totale de trafic qui passe par un point de connexion
rseau donn pour chaque unit de temps. La charge de travail est la quantit de traitement
effectu par lordinateur un moment donn.
Les charges de travail peuvent ncessiter laccs plusieurs rseaux diffrents qui doivent rester scuriss.
Cest le cas notamment des connexions pour :
En analysant les compteurs de performance du rseau, vous pouvez valuer les performances de votre
rseau. Les principaux compteurs de rseau sont les suivants :
Interface rseau > Bande passante actuelle. Ce compteur indique la bande passante actuelle utilise
sur linterface rseau en bits par seconde (bits/s). La plupart des topologies de rseau ont des bandes
passantes potentielles maximales exprimes en mgabits par seconde (Mbits/s). Par exemple,
Ethernet peut fonctionner des bandes passantes de 10 Mbits/s, 100 Mbits/s, 1 Gigabit par
seconde (Gbits/s) et plus. Pour interprter ce compteur, divisez la valeur donne par 1 048 576 pour
Mbits/s. Si la valeur est proche de la bande passante potentielle maximale du rseau, vous pouvez
implmenter un rseau commut ou effectuer une mise niveau vers un rseau qui prend en charge
des bandes passantes plus leves.
Interface rseau > Longueur de la file dattente de sortie. Ce compteur indique la longueur actuelle
de la file dattente des paquets de sortie sur linterface rseau slectionne. Une valeur croissante, ou
constamment suprieure deux, peut indiquer un goulot dtranglement du rseau qui ncessite un
examen.
Interface rseau > Total des octets/s. Mesure la frquence laquelle les octets sont envoys et reus
sur chaque carte rseau, y compris les caractres de trame. Si plus de 70 % de linterface est utilise,
le rseau est satur.
13-7
LObservateur dvnements de Windows Server 2012 contient les fonctionnalits importantes suivantes :
Inclusion de plusieurs nouveaux journaux. Vous pouvez accder aux journaux de plusieurs
composants et sous-systmes individuels.
Possibilit dafficher plusieurs journaux. Vous pouvez filtrer des vnements spcifiques dans plusieurs
journaux, ce qui facilite lexamen et la rsolution des problmes susceptibles dapparatre dans
plusieurs journaux.
Inclusion de vues personnalises. Vous pouvez utiliser le filtrage pour limiter la recherche aux
vnements qui vous intressent, et vous pouvez sauvegarder ces vues filtres.
Possibilit de configurer les tches planifies pour sexcuter en rponse des vnements. Vous
pouvez automatiser les rponses aux vnements. LObservateur dvnements est intgr au
Planificateur de tches.
Possibilit de crer et de grer les abonnements aux vnements. Vous pouvez collecter des
vnements partir dordinateurs distants, et les enregistrer localement.
Remarque : Pour collecter des vnements partir dordinateurs distants, vous devez crer
une rgle entrante dans le Pare-feu Windows pour permettre la gestion du journal des
vnements Windows.
LObservateur dvnements suit les informations dans plusieurs journaux diffrents. Ces journaux
fournissent des informations dtailles qui comprennent :
description de lvnement ;
date de loccurrence ;
lien vers Microsoft TechNet pour obtenir des informations supplmentaires sur lvnement.
Description et utilisation
Journal de scurit
Journal de configuration
Journal systme
vnements transfrs
Admin
Oprations
Analyse
Dbogage
13-9
Les journaux dadministration prsentent un intrt pour les professionnels de linformatique qui utilisent
lObservateur dvnements pour rsoudre des problmes. Ces journaux expliquent comment rsoudre
des problmes, et ciblent principalement les utilisateurs finaux, les administrateurs et le personnel de
support. Les vnements des canaux dadministration indiquent un problme et une solution bien dfinie
sur lesquels un administrateur peut agir.
Les vnements du journal des oprations sont galement utiles pour les professionnels de linformatique,
mais ils peuvent ncessiter une interprtation supplmentaire. Vous pouvez utiliser les vnements
oprationnels pour analyser et diagnostiquer un problme ou une occurrence et dclencher des outils
ou des tches en fonction du problme ou de loccurrence.
Les journaux danalyse et de dbogage ne sont pas aussi conviviaux. Les journaux danalyse stockent les
vnements qui suivent un problme, et ils enregistrent souvent un volume lev dvnements.
Les dveloppeurs utilisent les journaux de dbogage quand ils dboguent des applications. Par dfaut, les
journaux danalyse et de dbogage sont masqus et dsactivs.
Par dfaut, les fichiers journaux Windows ont une taille de 1 028 kilo-octets (Ko), et les vnements sont
remplacs autant que ncessaire. Si vous souhaitez effacer un journal manuellement, vous devez tre
connect au serveur en tant quadministrateur local. Si vous souhaitez configurer de manire centralise
les paramtres des journaux dvnements, vous pouvez utiliser la stratgie de groupe. Ouvrez lditeur
de gestion des stratgies de groupe pour votre objet de stratgie de groupe slectionn, puis naviguez
jusqu Configuration ordinateur\Stratgies\Modles dadministration\Composants Windows\
Service Journal des vnements.
Pour chaque journal, vous pouvez dfinir :
Leon 2
13-10
Vous pouvez utiliser lAnalyseur de performances pour collecter, analyser et interprter les donnes lies
aux performances des serveurs de votre organisation. Cela vous permet de prendre des dcisions avises
relatives la planification de la capacit. Cependant, pour prendre des dcisions avises, il est important
que vous sachiez comment tablir une base de rfrence des performances, utiliser des ensembles de
collecteurs de donnes et utiliser des rapports pour vous aider comparer les donnes de performances
votre base de rfrence.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
expliquer comment capturer les donnes de compteur avec un ensemble de collecteurs de donnes ;
identifier les principaux paramtres que vous devez suivre lors de la surveillance des services
dinfrastructure rseau ;
Vous devez examiner attentivement la valeur des donnes de performance pour vrifier quelles refltent
votre environnement serveur rel.
En outre, vous devez envisager une analyse des performances, ainsi que des plans de croissance et de
mise niveau commerciaux ou technologiques. Il est possible de rduire le nombre de serveurs en service
une fois que vous avez mesur les performances et valu lenvironnement requis.
13-11
En analysant les tendances de performance, vous pouvez prdire quand la capacit existante sera puise.
Examinez lanalyse de lhistorique par rapport aux besoins de votre entreprise et dterminez partir de
vos conclusions quand la capacit des serveurs devra tre augmente. Certains pics sont associs aux
activits uniques telles que les commandes importantes. Dautres pics se produisent rgulirement,
comme le paiement mensuel des salaires. Ces pics peuvent ncessiter une capacit plus importante pour
rpondre laugmentation du nombre demploys.
La prvision des besoins en termes de capacit des serveurs est obligatoire pour toutes les entreprises.
Dans le cadre de la planification des besoins, laugmentation de la capacit des serveurs est souvent
ncessaire pour rpondre aux objectifs de lentreprise. En alignant votre stratgie informatique sur la
stratgie de votre entreprise, vous pouvez atteindre les objectifs fixs.
En outre, vous devez galement envisager de virtualiser votre environnement pour rduire le nombre de
serveurs physiques requis. Vous pouvez consolider les serveurs en implmentant le rle Hyper-V dans
lenvironnement Windows Server 2012.
Planification de la capacit
La planification de la capacit est centre sur lvaluation de la charge de travail du serveur, du nombre
dutilisateurs quil peut prendre en charge et des mthodes dvolutivit du systme pour quil puisse
rpondre ultrieurement une charge de travail plus importante et un plus grand nombre dutilisateurs.
Lajout de services et dapplications de serveur ont un impact sur les performances de votre infrastructure
informatique. Ces services peuvent recevoir le matriel ddi bien quils utilisent souvent le mme rseau
local (LAN) et la mme infrastructure de rseau sans fil (WAN). La planification des besoins en termes
de capacit doit inclure tous les composants matriels et doit tenir compte de limpact des nouveaux
serveurs, services et applications sur linfrastructure existante. Les facteurs tels que lalimentation, le
refroidissement et la capacit du rack sont souvent oublis pendant les premires phases de planification
de laugmentation de la capacit. Vous devez rflchir la manire dont vous allez adapter vos serveurs
une augmentation de la charge de travail.
Les tches telles que la mise niveau vers Windows Server 2008 R2 et la mise jour des systmes
dexploitation peuvent avoir un impact sur vos serveurs et votre rseau. Une mise jour peut parfois
produire un problme avec une application. Une analyse prcise des performances avant et aprs
lapplication des mises jour peut identifier les problmes.
Laugmentation de lactivit dune entreprise implique un plus grand nombre dutilisateurs prendre
en charge. Vous devez tenir compte des besoins de lentreprise lorsque vous achetez du matriel. Vous
devrez ainsi augmenter le nombre de serveurs ou la capacit du matriel existant lorsque de nouveaux
besoins lexigent.
Les besoins en termes de capacit sont les suivants :
plus de serveurs ;
matriel supplmentaire ;
13-12
Un goulot dtranglement au niveau des performances se produit quand un ordinateur ne peut pas grer
les demandes actuelles pour une ressource spcifique. La ressource peut tre un composant cl, tel quun
disque, une mmoire, un processeur ou un rseau. La pnurie dun composant dans un package
dapplications peut provoquer le goulot dtranglement.
En utilisant rgulirement les outils danalyse des performances et en comparant les rsultats votre base
de rfrence et aux donnes dhistorique, vous pouvez identifier les goulots dtranglement au niveau des
performances avant quils affectent les utilisateurs.
Une fois que vous avez identifi un goulot dtranglement, vous devez dcider comment le supprimer.
Les options de suppression dun goulot dtranglement sont les suivantes :
Un ordinateur confront une grave pnurie de ressources peut cesser de traiter les demandes des
utilisateurs, ce qui ncessite une attention immdiate. Cependant, si votre ordinateur rencontre un goulot
dtranglement, mais continue de fonctionner dans des limites acceptables, vous pouvez dcider de
diffrer les modifications jusqu ce que vous rsolviez la situation ou que vous ayez la possibilit
de prendre des mesures correctives.
Processeur
La vitesse du processeur est un facteur important pour dterminer la capacit globale du processeur de
votre serveur. Elle est dtermine par le nombre doprations excutes dans une priode mesure. Les
serveurs quips de plusieurs processeurs ou de processeurs plusieurs curs, excutent gnralement
les tches qui sollicitent beaucoup le processeur avec une plus grande efficacit, et sont souvent plus
rapides que les ordinateurs quips dun processeur unique ou de processeurs cur unique.
Larchitecture du processeur est galement importante. Les processeurs 64 bits peuvent accder
davantage de mmoire et ont un impact significatif sur les performances. Cependant, il est important
de noter que Windows Server 2012 et Windows Server 2008 R2 sont disponibles en versions 64 bits
uniquement.
Disque
Les disques durs stockent les programmes et les donnes. Par consquent, le dbit des disques affecte
la vitesse de la station de travail ou du serveur, en particulier quand la station de travail ou le serveur
excute des tches qui sollicitent beaucoup les disques. La plupart des disques durs ont des composants
mobiles, et le placement des ttes de lecture et dcriture sur la partie approprie du disque pour
rcuprer les informations demandes peut prendre du temps.
13-13
En slectionnant des disques plus rapides et en utilisant des collections de disques pour optimiser les
temps daccs, vous pouvez limiter le risque que le sous-systme de disque cre un goulot dtranglement
au niveau des performances.
Vous devez galement garder lesprit que les informations sur le disque sont dplaces dans la mmoire
avant quelles soient utilises. Sil y a un excdent de mmoire, le systme dexploitation Windows Server
cre un cache de fichier pour les lments rcemment crits ou lus partir des disques. Linstallation
dune mmoire supplmentaire dans un serveur peut souvent amliorer les performances du soussystme de disque, car laccs au cache est plus rapide que le dplacement des informations dans la
mmoire.
Mmoire
Les programmes et les donnes sont chargs partir du disque dans la mmoire avant que le programme
manipule les donnes. Dans les serveurs qui excutent plusieurs programmes ou lorsque les ensembles de
donnes sont trs volumineux, laugmentation de la quantit de mmoire installe peut aider amliorer
les performances du serveur.
Windows Server utilise un modle de mmoire dans lequel les demandes de mmoire excessives ne sont
pas refuses, mais traites par un processus appel pagination. Pendant la pagination, les donnes et les
programmes en mmoire qui ne sont pas en cours dutilisation par les processus sont dplacs dans une
zone du disque dur, appele fichier de pagination. Cela libre de la mmoire physique pour rpondre aux
demandes excessives, mais comme un disque dur est comparativement lent, il a un impact ngatif sur
les performances de la station de travail. En ajoutant de la mmoire et en utilisant une architecture de
processeur 64 bits qui prend en charge une mmoire de plus grande taille, vous pouvez rduire la
ncessit dune pagination.
Rseau
Il est facile de sous-estimer limpact dun rseau aux performances mdiocres, car il nest pas aussi facile
dterminer ou mesurer que les trois autres composants de la station de travail. Cependant, le rseau est
un composant crucial pour lanalyse des performances, car les priphriques rseau stockent un grand
nombre de programmes, de donnes de traitement et dapplications.
13-14
Les ensembles de collecteurs de donnes peuvent contenir les types de collecteurs de donnes suivants :
Donnes de suivi dvnements. Ce collecteur de donnes fournit des informations sur les activits et
les vnements du systme, qui sont souvent utiles pour la rsolution des problmes.
Informations sur la configuration systme. Ce collecteur de donnes vous permet denregistrer ltat
actuel des cls de Registre, ainsi que les modifications apportes ces cls.
Vous pouvez crer un ensemble de collecteurs de donnes partir dun modle, dun ensemble de
collecteurs de donnes existant dans un affichage Analyseur de performances ou en slectionnant des
collecteurs de donnes individuels et en dfinissant chaque option dans les proprits de lensemble de
collecteurs de donnes.
Procdure de dmonstration
Crer un ensemble de collecteurs de donnes
1.
2.
3.
Crez un ensemble de collecteurs de donnes Dfini par lutilisateur avec les compteurs cls
suivants :
4.
Ouvrez une invite de commandes, puis utilisez la commande fsutil pour crer un fichier volumineux.
2.
3.
Crez une copie du fichier volumineux sur le disque dur local en le copiant partir de LON-DC1.
4.
13-15
1.
2.
Slectionnez loutil Analyseur de performances,, puis slectionnez Affiche les donnes du journal.
3.
Ajoutez les donnes que vous avez collectes dans lensemble de collecteurs de donnes
au graphique.
4.
Les compteurs dalerte vous permettent de crer un ensemble de collecteurs de donnes personnalis
qui contient les compteurs de performance pour lesquels vous pouvez configurer des actions qui se
produisent selon que les compteurs mesurs sont suprieurs ou infrieurs aux limites que vous dfinissez.
Une fois que vous avez cr lensemble de collecteurs de donnes, vous devez configurer les actions que
le systme excutera quand les critres dalerte seront remplis.
Les compteurs dalerte sont utiles dans les situations o un problme de performances apparat
priodiquement, et vous pouvez utiliser les actions pour excuter des programmes, gnrer des
vnements ou une combinaison de ces lments.
Cette dmonstration montre comment :
Procdure de dmonstration
Crer un ensemble de collecteurs de donnes avec un compteur dalerte
1.
2.
3.
Dfinissez le seuil de telle sorte quil soit suprieur 10 pour cent et quil gnre une entre dans le
journal dvnements lorsque cette condition est remplie.
4.
Ouvrez une invite de commandes, puis excutez un outil pour gnrer une charge sur le serveur.
2.
Procdure de dmonstration
Afficher un rapport de performances
1.
2.
3.
13-16
Elle permet de rsoudre les problmes de serveurs. L o les performances du serveur ont dcru, au
fil du temps ou au cours des pointes dactivit, vous pouvez aider identifier des causes possibles et
prendre les mesures ncessaires. Ainsi, il est possible de rtablir le service dans les limites de votre
contrat de niveau de service (SLA).
Elle vous permet dutiliser lAnalyseur de performances pour collecter et analyser les donnes
appropries.
13-17
Le systme DNS (Domain Name System) fournit des services de rsolution de noms sur votre rseau.
Vous pouvez surveiller le rle serveur DNS de Windows Server 2012 pour dterminer les aspects suivants
de votre infrastructure DNS :
des statistiques gnrales sur le serveur DNS, y compris le total des requtes et des rponses qui sont
traites par le serveur DNS ;
les compteurs des protocoles UDP (User Datagram Protocol) ou TCP (Transmission Control Protocol),
pour mesurer les requtes DNS et les rponses qui sont traites par le serveur DNS, respectivement,
laide de lun ou lautre de ces protocoles de transport ;
les compteurs de mise jour dynamiques et scuriss, pour mesurer les activits dinscription et de
mise jour qui sont gnres par les clients dynamiques ;
les compteurs de recherche rcursive, pour mesurer des requtes et des rponses quand le service
Serveur DNS utilise la rcursivit pour rechercher et rsoudre entirement des noms DNS la
demande des clients ;
les compteurs de transfert de zone, y compris les compteurs spcifiques pour mesurer ce qui suit :
tout transfert de zone (AXFR), transfert incrmentiel de zone (IXFR) et toute activit de notification
de mise jour.
Le service de protocole DHCP (Dynamic Host Configuration Protocol) fournit des services dynamiques de
configuration IP sur votre rseau. Vous pouvez surveiller le rle serveur DHCP de Windows Server 2012
pour dterminer les aspects suivants de votre serveur DHCP :
La longueur moyenne de file dattente indique la longueur actuelle de la file dattente interne des
messages du serveur DHCP. Cette valeur reprsente le nombre de messages non traits que reoit le
serveur. Une valeur leve pourrait indiquer un trafic serveur lev.
Le compteur de millisecondes par paquet (moy.) indique le temps moyen en millisecondes ncessaire
au serveur DHCP pour traiter chaque paquet quil reoit. Cette valeur varie en fonction du serveur et
de son sous-systme dE/S. La prsence dun pic pourrait indiquer un problme, soit avec le soussystme dE/S devenant plus lent, soit en raison dune surcharge de traitement intrinsque sur le
serveur.
13-18
Les ordinateurs virtuels invits fonctionnent comme des ordinateurs normaux. Les ordinateurs virtuels
invits qui sont hbergs sur le mme hyperviseur restent indpendants les uns des autres. Vous pouvez
excuter plusieurs ordinateurs virtuels qui utilisent diffrents systmes dexploitation sur un serveur hte
de manire simultane, condition que le serveur hte dispose de suffisamment de ressources.
Quand vous crez un ordinateur virtuel, vous configurez les caractristiques qui dfinissent les ressources
disponibles pour cet invit. Ces ressources comprennent la mmoire, les processeurs, la configuration du
disque et la technologie de stockage et la configuration de la carte rseau. Ces ordinateurs virtuels
fonctionnent dans les limites des ressources que vous leur allouez, et peuvent rencontrer les mmes
goulots dtranglement des performances que les serveurs htes. Par consquent, il est important que
vous surveilliez les ordinateurs virtuels de la mme manire, et avec les mmes outils, que vous surveilliez
vos serveurs htes.
Remarque : Outre la surveillance des ordinateurs virtuels invits, gardez toujours lesprit
que vous devez surveiller lhte qui les excute.
Microsoft fournit un outil, Contrle des ressources Hyper-V, qui vous permet de surveiller lutilisation de
ressources sur vos ordinateurs virtuels.
Le contrle des ressources vous permet de suivre lutilisation des ressources des ordinateurs virtuels
hbergs sur des ordinateurs Windows Server 2012 o le rle Hyper-V est install.
Grce au contrle des ressources, vous pouvez mesurer les paramtres suivants sur des ordinateurs
virtuels Hyper-V individuels :
13-19
En mesurant la quantit de ressources utilise par chaque ordinateur virtuel, une organisation peut
facturer des services ou des clients en fonction de lutilisation de leurs ordinateurs virtuels hbergs,
au lieu dappliquer un forfait fixe par ordinateur virtuel. Une organisation comportant uniquement des
clients internes peut galement utiliser ces mesures pour dgager des modles dutilisation et prvoir
de futures extensions.
Vous effectuez des tches de contrle des ressources laide des applets de commande
Windows PowerShell du module Hyper-V Windows PowerShell. Il nexiste pas doutil dinterface
graphique utilisateur qui vous permet deffectuer cette tche. Vous pouvez utiliser les applets de
commande suivants pour effectuer des tches de contrle des ressources :
Measure-VM. Affiche des statistiques de contrle des ressources pour un ordinateur virtuel spcifique.
Leon 3
13-20
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
LObservateur dvnements vous permet de filtrer des vnements spcifiques dans plusieurs journaux,
et dafficher tous les vnements qui peuvent tre lis au problme que vous examinez. Pour spcifier
un filtre qui couvre plusieurs journaux, vous devez crer une vue personnalise.
Crez des vues personnalises dans le volet Actions de lObservateur dvnements. Vous pouvez filtrer
les vues personnalises en fonction de plusieurs critres, notamment :
Procdure de dmonstration
Afficher les vues personnalises de rles serveur
2.
13-21
Dans lObservateur dvnements, examinez les vues personnalises Rles du serveur prdfinies.
Crez une vue personnalise pour slectionner les types dvnement suivants :
o
Critique
Avertissement
Erreur
Systme
Application
3.
4.
Pour utiliser la fonctionnalit de collecte dvnements, vous devez configurer les ordinateurs de transfert
et de collecte. La fonctionnalit de collecte dvnements repose sur les services Gestion distance de
Windows (WinRM) et Collecteur dvnements Windows (Wecsvc). Ces deux services doivent tre excuts
sur les ordinateurs qui participent au transfert et la collecte des vnements.
Activation dabonnements
Pour activer les abonnements, effectuez les tches suivantes :
1.
Sur chaque ordinateur source, excutez la commande suivante linvite de commandes avec
lvation de privilges pour activer WinRM :
winrm quickconfig
2.
Sur lordinateur de collecte, tapez la commande suivante linvite de commandes avec lvation de
privilges pour activer Wecsvc :
wecutil qc
3.
Procdure de dmonstration
Configurer lordinateur source
1.
2.
3.
13-22
Ouvrez Utilisateurs et ordinateurs Active Directory et ajoutez lordinateur LON-SVR1 en tant que
membre du groupe local de domaine Administrateurs.
2.
2.
13-23
A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour
assister le sige social de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure
serveur et client Windows Server 2012.
Comme lentreprise a dploy de nouveaux serveurs, il est important dtablir une base de rfrence des
performances avec une charge normale pour ces nouveaux serveurs. Vous tes charg de travailler sur ce
projet. En outre, pour faciliter le processus de surveillance et de rsolution de problmes, vous dcidez
deffectuer une surveillance centralise des journaux des vnements.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-SVR1
Nom dutilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd
valuation du cours
Votre valuation de ce cours aidera Microsoft
comprendre la qualit de votre exprience de
formation.
Consultez votre formateur pour accder au
formulaire d'valuation du cours.
Votre valuation est strictement confidentielle et
vos rponses cette enqute seront utilises dans
le seul but d'amliorer la qualit des prochains
cours Microsoft. Vos commentaires ouverts et
honntes sont trs prcieux.
13-31