22411B-FR-Administration de Windows Server® 2012

P R O D U I T
O F F I C I E L
22411B
D E
F O R M A T I O N
M I C R O S O F T
Administration de Windows Server 2012
Sommaire
Module 1 : Dploiement et maintenance des images de serveur
Leon 1 : Vue densemble des services de dploiement Windows
Leon 2 : Implmentation dun dploiement avec les services
de dploiement Windows
Leon 3 : Administration des services de dploiement Windows
Atelier pratique : Utilisation des services de dploiement Windows
pour dployer Windows Server 2012
1-2
1-9
1-16
1-23
Module 2 : Configuration et rsolution des problmes du systme DNS

Leon 1 : Installation du rle de serveur DNS
Leon 2 : Configuration du rle de serveur DNS
Leon 3 : Configuration des zones DNS
Leon 4 : Configuration des transferts de zone DNS
Leon 5 : Gestion et dpannage du systme DNS
Atelier pratique : Configuration et rsolution des problmes
du systme DNS
2-2
2-9
2-16
2-22
2-25
2-34
Module 3 : Gestion des services de domaine Active Directory

Leon 1 : Vue densemble dAD DS
Leon 2 : Implmentation des contrleurs de domaine virtualiss
Leon 3 : Implmentation des contrleurs de domaine en lecture seule
Leon 4 : Administration dAD DS
Leon 5 : Gestion de la base de donnes AD DS
Atelier pratique : Gestion dAD DS
3-2
3-8
3-13
3-18
3-18
3-37
Module 4 : Gestion des comptes dutilisateurs et de service

Leon 1 : Automatisation de la gestion des comptes dutilisateurs
Leon 2 : Configuration des paramtres de stratgie de mot de passe
et de verrouillage de compte dutilisateur
Leon 3 : Configuration des comptes de service grs
Atelier pratique : Gestion des comptes dutilisateurs et de service
4-2
4-8
4-15
4-22
xiii
xiv Administration de Windows Server 2012
Module 5 : Implmentation dune infrastructure de stratgie de groupe

Leon 1 : Prsentation de la stratgie de groupe
Leon 2 : Implmentation et administration des objets de stratgie
de groupe
Leon 3 : tendue de la stratgie de groupe et traitement
de la stratgie de groupe
Leon 4 : Dpanner lapplication des objets de stratgie de groupe
Atelier pratique : Implmentation dune infrastructure de stratgie
de groupe
5-2
5-12
5-20
5-39
5-46
Module 6 : Gestion des bureaux des utilisateurs avec la stratgie de groupe

Leon 1 : Implmentation des modles dadministration
Leon 2 : Configuration de la redirection de dossiers et des scripts
Leon 3 : Configuration des prfrences de stratgies de groupe
Leon 4 : Gestion des logiciels laide de la stratgie de groupe
Atelier pratique : Gestion des bureaux des utilisateurs
avec la stratgie de groupe
6-2
6-12
6-20
6-39
6-46
Module 7 : Configuration et rsolution des problmes daccs distance

Leon 1 : Configuration de laccs rseau
Leon 2 : Configuration de laccs VPN
Leon 3 : Vue densemble des stratgies rseau
Leon 4 : Rsolution des problmes du service de routage
et daccs distance
Atelier pratique A : Configuration de laccs distance
Leon 5 : Configuration de DirectAccess
Atelier pratique B : Configuration de DirectAccess
7-2
7-11
7-22
7-29
7-36
7-41
7-56
Module 8 : Installation, configuration et rsolution des problmes du rle de serveur NPS

Leon 1 : Installation et configuration d'un serveur NPS
Leon 2 : Configuration de clients et de serveurs RADIUS
Leon 3 : Mthodes d'authentification NPS
Leon 4 : Analyse et rsolution des problmes d'un serveur NPS
Atelier pratique : Installation et configuration d'un serveur NPS
8-2
8-7
8-14
8-24
8-30
Module 9 : Implmentation de la protection daccs rseau

Leon 1 : Vue densemble de la protection daccs rseau
Leon 2 : Vue densemble des processus de contrainte de mise
en conformit NAP
Leon 3 : Configuration de NAP
Leon 4 : Analyse et rsolution des problmes du systme NAP
Atelier pratique : Implmentation de la protection daccs rseau
9-2
9-8
9-16
9-22
9-27
Module 10 : Optimisation des services de fichiers

Leon 1 : Vue densemble de FSRM
Leon 2 : Utilisation de FSRM pour grer les quotas, les filtres de fichiers
et les rapports de stockage
Leon 3 : Implmentation des tches de classification et de gestion
de fichiers
Atelier pratique A : Configuration des quotas et du filtrage
des fichiers laide de FSRM
Leon 4 : Vue densemble de DFS
Leon 5 : Configuration des espaces de noms DFS
Leon 6 : Configuration et rsolution des problmes
de la rplication DFS
Atelier pratique B : Implmentation de DFS
10-3
10-10
10-21
10-28
10-32
10-41
10-46
10-50
Module 11 : Configuration du chiffrement et de laudit avanc

Leon 1 : Chiffrement des fichiers laide du systme EFS
(Encrypting File System)
Leon 2 : Configuration de laudit avanc
Atelier pratique : Configuration du chiffrement et de laudit avanc
11-2
11-6
11-14
Module 12 : Implmentation de la gestion des mises jour

Leon 1 : Vue densemble de WSUS
Leon 2 : Dploiement des mises jour avec WSUS
Atelier pratique : Implmentation de la gestion des mises jour
12-2
12-5
12-9
Module 13 : Surveillance de Windows Server 2012

Leon 1 : Outils danalyse
Leon 2 : Utilisation de lAnalyseur de performances
Leon 3 : Analyse des journaux dvnements
Atelier pratique : Surveillance de Windows Server 2012
13-2
13-9
13-18
13-21
xv
UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-1
Module 1
Dploiement et maintenance des images de serveur
Table des matires :
Vue d'ensemble du module
1-1
Leon 1 : Vue densemble des services de dploiement Windows
1-2
Leon 2 : Implmentation dun dploiement avec les services

1-9
Leon 3 : Administration des services de dploiement Windows
1-16
Atelier pratique : Utilisation des services de dploiement Windows

pour dployer Windows Server 2012
1-23
Contrle des acquis et lments retenir
1-29
Vue densemble du module
Les organisations de plus grande taille ont besoin de technologies de dploiement qui puissent rduire ou
liminer lintervention de lutilisateur pendant le processus de dploiement. Vous pouvez utiliser le rle
Services de dploiement dans Windows Server 2012 et Windows Server 2008 pour prendre en charge les
dploiements volume lev de type Lite Touch et Zero Touch. Ce module explore les fonctionnalits des
services de dploiement Windows et explique comment les utiliser pour effectuer des dploiements de
type Lite Touch.
Objectifs
la fin de ce module, les stagiaires seront mme deffectuer les tches suivantes :
Dcrire les principales fonctionnalits et caractristiques des services de dploiement Windows.
Configurer les services de dploiement Windows dans Windows Server 2012.
Excuter des dploiements avec les services de dploiement Windows.
Leon 1
Vue densemble des services de dploiement Windows
1-2
Les services de dploiement Windows vous permettent de dployer des systmes dexploitation
Windows. Pour dployer ces systmes dexploitation sur de nouveaux ordinateurs, vous pouvez utiliser
une installation des services de dploiement Windows partir du rseau. Cela signifie quil nest pas
ncessaire dtre physiquement prsent sur chaque ordinateur. En outre, il nest pas ncessaire dinstaller
chaque systme dexploitation depuis un support local. Les services de dploiement Windows rpondent
donc parfaitement aux besoins de dploiement des grandes organisations.
Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :
dcrire le fonctionnement des services de dploiement Windows ;
dcrire les composants des services de dploiement Windows ;
dcrire les avantages des services de dploiement Windows ;
dterminer comment utiliser les services de dploiement Windows pour prendre en charge divers
scnarios de dploiement.
Que sont les services de dploiement Windows ?

Les services de dploiement Windows sont un rle
serveur fourni avec Windows Server 2012. Leurs
fonctions sont les suivantes :
Ils vous permettent dexcuter des

installations partir du rseau.
Ils simplifient le processus de dploiement

dimage.
Ils prennent en charge le dploiement sur les

ordinateurs sans systme dexploitation.
Ils fournissent des solutions de dploiement

de bout en bout pour les ordinateurs client et
serveur.
Ils utilisent des technologies existantes, telles que lEnvironnement de prinstallation Windows
(Windows PE), un fichier dimage systme Windows (.wim), des fichiers dimage virtuelle de disque
dur (.vhd) et le dploiement bas sur des images.
1-3
Les services de dploiement Windows permettent le dploiement automatis de systmes dexploitation

Windows. Vous pouvez compltement automatiser le dploiement des systmes dexploitation suivants :
Windows XP
Windows Server 2003
Windows Vista avec Service Pack 1 (SP1)
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Les services de dploiement Windows permettent de crer, stocker et dployer des images dinstallation
des systmes dexploitation pris en charge, et prennent en charge les fichiers image .wim et .vhd. Le
dploiement peut dsormais tre en monodiffusion ou en multidiffusion. La multidiffusion offre une
gestion plus efficace du trafic rseau que consomme le processus de dploiement. Cela peut acclrer le
dploiement sans affecter dfavorablement dautres services rseau.
Systmes dexploitation avec composants
Les services de dploiement Windows sintgrent troitement avec Windows Vista, Windows Server 2008,
Windows 7, Windows Server 2008 R2, Windows 8 et Windows Server 2012. Un parfait exemple de cette
intgration est la conception de ces systmes dexploitation avec des composants. Ces systmes
dexploitation consistent en lments autodescriptifs, appels composants. Lautodescription se rapporte
au fait que les lments contiennent un manifeste qui rpertorie les diffrentes options de configuration
que vous pouvez dfinir pour chaque composant. Vous pouvez voir les fonctionnalits et les
configurations pour chaque composant. Les mises jour, les Service Packs et les modules linguistiques
sont des composants qui sont appliqus sur les systmes dexploitation qui peuvent tre diviss.
Les pilotes sont galement considrs comme des composants distincts et configurables. Le principal
avantage de ces composants est de pouvoir installer des pilotes, tels que des correctifs logiciels ou des
Service Packs, sur un systme dexploitation hors connexion. Au lieu de mettre jour des images
compltes chaque fois quune nouvelle mise jour, un nouveau Service Pack ou un nouveau pilote est
disponible, vous pouvez installer ces composants dans limage hors connexion pour que Windows les
applique quand vous dployez limage.
Lors du dploiement des images sur le disque dur dun nouvel ordinateur, le systme reoit limage
disque de base avec chacun des composants ajouts, et ce avant que le systme ne dmarre pour la
premire fois.
1-4
Si votre organisation est multilingue ou internationale, vous pouvez utiliser la nature indpendante de la
langue des systmes dexploitation Windows les plus rcents. Le nombre dimages maintenir est encore
rduit parce quil ny a plus de versions localises. Certaines versions de systmes dexploitation Windows
sont limites au nombre de modules linguistiques. Vous pouvez tout moment ajouter ou supprimer des
modules linguistiques dun systme en fonction de vos besoins, et ce sans modifier autrement linstallation.
Si vous devez prendre en charge plusieurs langues, ajoutez tous les modules linguistiques ncessaires
votre fichier de dploiement .wim puis activez-les selon vos besoins, sur tous les ordinateurs ou certains
seulement.
Composants des services de dploiement Windows

Les services de dploiement Windows fournissent
un certain nombre de fonctions distinctes via des
composants identifiables.
Serveur PXE (Pre-Boot Execution

Environment) des services de
dploiement Windows
Le serveur PXE (Pre-Boot Execution Environment)
fournit les fonctions suivantes :
Il se lie aux interfaces rseau.
Il dtecte les requtes PXE entrantes.
Il formate les paquets de rponse du protocole DHCP (Dynamic Host Configuration Protocol).
Client des services de dploiement Windows
Le client des services de dploiement Windows fournit une interface graphique base sur linterface
graphique dinstallation de Windows Server. Elle tablit un canal de communication avec le serveur des
services de dploiement Windows et rcupre une liste dimages dinstallation sur ce serveur. En outre, le
client des services de dploiement Windows fournit des informations dtat de lordinateur cible pendant
le dploiement.
Composants serveur
Les composants serveurs supplmentaires comprennent un serveur TFTP (Trivial File Transfer Protocol)
qui permet aux clients effectuant le dmarrage partir du rseau de charger une image de dmarrage
dans la mmoire. Sy ajoutent : un rfrentiel dimages contenant des images de dmarrage, des images
dinstallation et les fichiers ncessaire la prise en charge du dmarrage rseau, ainsi quun dossier
partag pour hberger les images dinstallation.
Moteur de multidiffusion
1-5
Avec les services de dploiement Windows, la transmission dimages de systme dexploitation

volumineuses sur le rseau est plus efficace. Le transfert de fichiers de plusieurs gigaoctets sur le rseau
cre toutefois un trafic rseau important. Avec la nouvelle fonctionnalit de multidiffusion, vous pouvez
encore rduire le cot rseau de lutilisation des services de dploiement Windows.
Avec la multidiffusion, le serveur envoie les donnes en une seule fois, et plusieurs cibles reoivent les
mmes donnes. Si vous dployez une image sur plusieurs cibles, cette mthode peut rduire le trafic
rseau une fraction du nombre quivalent de plusieurs transmissions en monodiffusion. Les services de
dploiement Windows fournissent deux types de multidiffusion :
La diffusion planifie. Il existe deux faons de configurer une diffusion planifie :

o
Nombre de clients. Lorsque vous spcifiez un nombre de clients, le serveur attend que le nombre
dfini de clients connects soit atteint, puis il commence envoyer les informations.
Limite dans le temps. Lorsque vous spcifiez une limite dans le temps, le serveur attend jusquau
moment spcifi puis commence le dploiement vers les ordinateurs client connects.
Bien que la diffusion planifie offre une utilisation plus efficace du rseau, elle ncessite nanmoins un
certain travail, chaque ordinateur cible devant tre connect, mis en marche et mis en file dattente.
Diffusion automatique. Une cible peut rejoindre une diffusion automatique tout moment, et le
serveur rpte la transmission tant que des cibles sont connectes. Si la cible commence recevoir
limage en cours de transmission, ou sil lui manque une certaine partie de limage, elle demeure
connecte et rassemble les parties manquantes du fichier quand le serveur redmarre la transmission.
Question : Quel est lavantage de la multidiffusion sur la monodiffusion dans les scnarios
de dploiements importants ?
Pourquoi utiliser les services de dploiement Windows ?

Nimporte quelle organisation qui souhaite rduire
les interventions requise de la part de
ladministrateur pendant le dploiement de
Windows Server devrait utiliser les services de
dploiement Windows. En raison de leur capacit
prendre en charge le dploiement via le rseau,
potentiellement sans intervention de lutilisateur,
les services de dploiement Windows permettent
aux organisations de crer un environnement plus
autonome et plus efficace pour installer Windows.
Prenez les scnarios suivants :
Scnario 1
1-6
Dans un petit rseau constitu dun serveur unique et denviron 25 ordinateurs sous Windows XP, vous
pourriez utiliser les services de dploiement Windows pour acclrer le processus de mise niveau des
ordinateurs client vers Windows 8. Une fois que vous avez install et configur le rle serveur des services
de dploiement Windows sur le serveur unique, vous pouvez utiliser les services de dploiement Windows
pour effectuer les tches suivantes :
1.
Ajouter boot.wim ( partir du dossier de sources sur le support de Windows Server 2012) comme
image de dmarrage dans les services de dploiement Windows.
2.
Ajouter install.wim ( partir du dossier de sources sur le support de Windows 8) comme image
dinstallation.
3.
Crer une image de capture partir de limage de dmarrage que vous avez prcdemment ajoute.
Remarque : Une image de capture est une image de dmarrage modifie qui contient les
lments ncessaires pour capturer une image de fichier WIM partir dun ordinateur de
rfrence configur.
4.
Dmarrer votre ordinateur de rfrence partir du rseau en utilisant lenvironnement PXE.
5.
Excuter une installation standard de Windows 8 partir de limage install.wim.
6.
Installer les applications de productivit et les applications personnalises de la manire prescrite sur
lordinateur de rfrence.
7.
Gnraliser lordinateur de rfrence avec loutil de prparation systme (Sysprep).
8.
Redmarrer lordinateur de rfrence partir du rseau en utilisant lenvironnement PXE.
9.
Vous connecter limage de capture que vous avez cre, lutiliser pour capturer le systme
dexploitation local et le tlcharger nouveau sur le serveur des services de dploiement Windows.
10. Dmarrer chacun des ordinateurs cibles existants partir du rseau en utilisant lenvironnement PXE,
et les connecter limage de dmarrage approprie.
11. Slectionner limage dinstallation personnalise.
12. Le dploiement commence.
Dans ce scnario, les avantages pour lorganisation sont les suivants :
Une image dordinateur de bureau standardise.
Un dploiement rapide de chaque ordinateur avec une intervention limite de linstallateur.
Cette solution ne serait toutefois pas adapte de plus grands dploiements, car il faut que linstallateur
commence le dploiement sur lordinateur cible. En outre, linstallateur est requis pour slectionner une
partition de disque sur laquelle installer limage dinstallation slectionne.
Scnario 2
1-7
Dans le deuxime scnario, une organisation de taille moyenne importante souhaite dployer plusieurs
serveurs dans des filiales gographiquement disperses. Envoyer du personnel informatique expriment
sur chaque site pour dployer les serveurs savrerait long et coteux.
Grce aux services de dploiement Windows, le personnel informatique peut solutionner ce problme :
1.
Ajouter boot.wim ( partir du support de Windows Server 2012) comme image de dmarrage dans
les services de dploiement Windows.
2.
Ajouter install.wim ( partir du support de Windows Server 2012) comme image dinstallation.
3.
Crer une image de capture.
4.
Dmarrer lordinateur de rfrence partir du rseau.
5.
Excuter une installation standard de Windows Server 2012 partir de limage install.wim.
6.
Personnaliser lordinateur de rfrence selon les besoins.
7.
Gnraliser lordinateur de rfrence.
8.
Redmarrer lordinateur de rfrence.
9.
Capturer le systme dexploitation Windows de rfrence et le tlcharger nouveau sur le serveur

des services de dploiement Windows.
10. Configurer les comptes dutilisateur AD DS (Active Directory Domain Services) ; Il sagit de la
prconfiguration des comptes dordinateur.
11. Utiliser lAssistant Gestion dinstallation (SIM) dans le Kit dinstallation automatise Windows
(Windows ADK) pour crer un fichier de rponses sans assistance.
12. Configurer le fichier de rponses pour lutiliser avec limage dinstallation capture sur les services de
dploiement Windows.
13. Configurer une stratgie de format de nom personnalise dans les services de dploiement Windows,
de sorte que chaque ordinateur serveur reoive un nom dordinateur appropri pendant le
dploiement.
14. Configurer les services de dploiement Windows pour utiliser une image de dmarrage par dfaut.
15. Configurer les services de dploiement Windows pour rpondre aux requtes PXE et lancer le
dploiement de limage dinstallation automatiquement.
16. Dmarrer chacun des ordinateurs cibles partir du rseau.
Remarque : Pour viter une boucle de dmarrage, il est recommand de configurer le
systme BIOS de lordinateur pour commencer partir du disque dur puis du rseau. Pour plus
dinformations sur comment viter une boucle de dmarrage, reportez-vous au guide de
dploiement des services de dploiement Windows.
Dans ce scnario, les avantages pour lorganisation sont les suivants :
Des versions de serveur standardises.
Une connexion automatique au domaine aprs le dploiement.
Lattribution automatique de noms aux ordinateurs.
Peu ou pas dinterventions de linstallateur.
1-8
La solution nimplmente pas des transmissions par multidiffusion et nutilise pas la rfrence PXE. Ces
technologies pourraient galement tre utilises pour aider grer le trafic rseau pendant le dploiement.
Discussion : Procdure dutilisation des services de dploiement Windows

Les services de dploiement Windows peuvent
tre utiles pour beaucoup de scnarios de
dploiement impliquant des systmes
dexploitation Windows.
Question : Le personnel informatique de la
socit A. Datum Corporation est sur le point
de dployer Windows Server 2012 dans
diverses filiales. Les informations suivantes
ont t fournies au personnel informatique
par la direction :
o
La configuration des serveurs des

diffrentes filiales doit tre assez
cohrente.
Il nest pas ncessaire de mettre niveau les paramtres des serveurs existants, car ce sont de
nouvelles succursales sans infrastructure informatique en place.
Lautomatisation du processus de dploiement est importante, car il y a beaucoup de serveurs

dployer.
Comment utiliseriez-vous les services de dploiement Windows pour optimiser le

dploiement ?
Question : La socit A. Datum Corporation souhaite dployer plusieurs douzaines de
nouveaux serveurs son sige social. Ces serveurs seront installs avec Windows Server 2012.
Les informations suivantes ont t fournies au personnel informatique par la direction :
o
La configuration des divers serveurs peut varier lgrement ; il y a deux configurations de serveur
de base : installation serveur complte et installation serveur minimale.
La gestion du trafic rseau est cruciale, car le rseau est presque pleine capacit.
Comment recommanderiez-vous au personnel de chez A. Datum de procder pour le

dploiement ?
Leon 2
Implmentation dun dploiement avec les services

1-9
Bien que les services de dploiement Windows ne sont pas compliqus installer et configurer, il est
important que vous compreniez la constitution de leurs composants et comment les configurer
correctement. Ce faisant, vous veillerez ce quils fournissent le niveau appropri dautomatisation du
dploiement et quils rpondent aux besoins de dploiement de votre organisation. Une fois que vous
installez et configurez les services de dploiement Windows, vous devez comprendre comment les utiliser
et utiliser les outils associs pour crer, grer et dployer des images sur des ordinateurs dans votre
organisation.
Dcrivez les composants des services de dploiement Windows.
Expliquez comment installer et configurer les services de dploiement Windows.
Expliquez le processus dutilisation des services de dploiement Windows pour dployer

Windows Server.
Fonctionnement des composants des services de dploiement Windows

Lorsque vous dployez le rle serveur des services
de dploiement Windows, vous pouvez choisir
entre deux options de configuration. Vous pouvez
choisir la configuration par dfaut, qui dploie les
services pour les rles du serveur de dploiement
et du serveur de transport, ou vous pouvez choisir
de dployer seulement le service pour le rle du
serveur de transport. Dans ce deuxime scnario,
le service pour le rle du serveur de dploiement
fournit le serveur dimage ; le serveur de transport
ne fournit pas la fonctionnalit dacquisition
dimages.
Le serveur de dploiement active une solution de dploiement de bout en bout, alors que le serveur de
transport fournit une plateforme que vous utilisez pour crer une solution de dploiement personnalise
multidiffusion.
Le tableau suivant compare les deux services de rle.

Composant Serveur
Serveur de dploiement
Serveur de transport
Configuration requise
AD DS, DHCP et DNS

(Domain Name System)
Pas dimpratifs
dinfrastructure
PXE
Utilise le fournisseur PXE par dfaut
Vous devez crer un

fournisseur PXE
Serveur dimage
Inclut le serveur dimage des services

Aucun
Transmission
Monodiffusion et multidiffusion
Multidiffusion seulement
Gestion
Les outils de ligne de

commande WDSutil.exe et le
composant logiciel enfichable MMC
(Microsoft Management Console) des
services de dploiement Windows
WDSutil.exe seulement
Ordinateur cible.
Utilise le client des services de

dploiement Windows ou loutil
Wdsmcast.exe
Wdsmcast.exe seulement
Fonctionnalit du serveur de transport

Vous pouvez utiliser le serveur de transport pour fournir les fonctionnalits suivantes :
1-10 Dploiement et maintenance des images de serveur
Dmarrage partir du rseau. Le serveur de transport fournit seulement un auditeur PXE ; cest le
composant qui coute et accepte le trafic entrant. Vous devez crire un fournisseur PXE personnalis
pour utiliser un serveur de transport pour dmarrer un ordinateur partir du rseau.
Multidiffusion. Dans les services de dploiement Windows, le serveur de multidiffusion consiste en un

fournisseur de multidiffusion et en un fournisseur de contenu :
o
Fournisseur de multidiffusion. Transmet les donnes sur le rseau.
Fournisseur de contenu. Interprte les donnes et les transmet au fournisseur de multidiffusion.

Le fournisseur de contenu est install avec les serveurs de transport et le serveur de dploiement,
et peut tre utilis pour transfrer nimporte quel type de fichier, bien quil ait une connaissance
spcifique du format de fichier image .wim.
Configuration requise pour linstallation des services de dploiement Windows
1-11
La configuration requise spcifique linstallation du rle des services de dploiement Windows dpend
de si vous dployez un serveur de dploiement ou seulement un serveur de transport.
Pour installer un serveur de dploiement, votre rseau et serveur cible doivent rpondre aux exigences
suivantes.
AD DS. Votre serveur des services de dploiement Windows doit tre soit membre
dun domaine AD DS, soit un contrleur de domaine pour un domaine AD DS.
Remarque : Le domaine et les niveaux fonctionnels de la fort AD DS ne sont pas

pertinents ; toutes les configurations de domaine et de fort prennent en charge les services de
dploiement Windows.
DHCP. Vous devez avoir un serveur DHCP fonctionnel avec une tendue active sur le rseau. Cest
parce que les services de dploiement Windows utilisent lenvironnement PXE, qui dpend du
protocole DHCP pour allouer les configurations IP.
DNS. Vous devez avoir un serveur DNS actif sur le rseau, de sorte que les ordinateurs client puissent
localiser les services requis pour le dploiement.
Volume de systme de fichiers NTFS. Le serveur qui excute les services de dploiement Windows
requiert un volume NTFS pour la banque dimages. Les services de dploiement Windows accdent
la banque dimage dans le contexte de lutilisateur qui a ouvert une session. Par consquent, les
comptes dutilisateur de dploiement doivent avoir des autorisations suffisantes sur les fichiers image.
Bien quil ne sagisse pas dune configuration requise, Windows ADK vous permet de simplifier le
processus de cration de fichiers de rponses (unattend.xml) pour une utilisation avec les dploiements
automatiss des services de dploiement Windows.
Remarque : Pour installer le rle des services de dploiement Windows, vous devez tre
membre du groupe Administrateurs locaux sur le serveur. Pour initialiser le serveur, vous devez
tre membre du groupe Utilisateurs du domaine.
Installation et configuration des services de dploiement Windows

Une fois que votre infrastructure rseau satisfait aux
conditions requises, vous pouvez installer le rle
serveur des services de dploiement Windows.
Installation du rle serveur des services

Utilisez les tapes gnrales suivantes pour fournir
de laide sur linstallation du rle.
1.
Ouvrez le Gestionnaire de serveurs, puis

ajoutez le rle serveur des services de
dploiement Windows.
2.
Choisissez si vous le souhaitez dinstaller le service pour le rle du serveur de dploiement (qui inclut
le rle du serveur de transport) ou juste le service pour le rle du serveur de transport.
3.
Suivez lAssistant pour installer le rle requis.
Configuration initiale des services de dploiement Windows

Une fois les services de dploiement Windows installs, ouvrez-les partir des outils dadministration,
puis utilisez laide gnrale suivante pour les configurer.
1.
Slectionnez votre serveur dans la console des services de dploiement Windows et lancez lAssistant
de configuration.
2.
Spcifiez un emplacement pour enregistrer les images. Cet emplacement :
3.
Doit tre une partition NTFS.
Doit tre assez grand pour accueillir les images de dploiement que vous prvoyez utiliser.
Devrait tre un disque physique distinct de celui sur lequel est install le systme dexploitation
afin doptimiser les performances.
Si le rle du serveur DHCP est hberg sur le serveur des services de dploiement Windows avec
dautres services, vous devez :
o
Empcher le serveur PXE dcouter sur le port 67 du protocole UDP (User Datagram Protocol) ; ce
port est utilis par le protocole DHCP.
Configurer loption DHCP 60 sur PXEClient ; cela permet au client PXE de localiser le port du
serveur des services de dploiement Windows.
Remarque : Si vous dployez les services de dploiement Windows sur un serveur qui
excute dj le rle du serveur DHCP, ces modifications sont faites automatiquement. Si vous
ajoutez ultrieurement le rle du serveur DHCP un serveur de dploiement Windows, vous
devez vous assurer dapporter lesdites modifications.
4.
Dterminez comment vous souhaitez que le serveur PXE rponde aux clients :
o
Par dfaut, le serveur PXE ne rpond aucun client ; cest utile quand vous effectuez la
configuration initiale des services de dploiement Windows, car vous navez encore aucune
image disponible pour des clients.
Alternativement, vous pouvez choisir de configurer le serveur PXE pour :
Rpondre aux ordinateurs client connus ; ce sont des ordinateurs que vous avez
prconfigurs.
Rpondre tous les ordinateurs client, que vous les ayez prconfigurs ou non ; si vous
slectionnez cette option, vous pouvez en outre dfinir quune approbation dadministrateur
soit requise pour les ordinateurs inconnus. Tout en attendant lapprobation, les ordinateurs
client sont maintenus dans une file dattente.
Remarque : Sil y a lieu, vous pouvez reconfigurer ces paramtres aprs avoir termin la
configuration initiale.
Gestion des dploiements avec les services de dploiement Windows

Une fois que vous avez install et configur les
services de dploiement Windows, vous pouvez
les prparer pour soccuper des dploiements
clients, ce qui implique les procdures suivantes.
Configuration des paramtres

de dmarrage
Vous devez excuter plusieurs tches de
configuration pour configurer les paramtres de
dmarrage sur le serveur qui hberge les services
de dploiement Windows.
1-13
Ajoutez des images de dmarrage. Une image

de dmarrage est une image Windows PE que vous utilisez pour dmarrer un ordinateur et installer
limage dinstallation. En gnral, vous utilisez le fichier boot.wim sur le DVD de Windows Server 2012,
dans le dossier \sources. Vous pouvez galement dcider de crer une image de capture, qui est un
type spcifique dimage de dmarrage que vous pouvez utiliser pour capturer un systme
dexploitation actuellement install sur un ordinateur de rfrence.
Configurez la stratgie de dmarrage PXE pour les clients connus et inconnus. Cette stratgie
dtermine le comportement requis de linstallateur pendant la partie initiale du dploiement. Par
dfaut, tant la stratgie pour les ordinateurs connus que celle pour les ordinateurs inconnus exigent
de linstallateur quil appuie sur F12 pour se connecter au serveur dimage des services de
dploiement Windows. Sil ne le fait pas, lordinateur utilise les paramtres du BIOS pour dterminer
une autre mthode de dmarrage, par exemple via le disque dur ou un CD-ROM. Au lieu de cette
valeur par dfaut, vous pouvez configurer les options suivantes :
o
Toujours continuer le dmarrage PXE. Cette option permet lordinateur de poursuivre le

processus de dploiement sans intervention de linstallateur.
Continuer le dmarrage PXE sauf si lutilisateur appuie sur chap. Cette option donne
linstallateur la possibilit dannuler le dploiement.
Configurez une image de dmarrage par dfaut. Si vous avez plusieurs images de dmarrage, par
exemple pour prendre en charge plusieurs plates-formes,vous pouvez configurer une image de
dmarrage par dfaut pour chacune delles. Cette image est slectionne aprs un dlai dexpiration
sur lordinateur client PXE.
Associez un fichier de rponses pour linstallation. Vous pouvez dfinir un fichier de rponses associ
pour chaque architecture cliente. Ce fichier de rponses fournit les informations qui sont utilises
pendant la phase dinstallation initiale et permet au serveur dimage des services de dploiement
Windows de slectionner limage dinstallation approprie pour le client, sans intervention de
linstallateur.
Crez les images de dcouverte. Tous les ordinateurs ne prennent pas en charge le dmarrage
rseau PXE. Pour ceux qui ne le font pas, vous pouvez crer une image de dcouverte base sur
une image de dmarrage et lexporter vers un priphrique de stockage amovible. Pour crer une
image de dcouverte, spcifiez :
o
Le nom et la description de limage.
Limage de dmarrage sur laquelle elle est base.
Un nom de fichier avec lequel enregistrer limage.
Le nom du serveur des services de dploiement Windows qui sera utilis pour le dploiement.
Configuration des paramtres dinstallation
Vous devez configurer les paramtres dinstallation supplmentaires des services de dploiement Windows.
Ajoutez des images dinstallation. Cest limage du systme dexploitation que vous utilisez pour
installer Windows Server. En gnral, vous commencez par limage dinstallation install.wim, dans le
dossier \sources du DVD de Windows Server 2012. Ensuite, vous pouvez choisir de crer des images
personnalises pour des groupes dordinateurs qui ont des configurations similaires.
Remarque : Avant de pouvoir crer des images dinstallation, vous devez dfinir un groupe
dimages dinstallation dans lequel consolider les images associes. Si vous ne procdez pas ainsi,
le programme dadministration des services de dploiement Windows cre un groupe gnrique.
Associez un fichier de rponses une image dinstallation. Si vous avez cr un fichier de rponses,
par exemple laide de Windows ADK, vous pouvez lassocier une installation pour fournir les
informations ncessaires pour terminer le dploiement de lordinateur sans linteraction de
linstallateur.
Configurez une stratgie de format de nom du client. Vous pouvez utiliser une stratgie de format de
nom du client pour dfinir le nom des ordinateurs inconnus pendant le dploiement. La stratgie
utilise un certain nombre de variables pour crer un nom unique :
a.
%First. Le prnom de linstallateur. Mettre un chiffre aprs le signe % indique le nombre de

caractres utiliser dans le nom. Par exemple, %3First utilise les trois premiers caractres du
prnom de linstallateur.
b.
%Last. Le nom de famille de linstallateur. Vous pouvez galement dfinir le nombre de

caractres utiliser.
c.
%Username. Le nom dutilisateur de linstallateur. De nouveau, vous pouvez limiter le nombre de

caractres en indiquant un chiffre aprs le signe %.
d.
%MAC. Ladresse MAC (Media Access Control).
e.
%[n]#. Vous pouvez utiliser cette squence pour attribuer un numro squentiel didentification
unique contenant n chiffres au nom dordinateur. Si vous souhaitez utiliser un numro plusieurs
chiffres, compltez la variable avec des zros non significatifs aprs le signe %. Par exemple, %2#
a comme consquence les numros squentiels 1, 2, 3 et ainsi de suite. %02# donne 01, 02 et 03.
1-15
Spcifiez lemplacement AD DS pour les comptes dordinateur. Par dfaut, le mme domaine AD DS
que le serveur des services de dploiement Windows est utilis. Alternativement, vous pouvez
slectionner :
o
Le mme domaine que lutilisateur effectuant le dploiement.
La mme unit dorganisation (OU) que lutilisateur effectuant le dploiement.
Un emplacement AD DS spcifi.
Remarque : Lordinateur des services de dploiement Windows requiert les autorisations Crer
un objet Ordinateur et crire toutes les proprits pour le conteneur AD DS que vous spcifiez.
Configuration des paramtres de transmission
Configurez les transmissions par multidiffusion. La transmission par monodiffusion est active par dfaut ;
cest--dire que vous navez rien besoin de faire dautre et que vous pouvez dployer des clients en utilisant
la monodiffusion. Cependant, pour activer la transmission par multidiffusion, vous devez spcifier :
Le nom de la transmission par multidiffusion.
Une image dinstallation laquelle la transmission est associe.
Une mthode de transmission par multidiffusion. Choisissez entre Diffusion automatique et Diffusion
planifie. Si vous choisissez la diffusion planifie, vous pouvez dfinir un seuil minimal de clients avant
le dbut de la transmission, ainsi que la date et lheure de dbut.
Configuration des pilotes
Dans Windows Server 2012, les services de dploiement Windows vous permettent dajouter et configurer
des packages de pilotes sur le serveur, puis de les dployer sur les ordinateurs client pendant les
installations en fonction de leur matriel.
Utilisez les tapes gnrales suivantes pour configurer les pilotes :
1.
Obtenez les pilotes dont vous avez besoin. Ceux-ci doivent tre sous la forme dun fichier .inf plutt
que .msi ou .exe.
2.
Configurez au besoin des filtres sur le groupe de pilotes. Ces filtres dterminent quels ordinateurs client
reoivent les pilotes en fonction de leurs caractristiques matrielles. Par exemple, vous pouvez crer
un filtre qui applique seulement les pilotes aux ordinateurs qui ont un BIOS fabriqu par A. Datum.
3.
Ajoutez les pilotes comme package de pilotes. Les packages de pilotes doivent tre associs un
groupe de pilotes. Si vous associez le package de pilotes un groupe non filtr, tous les ordinateurs
reoivent le pilote.
Vous pouvez utiliser les services de dploiement Windows pour ajouter des packages de pilotes vos
images de dmarrage de Windows 8 et Windows Server 2012 ; par consquent, il nest pas ncessaire
dexporter limage. Utilisez les outils de Windows ADK pour ajouter manuellement des packages de
pilotes, puis ajoutez limage de dmarrage mise jour.
Question : Quel est lavantage de dfinir une stratgie de format de nom pour les clients ?
Leon 3
Administration des services de dploiement Windows

Aprs avoir termin la configuration des services de dploiement Windows, vous devez crer et
administrer des images de dmarrage, les installer et ventuellement capturer et dcouvrir des images.
En outre, vous devez rendre ces images disponibles aux ordinateurs client avec le niveau dsir
dautomatisation, en utilisant un mcanisme de transmission appropri.
Dcrivez les tches dadministration communes.
Expliquez comment ajouter et configurer des images de dmarrage, de capture, de dcouverte et

dinstallation.
Expliquez comment automatiser des dploiements.
Expliquez comment configurer la transmission par multidiffusion pour dployer vos images.
Tches dadministration courantes

Pour configurer efficacement les services de
dploiement Windows, vous devez excuter un
certain nombre de tches dadministration
courantes. Pour vous aider excuter ces tches,
les services de dploiement Windows fournissent
un certain nombre doutils. Les tches
dadministration que vous devez excuter
comprennent ce qui suit :
Configuration de DHCP
Cration et maintenance des images
Gestion du menu de dmarrage
Prconfiguration des ordinateurs client
Automatisation du dploiement
Configuration de la transmission
Configuration de DHCP
Les clients qui dmarrent en utilisant lenvironnement PXE ont besoin dune configuration IPv4 alloue de
faon dynamique. cet effet, vous devez crer et configurer une tendue DHCP approprie. En outre, si le
protocole DHCP et les rles serveur des services de dploiement Windows sont hbergs conjointement,
vous devez configurer la faon dont le serveur PXE coute les demandes des clients ; il y a en effet un
conflit inhrent car le protocole DHCP et les services de dploiement Windows utilisent tous les deux le
port UDP 67. Pour crer et grer les tendues DHCP, vous pouvez utiliser le composant logiciel enfichable
DHCP ou loutil de ligne de commande Netsh.exe.
Cration et maintenance des images
1-17
Vous pouvez crer et maintenir des images avec le composant logiciel enfichable des services de
dploiement Windows, Windows SIM, loutil de ligne de commande WDSutil.exe ou loutil de ligne de
commande Dism.exe.
Par exemple, pour ajouter une image de dmarrage, utilisez la commande suivante :
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<chemin daccs> /ImageType:Boot
Pour crer une image de capture, utilisez la commande suivante :

WDSUTIL /New-CaptureImage /Image:<nom de limage de dmarrage source>
/Architecture:{x86|ia64|x64} /DestinationImage /FilePath:<chemin daccs au fichier>
Pour ajouter une image dinstallation, utilisez les deux commandes suivantes, en appuyant sur Entre
aprs chaque ligne :
WDSUTIL /Add-ImageGroup /ImageGroup:<nom du groupe dimages>
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<chemin daccs au fichier .wim>
/ImageType:Install
Remarque : Vous pouvez galement effectuer ces tches de gestion en utilisant la console
de gestion des services de dploiement Windows, accessible dans le Gestionnaire de serveurs.
Gestion du menu de dmarrage
Lenvironnement de dmarrage pour Windows Server 2012 repose sur la banque de donnes de
configuration de dmarrage (BCD). Cette banque dfinit comment le menu de dmarrage est configur.
Vous pouvez personnaliser la banque en utilisant Bcdedit.exe.
Remarque : Quand vous personnalisez la banque BCD, vous devez la forcer tre recre
pour que vos modifications prennent effet. Pour ce faire, excutez les deux commandes
WDSutil.exe suivantes (en appuyant sur Entre aprs chaque ligne), afin darrter puis de
redmarrer le serveur des services de dploiement Windows :
wdsutil /stop-server
wdsutil /start-server
Ce qui suit est une liste de limitations pour linterface utilisateur du menu de dmarrage :
Taille de lcran. Seules 13 images peuvent tre affiches dans le menu. Si vous en avez plus,
linstallateur doit les faire dfiler vers le bas pour les voir.
Souris. Il ny a pas de pointeur.
Clavier. Aucun clavier autre que ceux pris en charge par le BIOS nest pris en charge.
Localisation. Aucune localisation autre que celles prises en charge par le BIOS nest prise en charge.
Accessibilit. La prise en charge des fonctionnalits daccessibilit est limite.
Prconfiguration des ordinateurs client

Les services de dploiement Windows prennent en charge les dploiements vers des clients
inconnus. Vous pouvez exercer un certain contrle des clients inconnus en configurant lapprobation
dadministrateur. Cela permet de veiller ce que les clients qui tentent de se dployer avec les services
de dploiement Windows sont bien placs dans une file dattente en attendant votre approbation.
Vous pouvez galement configurer le nom dordinateur client pendant lapprobation.
Cependant, si vous souhaitez un contrle plus spcifique des dploiements, vous pouvez prconfigurer
les ordinateurs dans AD DS ; cela vous permet de configurer le client :
Commencez partir dun serveur diffrent du serveur des services de dploiement Windows.
Utilisez un programme diffrent de dmarrage rseau.
Utilisez un fichier dinstallation sans assistance spcifique.
Utilisez une image de dmarrage spcifique.
Joignez un domaine AD DS spcifique.
Pour prconfigurer les ordinateurs, vous pouvez utiliser la commande suivante de loutil de ligne de
commande WDSutil.exe :
WDSUTIL /Add-Device /Device:<nom> /ID:<GUIDorMACAddress>
Dans cet exemple, <GUIDorMACAddress> est lidentificateur du nouvel ordinateur.
Automatisation du dploiement
Vous pouvez automatiser de bout en bout les dploiements des services de dploiement Windows.
Pour excuter ces tches, vous pouvez utiliser le composant logiciel enfichable des services de
dploiement Windows et Windows SIM.
Configuration de la transmission
La multidiffusion vous permet de dployer une image sur un grand nombre dordinateurs client sans
consommer une bande passante rseau excessive.
Envisagez dactiver les transmissions par multidiffusion si votre organisation :
Anticipe beaucoup de dploiements simultans.
Dispose de routeurs qui prennent en charge la propagation des multidiffusions ; cest--dire qui
prennent en charge le protocole IGMP (Internet Group Management Protocol).
Pour grer la transmission par multidiffusion, vous pouvez utiliser le composant logiciel enfichable des
services de dploiement Windows ou loutil de ligne de commande WDSutil.exe. Par exemple, pour crer
une transmission par multidiffusion avec diffusion automatique, utilisez la commande suivante :
WDSUTIL /New-MulticastTransmission /Image:<nom de limage> /FriendlyName:<nom convivial>
/ImageType:Install /ImageGroup:<nom du groupe dimages> /TransmissionType:AutoCast
Pour crer une transmission de diffusion planifie, utilisez la commande suivante :

WDSUTIL /New-MulticastTransmission /Image:<nom de limage> /FriendlyName:<nom convivial>
/ImageType:Install /ImageGroup:<nom du groupe dimages> /TransmissionType:ScheduledCast
[/Time:<aaaa/mm/jj:hh:mm>][/Clients:<nb de clients>]
Dmonstration : Procdure dadministration des images
1-19
Cette dmonstration montre comment administrer des images. Dans cette dmonstration, le processus
sera dcompos en quatre tapes, dcrites ci-dessous :
Installation et configuration du rle des services de dploiement Windows.
Ajout dimage de dmarrage.
Cration dimage de capture.
Ajout dimage dinstallation.
Procdure de dmonstration
Installer et configurer le rle des services de dploiement Windows
1.
Basculez vers lordinateur LON-SVR1.
2.
Ouvrez le Gestionnaire de serveur.
3.
Installez le rle serveur des services de dploiement Windows avec les deux services de rle.
4.
Dans la console Services de dploiement Windows, cliquez avec le bouton droit

sur LON-SVR1.Adatum.com, puis cliquez sur Configurer le serveur.
5.
Utilisez les informations suivantes pour terminer la configuration :

o
Intgrez les services de dploiement Windows Active Directory.
Sur la page Emplacement du dossier dinstallation distance, acceptez les valeurs par dfaut.
Acceptez le message Avertissement du volume systme.
Sur la page Paramtres initiaux du serveur PXE, slectionnez loption Rpondre tous
les ordinateurs clients (connus et inconnus).
Lorsque vous y tes invit, choisissez de ne pas ajouter dimages au serveur.
Ajouter une image de dmarrage

1.
Basculez vers LON-SVR1.
2.
Sil y a lieu, ouvrez la console Services de dploiement Windows.
3.
Ajoutez une nouvelle image de dmarrage en utilisant les informations suivantes pour terminer
la procdure :
4.
a.
Sur la page Fichier image, utilisez le nom de fichier : D:\sources\boot.wim.
b.
Acceptez les valeurs par dfaut sur la page Mtadonnes dimage.
c.
Acceptez les valeurs par dfaut sur la page Rsum.
Sur la page Progression de la tche, cliquez sur Terminer.
Ajouter une image dinstallation

1.
Sil y a lieu, ouvrez la console Services de dploiement Windows.
2.
Ajoutez un nouveau Groupe dimages avec le nom de groupe Windows Server 2012.
3.
Utilisez lAssistant Ajout dimages pour ajouter une nouvelle image dinstallation ce groupe.
Utilisez les informations suivantes pour terminer le processus :
4.
a.
Sur la page Fichier image, utilisez le nom de fichier suivant : D:\sources\install.wim
b.
Sur la page Images disponibles, dsactivez toutes les cases cocher except
Windows Server 2012 SERVERSTANDARDCORE.
c.
Acceptez les valeurs par dfaut sur la page Rsum.
d.
Sur la page Progression de la tche, cliquez sur Terminer.
Rduisez la fentre Services de dploiement Windows.
Automatisation des dploiements

Il y a quatre phases que vous pouvez automatiser
pendant le processus de dploiement des services
de dploiement Windows. Ces applications sont
les suivantes :
Stratgie de dmarrage PXE. Vous pouvez

dterminer la faon dont le serveur PXE
rpond aux clients et si linstallateur est requis
pour appuyer sur la touche F12 afin dtablir
la connexion avec le serveur des services de
dploiement Windows et de slectionner une
image de dmarrage. Par exemple, loption
Toujours continuer le dmarrage PXE
permet lordinateur de poursuivre le processus de dploiement sans intervention de linstallateur.
Limage de dmarrage par dfaut. Si vous configurez une image de dmarrage par dfaut,
linstallateur ne sera pas invit faire une slection.
Les crans de la console Services de dploiement Windows. Quand lordinateur client utilise le
protocole TFTP pour se connecter au serveur des services de dploiement Windows et slectionner
une image de dmarrage, linstallateur doit alors fournir les informations didentification et
slectionner une image du systme dexploitation installer. Vous pouvez crer un fichier de
rponses Unattend.xml pour automatiser cette phase.
Installation de Windows. Vous pouvez personnaliser le programme dinstallation de sorte que,

une fois limage dinstallation slectionne (automatiquement ou manuellement), le programme
dinstallation termine la procdure dinstallation sans intervention de linstallateur. Cest le mme type
dautomatisation que vous utilisez pour automatiser des installations avec Windows ADKADK.
Utilisez Windows SIM pour crer les deux types de fichiers de rponses, puis utilisez le composant logiciel
enfichable des services de dploiement Windows pour associer les fichiers de rponses la phase de
dploiement requise.
Automatisation de linstallation sans assistance client

Utilisez la procdure suivante pour associer un fichier de rponses la phase de dploiement dune
installation sans assistance client :
1-21
1.
Crez le fichier Unattend.xml dans Windows ADK avec des paramtres appropris aux services
de dploiement Windows.
2.
Copiez le fichier sur le serveur des services de dploiement Windows et collez-le dans un dossier
sous \RemoteInstall.
3.
Ouvrez la console des services de dploiement Windows.
4.
Affichez la bote de dialogue Proprits pour le serveur des services de dploiement Windows.
5.
Sur longlet Client, activez linstallation sans assistance, puis slectionnez le fichier de rponses que
vous avez cr plus tt.
Exemple de fichier de rponses Unattend pour linstallation sans assistance client

des services de dploiement Windows
Ce qui suit est un exemple partiel de fichier de rponses pour lautomatisation de la phase dinstallation
sans assistance client des services de dploiement Windows :
<WindowsDeploymentServices>
<Login>
<WillShowUI>OnError</WillShowUI>
<Credentials>
<Username>Installer</Username>
<Domain>Adatum.com</Domain>
<Password>Pa$$w0rd</Password>
</Credentials>
</Login>
<ImageSelection>
<WillShowUI>OnError</WillShowUI>
<InstallImage>
<ImageName>Windows Server 2021</ImageName>
<ImageGroup>Adatum Server Images</ImageGroup>
<Filename>Install.wim</Filename>
</InstallImage>
<InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
</InstallTo>
</ImageSelection>
</WindowsDeploymentServices>
Automatisation de linstallation de Windows

Pour automatiser le processus dinstallation de Windows, utilisez les tapes suivantes :
1.
Crez le fichier unattend.xml dans Windows ADK, avec des paramtres appropris linstallation
de Windows.
2.
Copiez le fichier un emplacement appropri sur le serveur des services de dploiement Windows.
3.
Dans la console Services de dploiement Windows, affichez les proprits de limage dinstallation
approprie.
4.
Activez loption Autoriser limage sinstaller en mode sans assistance, puis slectionnez le fichier
de rponses que vous avez cr plus tt.
Dmonstration : Procdure de configuration de la transmission

par multidiffusion
Cette dmonstration montre comment configurer la transmission par multidiffusion.
1.
Ouvrez la console Services de dploiement Windows sur LON-SVR1.
2.
Crez une nouvelle transmission par multidiffusion en utilisant les informations suivantes :
o
Nom de la transmission : Windows Server 2012 Branch Servers
Groupe dimages : Windows Server 2012
Image : Windows Server 2012 SERVERENTERPRISECORE
Type de multidiffusion : diffusion automatique
1-23
Atelier pratique : Utilisation des services de dploiement

Windows pour dployer Windows Server 2012
Scnario
A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour
soccuper du sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et
client Windows Server 2012.
A. Datum dploie des serveurs dans ses filiales dans lensemble de la zone pour le service Recherche. Vous
avez t charg daider automatiser ce dploiement. Vous suggrez dutiliser les services de
dploiement Windows pour dployer Windows Server 2012 dans les succursales. Des instructions relatives
au dploiement vous ont t envoyes par courrier lectronique. Vous devez lire ces instructions, puis
installer et configurer les services de dploiement Windows pour prendre en charge le dploiement.
Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
Installer et configurer les services de dploiement Windows.
Crer les images du systme dexploitation en utilisant les services de dploiement Windows.
Configurer le format de nom personnaliser des ordinateurs.
Dployer les images avec les services de dploiement Windows.
Configuration de latelier pratique

Dure approximative : 75 minutes
Ordinateurs virtuels
22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-SVR3
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd

2-1
Module 2
Configuration et rsolution des problmes du systme DNS

Table des matires :
2-1
Leon 1 : Installation du rle de serveur DNS
2-2
Leon 2 : Configuration du rle de serveur DNS
2-9
Leon 3 : Configuration des zones DNS
2-16
Leon 4 : Configuration des transferts de zone DNS
2-22
Leon 5 : Gestion et dpannage du systme DNS
2-25
Atelier pratique : Configuration et rsolution des problmes du systme DNS
2-34
2-40
Le systme de nom de domaine (DNS, Domain Name System) est le service de nom de base dans
Windows Server 2022. Il fournit la rsolution de noms et permet aux clients DNS de localiser des services
rseau, tels que les contrleurs de domaine AD DS (Active Directory Domain Services), les serveurs de
catalogue global et les serveurs de messagerie. Si vous configurez mal votre infrastructure DNS ou que
celle-ci ne fonctionne pas correctement, ces services rseau importants seront inaccessibles vos serveurs
rseau et clients. Par consquent, il est essentiel que vous compreniez comment dployer, configurer,
grer et dpanner ce service critique.
Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :
installer le rle de serveur DNS ;
configurer le rle de serveur DNS ;
crer et configurer des zones DNS ;
configurer les transferts de zone ;
grer et dpanner le systme DNS.
Leon 2
Installation du rle de serveur DNS

Pour prendre en charge les services rseau sous-jacents dans votre organisation, vous devez pouvoir
installer et configurer le rle de serveur DNS de Windows Server 2022. Avant dinstaller le rle de
serveur DNS, vous devez comprendre les besoins de linfrastructure rseau de votre organisation et
dcider dutiliser ou non un systme DNS de dconnexion calleuse. Vous devez galement considrer
lemplacement du rle serveur DNS ainsi que le nombre de clients et de zones DNS que vous utiliserez.
Cette leon dcrit le processus dinstallation dun rle de serveur DNS.
expliquer le rle et les avantages du systme DNS dans linfrastructure rseau ;
dfinir un espace de noms DNS ;
dcrire comment intgrer le systme DNS dans les services de domaine Active Directory ;
expliquer lutilisation du systme DNS de dconnexion calleuse ;
expliquer comment installer le rle de serveur DNS ;
prsenter les considrations relatives au dploiement dun serveur DNS.
Vue densemble du rle DNS

Lacronyme DNS (Domain Name System) dsigne
un service de rsolution de noms qui permet de
rsoudre des noms en adresses IP. Le service DNS
est une base de donnes distribue hirarchique
spare de manire logique, ce qui permet de
nombreux serveurs diffrents dhberger une base
de donnes mondiale des noms DNS.
Comment le systme DNS prend

en charge les bases du schma
de noms Internet
2-2
Le systme DNS est un service international qui

vous permet de saisir un nom de domaine (par
exemple, Microsoft.com), que votre ordinateur rsout en adresse IP. Un avantage du systme DNS est que
les adresses IPv4 peuvent tre longues et difficiles retenir, par exemple 232.207.0.32. Cependant, il est
gnralement plus facile de retenir un nom de domaine. Par ailleurs, vous pouvez utiliser des noms dhte
qui ne changent pas ou modifier les adresses IP sous-jacentes en fonction des besoins de votre organisation.
Avec ladoption de la norme IPv6, le service DNS sera encore plus critique puisque les adresses IPv6 sont
encore plus complexes que les adresses IPv4. Exemple dadresse IPv6 :
2002:db8:4236:e38c:384f:3764:b59c:3d97.
2-3
Comment le service DNS prend en charge les bases du schma de noms de domaine
Active Directory dune organisation
Le systme DNS est charg de rsoudre les ressources dans un domaine des services de domaine Active
Directory (AD DS). Le rle DNS est ncessaire linstallation des services de domaine Active Directory.
Le systme DNS fournit des informations aux clients de station de travail pour leur permettre de se
connecter au rseau. Il rsout les ressources du domaine, telles que les serveurs, les stations de travail,
les imprimantes et les dossiers partags. Si vous configurez un serveur DNS de manire incorrecte, cela
peut tre lorigine de nombreux problmes des services de domaine Active Directory.
Vue densemble de lespace de noms DNS

Lespace de noms DNS facilite la manire dont un
rsolveur DNS localise un ordinateur. Lespace de
noms est organis de manire hirarchique afin de
distribuer des informations au moyen de
nombreux serveurs.
Domaine racine
Un point (.) reprsente le domaine racine et ne
se saisit pas dans un navigateur Web. Le point (.)
est utilis par dfaut. La prochaine fois que vous
saisirez une adresse sur un ordinateur, essayez
dajouter le point la fin (par exemple,
www.microsoft.com.). Il existe 23 serveurs de
domaines racines universels.
Remarque : Lors dun dpannage du systme DNS, il est habituel dinclure le point final.
Domaine de niveau suprieur
Le domaine de niveau suprieur (TLD) est le premier niveau de lespace de noms DNS. Les domaines TLD
sur Internet incluent, par exemple, Internet .com, .net, .org, .biz et .ca. Les domaines les plus reconnus
sont .com, .net, .org et .gov, qui sont ddis au gouvernement des tats-Unis. Les domaines associs
ce niveau sont plus nombreux et un domaine TLD est ddi chaque pays. Par exemple, celui du Canada
est .ca et celui du Royaume-Uni est .uk. Lorganisation qui rglemente les noms de domaine, appele
ICANN (Internet Corporation for Assigned Names and Numbers), ajoute de nouveaux domaines TLD
de temps en temps.
Domaine de second niveau
Le nom de domaine de second niveau correspond la partie du nom de domaine qui apparat avant le
domaine de niveau suprieur. Par exemple, microsoft dans le domaine www.microsoft.com correspond au
nom de domaine de second niveau. Les organisations qui enregistrent des noms de domaine de second
niveau les contrlent. Nimporte qui peut enregistrer un nom de domaine de second niveau au moyen
dun service denregistrement Internet. De nombreux domaines de second niveau sont rgis par des
rgles spciales qui stipulent quelles organisations ou personnes peuvent enregistrer un nom de domaine.
Par exemple, seules les associations but non lucratif peuvent utiliser .org.
Sous-domaine
2-4
Le sous-domaine est rpertori avant les domaines de second niveau et de niveau suprieur. Par exemple,
www dsigne un sous-domaine dans le nom de domaine www.microsoft.com. Les sous-domaines sont
dfinis dans le serveur DNS de lorganisation qui dtient le serveur DNS de second niveau.
Nom de domaine complet
Un nom de domaine complet (FQDN, fully qualified domain name) est le nom DNS explicite qui
comprend le nom de lordinateur et les sous-domaines du domaine racine. Par exemple, si lordinateur est
dsign en tant que Server2 dans le domaine sales.south.contoso.com, le nom de domaine complet de cet
ordinateur est server2.sales.south.contoso.com.
Conventions dappellation standard DNS

Les caractres suivants sont valides dans les noms DNS :
majuscules de A Z ;
minuscules de a z ;
chiffres de 0 9 ;
Trait dunion (-)

Remarque : Le trait de soulignement (_) est un caractre rserv.
Intgration dAD DS et de DNS

Quand vous commencez planifier votre espace
de noms DNS, vous devez tenir compte la fois
des espaces de noms internes et externes. Lespace
de noms interne est celui que les clients et
serveurs internes utilisent dans votre rseau priv.
Lespace de noms externe est celui par lequel
votre organisation est rfrence sur Internet. Il
nest pas ncessaire que les noms de domaines
DNS interne et externe soient identiques.
Quand vous implmentez les services de domaine
Active Directory (AD DS), vous devez utiliser un
espace de noms DNS pour hberger des
enregistrements AD DS.
Remarque : Examinez soigneusement vos options avant de slectionner un conception
despace de noms pour les services de domaine Active Directory. Bien quil soit possible de
modifier un espace de noms aprs limplmentation des services de domaine Active Directory,
ce processus est long et complexe et compte de nombreuses limitations.
Pour dterminer un espace de noms DNS pour votre environnement AD DS, choisissez parmi les
scnarios suivants :
2-5
Rendre lespace de noms interne identique lespace de noms public. Dans ce scnario, les espaces
de noms internes et publics sont identiques, mais leurs enregistrements sont diffrents. Bien que ce
scnario soit simple, ce qui en fait un choix idal pour les petites organisations, il peut tre difficile
grer pour les rseaux plus grands.
Rendre lespace de noms interne diffrent de lespace de noms public. Dans ce scnario, les espaces
de noms internes et publics sont totalement diffrents. Ils nont aucun lien entre eux. Ce scnario
permet une sparation vidente dans lespace de noms. Dans les rseaux complexes comprenant de
nombreuses applications avec accs par Internet, lutilisation dun nom diffrent prsente de la clart
lors de la configuration de ces applications. Par exemple, les serveurs Edge qui sont placs sur un
rseau de primtre ont souvent besoin de plusieurs cartes dinterface rseau : une connecte au
rseau priv et une destine la maintenance des demandes provenant du rseau public. Si chaque
carte dinterface rseau a un nom de domaine diffrent, il est souvent plus facile de terminer la
configuration de ce serveur.
Faire de lespace de noms interne un sous-domaine de lespace de noms public. Dans ce scnario,
lespace de noms interne est li lespace de noms public, mais il ny a aucune superposition entre
eux. Ceci fournit une approche hybride. Le nom interne est diffrent, ce qui permet la sparation de
lespace de noms. Cependant, le nom interne est galement li au nom public, ce qui offre de la
simplicit. Cette approche est la plus simple implmenter et grer. Cependant, si vous ne pouvez
pas utiliser un sous-domaine de lespace de noms public pour les services de domaine Active
Directory, utilisez des espaces de noms uniques.
Remarque : Dans la plupart des situations, les ordinateurs inclus dans un domaine AD DS
ont un suffixe DNS principal qui correspond au nom de domaine DNS. Il est parfois ncessaire
que ces noms soient diffrents, par exemple, la suite dune fusion ou pendant une acquisition.
Quand les noms diffrent, lespace de noms est dit disjoint. Un scnario despace de noms
disjoint est un scnario dans lequel le suffixe DNS principal dun ordinateur ne correspond pas au
nom de domaine DNS o rside cet ordinateur. Lordinateur dont le suffixe DNS principal ne
correspond pas est dit disjoint. Un autre scnario despace de noms disjoint se produit si le nom
de domaine NetBIOS dun contrleur de domaine ne correspond pas au nom de domaine DNS.
Choix dutilisation dune configuration DNS mixte

Lutilisation du mme espace de noms en interne
et en externe simplifie laccs aux ressources du
point de vue des utilisateurs, mais elle augmente
galement la complexit de gestion. Vous ne
devez pas rendre les enregistrements DNS internes
disponibles en externe. En revanche, la
synchronisation des enregistrements pour les
ressources externes est gnralement requise.
Par exemple, vos espaces de noms internes et
externes peuvent utiliser le nom Contoso.com.
2-6
Lutilisation des espaces de noms uniques pour les espaces de noms internes et publics fournit une
dfinition claire entre le systme DNS interne et externe, et supprimer la ncessit de synchroniser des
enregistrements entre les espaces de noms. Cependant, dans certains cas, avoir plusieurs espaces de noms
peut semer la confusion des utilisateurs. Par exemple, vous pouvez choisir lespace de noms externe de
Contoso.com et lespace de noms interne de Contoso.local. Notez que si vous implmentez une
configuration despace de noms unique, vous ntes plus tenu dutiliser des noms de domaine enregistrs.
Lutilisation dun sous-domaine de lespace de noms public pour les services de domaine Active Directory
supprime la ncessit de synchroniser des enregistrements entre les serveurs DNS internes et externes.
Puisque les espaces de noms sont lis, les utilisateurs trouvent en gnral cette structure facile
comprendre. Par exemple, si votre espace de noms public est Contoso.com, vous pouvez choisir
dimplmenter votre espace de noms interne comme sous-domaine Active Directory ou AD.Contoso.com.
Examen de la configuration DNS mixte
Le fait que les espaces de noms DNS interne et externe correspondent peut poser certains problmes.
Cependant, la configuration DNS mixte peut rsoudre ces problmes. La configuration DNS mixte est
une configuration o votre domaine a deux zones de serveur racine qui contiennent les informations
denregistrement du nom de domaine. Vos htes de rseau interne sont dirigs vers une zone, alors que
les htes externes sont dirigs vers une autre pour la rsolution de noms. Par exemple, dans le cas dune
configuration DNS non mixte pour le domaine Contoso.com, vous pouvez avoir une zone DNS qui
ressemble lexemple prsent dans le tableau suivant.
Hte
Type denregistrement
Adresse IP
www
232.207.2.200
Relais
232.207.2.202
Webserver2
292.268.2.200
Exchange2
292.268.0.202
Quand un ordinateur client sur Internet souhaite accder au relais SMTP laide du nom publi de
relay.contoso.com, il interroge le serveur DNS qui renvoie le rsultat 232.207.2.202. Le client tablit alors
une connexion via SMTP cette adresse IP.
Cependant, les ordinateurs clients sur le rseau intranet de lentreprise utilisent galement le nom publi
de relay.contoso.com. Le serveur DNS renvoie le mme rsultat : une adresse IP publique correspondant
232.207.2.202. Le client tente prsent dtablir une connexion ladresse IP retourne laide de
linterface externe de lordinateur de publication. Selon la configuration du client, lopration peut aboutir
ou ne pas aboutir.
Pour viter ce problme, configurez deux zones pour le mme nom de domaine : une sur chacun des
deux serveurs DNS.
La zone interne pour adatum.com ressemblerait aux informations figurant dans le tableau suivant.
Hte
Adresse IP
www
CNAME
Webserver2.contoso.com
Relais
CNAME
Exchange2.contoso.com
Webserver2
292.268.2.200
Exchange2
292.268.0.202
La zone externe pour adatum.com ressemblerait aux informations figurant dans le tableau suivant.
Hte
Adresse IP
www
232.207.2.200
Relais
232.207.2.202
MX
Relay.contoso.com
Les ordinateurs clients dans les rseaux internes et externes peuvent dsormais rsoudre le nom
relay.contoso.com ladresse IP interne ou externe approprie.
Dmonstration : Installation du rle de serveur DNS

La dmonstration suivante montre comment installer le rle de serveur DNS.
1.
Basculez vers LON-SVR2, puis connectez-vous avec le nom dutilisateur ADATUM\Administrateur

et le mot de passe Pa$$w0rd.
2.
Utilisez le Gestionnaire de serveur pour installer le rle Serveur DNS.
Considrations lies au dploiement du rle serveur DNS

Si vous envisagez de dployer le systme DNS,
vous devez prendre en compte plusieurs points.
Vous devez notamment vous poser les questions
suivantes :
2-7
Combien de zones DNS configurerez-vous sur

le serveur et combien denregistrements DNS
chaque zone contiendra-elle ? En gnral, les
zones sont mappes sur une base linaire
avec des domaines dans votre espace de
noms. Quand vous avez un grand nombre
denregistrements, il peut tre judicieux
de fractionner les enregistrements en
plusieurs zones.
Combien de clients DNS communiqueront avec le serveur sur lequel vous configurez le rle DNS ?
Plus les rsolveurs clients sont nombreux, plus la charge place sur le serveur est importante. Quand
vous anticipez la charge supplmentaire, pensez dployer des serveurs DNS supplmentaires.
O allez-vous placer les serveurs DNS ? Allez-vous, par exemple, centraliser les serveurs DNS dans un
mme endroit ou est-il prfrable de les placer dans des succursales ? Sil y a peu de clients dans une
succursale, vous pouvez satisfaire la plupart des requtes DNS laide dun serveur DNS central ou en
implmentant un serveur rserv la mise en cache. Un grand nombre dutilisateurs dans une
succursale peuvent bnficier dun serveur DNS local avec des donnes de la zone appropries.
Vos rponses aux questions prcdentes dtermineront le nombre de serveurs DNS que vous devez
dployer et leur emplacement.
Intgration dActive Directory

Le rle DNS de Windows Server 2022 peut enregistrer la base de donnes DNS de deux manires
diffrentes, comme indiqu dans le tableau suivant.
Mthode de stockage
Description
2-8
Fichier texte
Le rle de serveur DNS stocke les entres DNS dans un fichier texte que vous
pouvez modifier laide dun diteur de texte.
Active Directory
Le rle de serveur DNS enregistre les entres DNS dans la base de donnes
Active Directory, qui les rplique dautres contrleurs de domaine, mme
sils nexcutent pas le rle DNS de Windows Server 2008. Vous ne pouvez
pas utiliser un diteur de texte pour modifier les donnes DNS que stocke
Active Directory.
Les zones intgres Active Directory sont plus faciles grer que les zones traditionnelles de type texte
et elles sont plus scurises. La rplication des donnes de zone a lieu dans le cadre de la rplication
Active Directory.
Placement des serveurs DNS

En gnral, le rle DNS est dploy sur tous les contrleurs de domaine. Si vous dcidez dimplmenter
une autre stratgie, posez-vous les questions suivantes et gardez les rponses lesprit :
Comment les ordinateurs clients rsoudront-ils des noms si leur serveur DNS habituel nest plus
disponible ?
Quelle sera lincidence sur le trafic rseau si les ordinateurs clients commencent utiliser un autre
serveur DNS, peut-tre situ distance ?
Comment comptez-vous implmenter des transferts de zone ? Les zones intgres Active Directory
utilisent la rplication Active Directory pour transfrer la zone vers tous les autres contrleurs de
domaine. Si vous implmentez des zones non intgres Active Directory, vous devez organiser
vous-mme le mcanisme de transfert de zone.
Leon 2
Configuration du rle de serveur DNS
2-9
Linfrastructure DNS sert de base la rsolution de noms sur Internet et dans des domaines AD DS selon
Windows Server 2022. Cette leon fournit des conseils et des informations au sujet des conditions requises
pour configurer le rle de serveur DNS et explique les fonctions de base dun serveur DNS.
dresser la liste des composants dune solution DNS ;
dcrire le fonctionnement des diffrents types de requtes DNS ;
dcrire les enregistrements de ressource DNS ;
expliquer le fonctionnement des indications de racine ;
expliquer le fonctionnement de la redirection et de la redirection conditionnelle ;
expliquer le fonctionnement de la mise en cache du serveur DNS ;
expliquer comment configurer les proprits du rle serveur DNS.
Quels sont les composants dune solution DNS ?

Les composants dune solution DNS incluent les
serveurs DNS, les serveurs DNS sur Internet et les
rsolveurs ou clients DNS.
Serveurs DNS
Un serveur DNS rpond aux requtes DNS
rcursives et itratives. Les serveurs DNS peuvent
galement hberger une ou plusieurs zones dun
domaine particulier. Les zones contiennent
diffrents enregistrements de ressource. Les
serveurs DNS peuvent galement mettre en
cache des recherches afin de gagner du temps
pour les requtes communes.
Serveurs DNS sur Internet
Les serveurs DNS sur Internet sont accessibles au public. Ils hbergent des informations de zones
publiques et le serveur racine, ainsi que dautres domaines de niveau suprieur courants tels que .com,
.net et .edu.
Remarque : Ne confondez pas ces serveurs avec les serveurs DNS de votre organisation
qui hbergent votre espace de noms public. Ceux-ci sont situs physiquement sur votre rseau
de primtre.
Rsolutions DNS
2-10 Configuration et rsolution des problmes du systme DNS
Le rsolveur DNS gnre et envoie des requtes itratives ou rcursives au serveur DNS. Un rsolveur DNS
peut tre tout ordinateur excutant une recherche DNS qui requiert une interaction avec le serveur DNS.
Les serveurs DNS peuvent galement publier des demandes DNS sur dautres serveurs DNS.
Quest-ce quune requte en mode DNS ?

Une requte DNS correspond la mthode que
vous utilisez pour demander une rsolution de
nom et implique une requte envoye un
serveur DNS. Il existe deux types de rponses aux
requtes DNS : celles faisant autorit et celles ne
faisant pas autorit.
Il est important de noter que les serveurs
DNS peuvent galement servir de rsolveurs
DNS et envoyer des requtes DNS dautres
serveurs DNS.
Un serveur DNS peut faire autorit ou ne pas
faire autorit pour lespace de noms de la
requte. Un serveur DNS fait autorit lorsquil hberge une copie principale ou secondaire
dune zone DNS. Les deux types de requtes sont les suivants :
Une requte faisant autorit est une requte pour laquelle le serveur peut renvoyer une rponse quil
juge correcte parce que la demande est adresse au serveur faisant autorit qui gre le domaine.
Un serveur DNS qui contient dans son cache le domaine demand rpond une requte ne faisant
pas autorit en utilisant des redirecteurs ou des indications de racine. Toutefois, la rponse fournie
risque de ne pas tre exacte parce que seul le serveur DNS faisant autorit pour le domaine donn
peut publier cette information.
Si le serveur DNS fait autorit pour lespace de noms de la requte, il vrifie la zone, puis ragit de lune
des manires suivantes :
Il renvoie ladresse demande.
Il renvoie une rponse de type Non, ce nom nexiste pas faisant autorit.
Remarque : Une rponse faisant autorit peut tre donne uniquement par le serveur
faisant autorit directe pour le nom demand.
Sil ne fait pas autorit pour lespace de noms de la requte, le serveur DNS local ragit de lune des
manires suivantes :
Il vrifie son cache et renvoie une rponse mise en cache.
Il transmet la requte quil ne sait pas rsoudre un serveur spcifique appel redirecteur.
Il utilise les adresses connues de plusieurs serveurs racines pour rechercher un serveur DNS faisant
autorit afin de rsoudre la requte. Ce processus utilise des indications de racine.
Requtes rcursives
Une requte rcursive peut avoir deux rsultats possibles :
Elle renvoie ladresse IP de lhte demand.
Le serveur DNS ne peut pas rsoudre une adresse IP.
2-11
Pour des raisons de scurit, il est parfois ncessaire de dsactiver les requtes rcursives sur un serveur
DNS. Ceci empche le serveur DNS en question de transfrer ses requtes DNS un autre serveur.
Cette dsactivation peut savrer utile lorsque vous ne souhaitez pas quun serveur DNS particulier
communique lextrieur de son rseau local.
Requtes itratives
Les requtes itratives fournissent un mcanisme daccs aux informations de noms de domaine qui se
trouvent dans tout le systme DNS et permettent aux serveurs de rsoudre rapidement et efficacement
des noms sur de nombreux serveurs.
Lorsquun serveur DNS reoit une demande laquelle il ne peut pas rpondre en utilisant ses
informations locales ou ses recherches mises en cache, il fait la mme demande un autre serveur DNS
en utilisant une requte itrative.
Lorsquun serveur DNS reoit une requte itrative, il peut rpondre soit en indiquant ladresse IP du nom
de domaine (sil la connat), soit en adressant la demande aux serveurs DNS responsables du domaine sur
lequel porte la requte.
Enregistrements de ressources DNS

Le fichier de zone DNS stocke les enregistrements
de ressources. Les enregistrements de ressources
spcifient un type de ressource et ladresse IP
permettant de localiser la ressource.
Lenregistrement de ressource le plus courant est
un enregistrement de ressource A. Il sagit dun
enregistrement simple qui rsout un nom dhte
en une adresse IP. Lhte peut tre une station de
travail, un serveur ou un autre priphrique
rseau, tel quun routeur.
Les enregistrements de ressources facilitent

galement la recherche de ressources pour un
domaine particulier. Par exemple, quand un serveur Exchange doit rechercher le serveur qui est charg de
livrer le courrier un autre domaine, il demande lenregistrement MX (Mail Exchanger) de ce domaine,
qui pointe vers lenregistrement A de lhte qui excute le service de messagerie SMTP.
Les enregistrements de ressources peuvent galement contenir des attributs personnaliss. Les
enregistrements MX, par exemple, comportent un attribut de prfrence, qui savre utile si une
organisation possde plusieurs serveurs de messagerie. En effet, cet attribut indique au serveur denvoi le
serveur de messagerie que lorganisation rceptrice prfre. Les enregistrements du localisateur de service
(SRV) contiennent galement des informations sur le port que le service coute et le protocole que vous
devez suivre pour communiquer avec le service.
Le tableau suivant dcrit les enregistrements de ressources les plus courants.

Enregistrements de ressources DNS
Description
Enregistrement de ressource SOA

(Source de noms)
Lenregistrement identifie le serveur de noms principal pour

une zone DNS, ainsi que dautres dtails, comme Dure de vie
(TTL) et les actualise.
Enregistrement de ressource
dadresse dhte (A)
Lenregistrement principal qui rsout un nom dhte en une

adresse IPv4.
Enregistrement de ressource de nom

canonique (CNAME)
Un type denregistrement dalias qui mappe un nom un

autre (par exemple, www.microsoft.com est un CNAME de
lenregistrement A de microsoft.com).
Enregistrement de ressource MX
Lenregistrement est utilis pour spcifier un serveur de

messagerie lectronique pour un domaine particulier.
Enregistrement de ressource SRV
Lenregistrement identifie un service qui est disponible dans le

domaine. Active Directory utilise ces enregistrements de
manire intensive.
Enregistrement de ressource de
serveur de noms (NS)
Lenregistrement identifie un serveur de noms pour un

domaine.
AAAA
Lenregistrement principal qui rsout un nom dhte en une

adresse IPv6.
Enregistrement de ressource
pointeur (PTR)
Lenregistrement est utilis pour rechercher une adresse IP

et la mapper un nom de domaine. La zone de recherche
inverse stocke les noms.
Quest-ce que les indications de racine ?

Les indications de racine correspondent la liste
des serveurs sur Internet que votre serveur DNS
utilise sil ne parvient pas rsoudre une requte
DNS en utilisant un redirecteur DNS ou son propre
cache. Les indications de racine correspondent aux
serveurs les plus levs dans la hirarchie DNS et
peuvent fournir les informations ncessaires un
serveur DNS pour quil excute une requte
itrative sur la couche infrieure suivante de
lespace de noms DNS.
Les serveurs racines sont automatiquement
installs lorsque vous installez le rle DNS. Ils sont
copis partir du fichier cache.dns inclus dans les fichiers dinstallation du rle DNS.
Vous pouvez galement ajouter des indications de racine un serveur DNS pour prendre en charge
des recherches de domaines non contigus dans une fort.
2-13
Lorsquun serveur DNS communique avec un serveur dindications de racine, il utilise uniquement une
requte itrative. Si vous slectionnez loption Ne pas utiliser la rcursivit pour ce domaine, le serveur
ne sera pas en mesure dexcuter des requtes sur les indications de racine. Si vous configurez le serveur
pour utiliser un redirecteur, il essaiera denvoyer une requte rcursive son serveur de redirection. Si le
serveur de redirection ne rpond pas cette requte, le serveur rpondra que lhte est introuvable.
Il est important de comprendre que la rcursivit sur un serveur DNS et les requtes rcursives sont deux
choses diffrentes. La rcursivit sur un serveur signifie que le serveur utilise ses indications de racine pour
essayer de rsoudre une requte DNS. La rubrique suivante dcrit les requtes itratives et rcursives de
manire plus approfondie.
Quest-ce que le transfert ?

Un redirecteur est un paramtre de configuration
de serveur DNS qui transfre des requtes DNS de
noms DNS externes aux serveurs DNS situs
lextrieur de ce rseau. Vous pouvez galement
utiliser des redirecteurs conditionnels pour
transfrer des requtes en fonction de noms de
domaine spcifiques.
Un serveur DNS de rseau est appel redirecteur
lorsque dautres serveurs DNS de ce rseau lui
transfrent les demandes quils ne savent pas
rsoudre localement. En utilisant un redirecteur,
vous pouvez grer la rsolution des noms situs
lextrieur de votre rseau, tels que des noms sur Internet, et amliorer lefficacit de la rsolution de
noms pour les ordinateurs de votre rseau.
Le serveur qui transfre les demandes sur le rseau doit tre capable de communiquer avec le serveur
DNS situ sur Internet. Cela signifie que soit vous le configurez afin de transfrer les demandes un autre
serveur DNS, soit il utilise des indications de racine pour communiquer.
Mthode conseille
Utilisez un serveur DNS de redirection central pour la rsolution de noms Internet. Il permet damliorer
les performances, de simplifier la rsolution des problmes et constitue une mthode conseille pour
assurer la scurit. Vous pouvez isoler le serveur DNS de redirection dans un rseau de primtre, lequel
garantit quaucun serveur au sein du rseau ne communique directement avec Internet.
Redirection conditionnelle
Un redirecteur conditionnel est un paramtre de configuration du serveur DNS qui redirige des requtes
DNS en fonction du nom du domaine DNS contenu dans les requtes. Par exemple, vous pouvez
configurer un serveur DNS afin quil transfre toutes les requtes quil reoit concernant des noms se
terminant par corp.contoso.com ladresse IP dun serveur DNS spcifique ou aux adresses IP de plusieurs
serveurs DNS. Ce transfert peut savrer utile lorsque vous avez plusieurs espaces de noms DNS dans une
fort.
Mthodes conseilles pour la redirection conditionnelle
Utilisez des redirecteurs conditionnels si vous avez plusieurs espaces de noms internes. Ainsi, la rsolution
de noms est plus rapide.
Fonctionnement de la mise en cache du serveur DNS

La mise en cache DNS augmente les performances
du systme DNS dune organisation en acclrant
les recherches DNS.
Lorsquun serveur DNS rsout correctement un
nom DNS, il ajoute ce nom son cache. Au fur et
mesure, il gnre un cache des noms de
domaine et de leurs adresses IP associes pour les
domaines les plus courants que lorganisation
utilise ou auxquels elle accde.
Remarque : Le dlai par dfaut de mise en
cache des donnes DNS slve une heure. Pour configurer ce paramtre, modifiez
lenregistrement SOA pour la zone DNS approprie.
Un serveur cache uniquement nhberge pas des donnes de zone DNS ; il rpond seulement aux
recherches des clients DNS. Il sagit du type idal de serveur DNS utiliser en tant que redirecteur.
Le cache client DNS est un cache DNS que le service Client DNS enregistre sur lordinateur local.
Pour afficher le cache ct client actuel, excutez la commande ipconfig /displaydns dans linvite de
commandes. Si vous devez dsactiver le cache local, par exemple lorsque vous dpannez la rsolution
de noms, utilisez la commande ipconfig /flushdns.
Remarque : Vous pouvez galement utiliser les applets de commande
Windows PowerShell suivants :
clear-DnsClientCache pour supprimer le cache de rsolution DNS
get-DnsClientCache pour afficher le cache de rsolution
Dmonstration : Configuration du rle de serveur DNS

Cette dmonstration montre comment configurer les proprits du serveur DNS.
Configurer les proprits du serveur DNS
1.
Basculez vers LON-DC2, puis si ncessaire, connectez-vous avec le nom ADATUM\Administrateur et

le mot de passe Pa$$w0rd.
2.
Ouvrez la console DNS .
3.
Examinez les proprits du serveur LON-DC2 :

Dans longlet Redirecteurs, vous pouvez configurer le transfert.
b.
Dans longlet Avanc, vous pouvez configurer des options comme scuriser le cache contre la
pollution et DNSSEC.
c.
Dans longlet Indications de racine, vous pouvez voir la configuration des serveurs dindications
de racine.
d.
Dans longlet Enregistrement de dbogage, vous pouvez configurer les options

denregistrement de dbogage.
e.
Dans longlet Enregistrement des vnements, vous pouvez configurer le niveau

denregistrement des vnements.
f.
Dans longlet Analyse, vous pouvez raliser des essais simples et rcursifs par rapport au serveur.
g.
Dans longlet Scurit, vous pouvez dfinir des autorisations sur linfrastructure DNS.
partir du nud Redirecteurs conditionnels, vous pouvez configurer la redirection conditionnelle :

a.
Dans la bote de dialogue Nouveau redirecteur conditionnel, dans la zone Domaine DNS,
saisissez contoso.com.
b.
Cliquez sur la zone <Cliquez ici pour ajouter un adresse IP ou un nom DNS>. Saisissez
232.207.2.2, puis appuyez sur Entre. La validation chouera puisquil sagit simplement dun
exemple de configuration.
Effacer le cache DNS
2-15
a.
Configurer la redirection conditionnelle
Dans le volet de navigation, cliquez avec le bouton droit sur LON-DC2, puis cliquez sur Effacer
le cache.
Leon 3
Configuration des zones DNS
Les zones DNS constituent un important concept dans linfrastructure DNS, car elles vous permettent de
sparer et de grer les domaines DNS de manire logique. Cette leon fournit des informations de base
permettant de comprendre les relations entre les zones et les domaines DNS ainsi que des informations
sur les diffrents types de zones DNS disponibles dans le rle DNS de Windows Server 2022.
expliquer une zone DNS ;
expliquer les diffrents types de zone DNS disponibles dans Windows Server 2022 ;
expliquer la fonction des zones de recherche directe et inverse ;
expliquer lobjectif des zones de stub ;
expliquer comment crer des zones ;
expliquer comment utiliser la dlgation de zone DNS.
Quest-ce quune zone DNS ?

Une zone DNS hberge lintgralit ou une
partie dun domaine et ses sous-domaines.
La diapositive illustre la manire dont les sousdomaines peuvent appartenir la mme zone
que leurs parents ou tre dlgus une autre
zone. Le domaine microsoft.com est spar en
deux zones. La premire zone hberge les
enregistrements de www.microsoft.com et de
ftp.microsoft.com. Example.microsoft.com est
dlgu une nouvelle zone, laquelle hberge
le sous-domaine example.microsoft.com et ses
enregistrements (ftp.example.microsoft.com et
www.example.microsoft.com).
Remarque : La zone qui hberge une racine du domaine (microsoft.com) doit dlguer
le sous-domaine (example.microsoft.com) la deuxime zone. Dans le cas contraire,
example.microsoft.com sera trait comme sil faisait partie de la premire zone.
Les donnes de zone peuvent tre rpliques sur plusieurs serveurs. Cette rplication ajoute de la
redondance une zone parce que les informations ncessaires pour rechercher des ressources dans la
zone existent dsormais sur deux serveurs ou plus. Le niveau de redondance ncessaire constitue une
raison de crer des zones. Si vous avez une zone qui hberge des enregistrements de ressources de
serveurs critiques, il est probable que cette zone possde un niveau de redondance plus lev quune
zone dans laquelle des priphriques non critiques sont dfinis.
Caractristiques dune zone DNS

Les donnes dune zone sont gres sur un serveur DNS et peuvent tre stockes de deux manires :
dans un fichier de zone plat qui contient des listes de correspondance ;
intgres dans Active Directory.
2-17
Un serveur DNS fait autorit pour une zone sil hberge les enregistrements de ressources correspondant
aux noms et aux adresses que les clients demandent dans le fichier de zone.
Quels sont les types de zones DNS ?

Les quatre types de zones DNS sont :
Principale
Secondaire
Stub
Intgre Active Directory
Zone principale
Lorsquune zone hberge par un serveur DNS est

une zone principale, le serveur DNS est la source
principale dinformations sur cette zone et il
stocke la copie originale des donnes de la zone
dans un fichier local ou dans les services de domaine Active Directory (AD DS). Lorsque le serveur DNS
stocke la zone dans un fichier, le fichier de la zone principale est, par dfaut, nomm zone_name.dns
et se trouve dans le dossier %windir%\System32\Dns du serveur. Lorsque la zone nest pas stocke dans
Active Directory, le serveur DNS hbergeant la zone principale est le seul serveur DNS qui a une copie
accessible en criture du fichier de zone.
Zone secondaire
Lorsquune zone hberge par un serveur DNS est une zone secondaire, le serveur DNS est une source
secondaire pour les informations de cette zone. La zone au niveau de ce serveur doit tre obtenue partir
dun autre serveur DNS distant qui lhberge galement. Ce serveur DNS doit avoir un accs rseau au
serveur DNS distant pour recevoir les informations mises jour de la zone. tant donn quune zone
secondaire est une copie dune zone principale quun autre serveur hberge, elle ne peut pas tre stocke
dans AD DS. Les zones secondaires peuvent tre utiles si vous rpliquez des donnes partir des zones
DNS qui ne sont pas sur Windows ou si vous excutez le systme DNS sur les serveurs qui ne sont pas des
contrleurs de domaine AD DS.
Zone de stub
Windows Server 2003 a introduit les zones de stub, qui permettent de rsoudre plusieurs problmes lis
aux grands espaces de noms DNS et aux forts multi-arborescentes. Une fort multi-arborescente est une
fort Active Directory qui contient deux noms de domaine de niveau suprieur diffrents.
Zone intgre Active Directory
Si Active Directory stocke la zone, le serveur DNS peut tirer parti du modle de rplication multimatre
pour rpliquer la zone principale. Cela vous permet de modifier des donnes de zone sur tout serveur
DNS. Windows Server 2008 a introduit un nouveau concept appel contrleur de domaine en lecture
seule (RODC, read-only domain controller). Les donnes dune zone intgre Active Directory peuvent
tre rpliques sur des contrleurs de domaine, mme si le rle DNS nest pas install sur le contrleur
de domaine. Si le serveur est un contrleur de domaine en lecture seule, un processus local ne peut pas
crire dans les donnes.
Quest-ce que les zones de recherche directe et inverse ?

Les zones peuvent tre directes ou inverses.
Les zones inverses sont parfois appeles
zones inverses.
Zone de recherche directe

La zone de recherche directe rsout des
noms dhte en adresses IP et hberge les
enregistrements de ressources courants suivants :
A, CNAME, SRV, MX, SOA, TXT et NS.
Zone de recherche inverse

La zone de recherche inverse rsout une
adresse IP en nom de domaine et hberge les
enregistrements SOA, NS et PTR.
Une zone inverse fonctionne de la mme manire quune zone directe, mais ladresse IP est la partie de
la requte et le nom dhte correspond aux informations renvoyes. Les zones inverses ne sont pas
toujours configures, mais vous devez les configurer pour rduire le nombre de messages davertissement
et derreur. De nombreux protocoles Internet standard se fient aux donnes de recherche des zones
inverses pour valider les informations des zones directes. Par exemple, si la recherche directe indique
que training.contoso.com est rsolu en 292.268.2.45, vous pouvez utiliser une recherche inverse pour
confirmer que 292.268.2.45 est associ training.contoso.com.
Il est important davoir une zone inverse si vous possdez des applications recherchent des htes par
leurs adresses IP. De nombreuses applications consignent ces informations dans des journaux de scurit
ou des vnements. Si vous observez une activit suspecte partir dune adresse IP particulire, vous
pouvez rsoudre lhte laide des informations de la zone inverse.
De nombreuses passerelles de scurit de messagerie lectronique utilisent des recherches inverses pour
confirmer quune adresse IP qui envoie des messages est associe un domaine.
Vue densemble des zones de stub

Une zone de stub est une copie rplique dune
zone qui contient uniquement les enregistrements
de ressources ncessaires lidentification des
serveurs DNS faisant autorit pour la zone en
question. Une zone de stub rsout les noms entre
des espaces de noms DNS distincts, lesquels
peuvent savrer ncessaires lorsquune fusion
dentreprises a besoin que les serveurs DNS de
deux espaces de noms DNS distincts rsolvent les
noms des clients dans les deux espaces de noms.
Une zone de stub comprend ce qui suit :
2-19
lenregistrement de ressource Source de noms

(SOA, Start Of Authority), les enregistrements de ressources Serveur de noms (NS, Name Server)
et les enregistrements de ressources de type A de la zone dlgue ;
ladresse IP dun ou de plusieurs serveurs matres que vous pouvez utiliser pour mettre jour la zone
de stub.
Les serveurs matres dune zone de stub correspondent un ou plusieurs serveurs DNS faisant autorit
pour la zone enfant, gnralement le serveur DNS hbergeant la zone principale pour le nom de
domaine dlgu.
Rsolution dune zone de stub
Lorsquun rsolveur DNS effectue une opration de requte rcursive sur un serveur DNS hbergeant une
zone de stub, ce serveur utilise les enregistrements de ressources de la zone de stub pour rsoudre la
requte. Le serveur DNS envoie une requte itrative aux serveurs DNS faisant autorit que spcifient
les enregistrements de ressources NS de la zone de stub, comme sil utilisait les enregistrements de
ressources NS de sa mmoire cache. Sil ne trouve pas les serveurs DNS faisant autorit dans sa zone de
stub, le serveur DNS qui hberge la zone de stub essaie la rcursivit standard laide dindications
de racine.
Le serveur DNS stockera les enregistrements de ressources quil reoit des serveurs DNS faisant autorit
quune zone de stub rpertorie dans son cache, mais il ne stockera pas les enregistrements de ressources
dans la zone de stub elle-mme. Seuls les enregistrements SOA, NS et A envoys en rponse la requte
sont stocks dans la zone de stub. Les enregistrements de ressources stocks dans le cache sont conservs
conformment la dure de vie (TTL) indique dans chaque enregistrement de ressource. Les
enregistrements de ressources SOA, NS et A, qui ne sont pas crits dans le cache, expirent conformment
lintervalle dexpiration que lenregistrement SOA de la zone de stub spcifie. Pendant la cration de la
zone de stub, lenregistrement SOA est cr. Les mises jour des enregistrements SOA se produisent
pendant les transferts de la zone principale dorigine la zone de stub.
Si la requte est itrative, le serveur DNS renvoie une rfrence contenant les serveurs spcifis par la
zone de stub.
Communication entre des serveurs DNS qui hbergent des zones parents et enfants
Un serveur DNS qui dlgue un domaine une zone enfant sur un serveur DNS diffrent est inform des
nouveaux serveurs DNS faisant autorit pour la zone enfant uniquement lorsque les enregistrements de
ressources qui les concernent sont ajouts la zone parent que le serveur DNS hberge. Il sagit dun
processus manuel qui requiert que les administrateurs des diffrents serveurs DNS communiquent souvent.
Les zones de stub permettent un serveur DNS qui hberge une zone de stub pour lun de ses domaines
dlgus dobtenir des mises jour des serveurs DNS faisant autorit pour la zone enfant lorsque la zone
de stub est mise jour. La mise jour est effectue depuis le serveur DNS qui hberge la zone de stub et
ladministrateur du serveur DNS qui hberge la zone enfant na pas besoin dtre contact.
Diffrence entre les zones de stub et les redirecteurs conditionnels

Il peut exister une certaine confusion au sujet de lopportunit dutiliser les redirecteurs conditionnels
plutt que des zones de stub. Cela est d au fait que les deux fonctionnalits de DNS permettent un
serveur DNS de rpondre une requte avec une rfrence un autre serveur DNS ou en la transfrant
un autre serveur DNS. Pourtant, ces paramtres ont des objectifs diffrents :
Un paramtre de redirecteur conditionnel configure le serveur DNS afin quil transfre une requte
quil reoit un serveur DNS, en fonction du nom DNS contenu dans la requte.
Une zone de stub maintient le serveur DNS qui hberge une zone parent inform de tous les serveurs
DNS faisant autorit sur une zone enfant.
Quand utiliser les redirecteurs conditionnels
Si vous souhaitez que les clients DNS de rseaux distincts rsolvent leurs noms respectifs sans avoir
interroger les serveurs DNS sur Internet, notamment dans le cas dune fusion dentreprises, vous devez
configurer les serveurs DNS de chaque rseau pour quils redirigent les requtes de noms de lautre
rseau. Les serveurs DNS dun rseau redirigent les noms des clients de lautre rseau vers un serveur DNS
spcifique qui cre un cache volumineux contenant les informations relatives lautre rseau. Cela vous
permet de crer un point de contact direct entre les serveurs DNS des deux rseaux, ce qui rduit le
besoin de rcursivit.
Toutefois, les zones de stub napportent pas le mme avantage de serveur serveur. La raison est quun
serveur DNS hbergeant une zone de stub dans un rseau rpond aux requtes de noms de lautre rseau
par la liste de tous les serveurs DNS qui font autorit sur la zone contenant ce nom, plutt que les
serveurs DNS spcifiques que vous avez dsigns pour traiter ce trafic. Cette configuration complique
tous les paramtres de scurit que vous voulez tablir entre les serveurs DNS spcifiques qui sexcutent
dans chacun des rseaux.
Quand utiliser des zones de stub
Utilisez les zones de stub quand vous souhaitez quun serveur DNS reste inform des serveurs DNS faisant
autorit pour une zone trangre.
Un redirecteur conditionnel ne constitue pas une mthode efficace pour maintenir un serveur DNS
hbergeant une zone parente inform des serveurs DNS faisant autorit sur une zone enfant. En effet,
ds que les serveurs DNS faisant autorit pour la zone enfant changent, vous devez configurer le
paramtre du redirecteur conditionnel manuellement sur le serveur DNS qui hberge la zone parente.
Plus prcisment, vous devez mettre ladresse IP jour pour chaque nouveau serveur DNS faisant autorit
pour la zone enfant.
Dmonstration : Cration des zones

Cette dmonstration montre comment :
crer une zone de recherche inverse ;
crer une zone de recherche directe.
Crer une zone de recherche inverse
1.
Basculez vers LON-DC2, puis crez une nouvelle zone de recherche inverse pour
le sous-rseau IPv4 272.26.0.0.
2.
Activez les mises niveau dynamiques sur la zone.
Crer une zone de recherche directe

4.
Basculez vers LON-SVR2, puis ouvrez la console DNS.
5.
Crez une nouvelle zone de recherche directe.
3.
Configurez le type comme secondaire, puis dfinissez LON-DC2 en tant que serveur Matre
pour cette zone.
Dlgation de zone DNS

Le systme DNS est hirarchique et la dlgation
de zone relie les couches DNS entre elles. Une
dlgation de zone pointe vers le niveau
hirarchique infrieur suivant et identifie les
serveurs de noms responsables du domaine de
niveau infrieur.
Lorsque vous dterminez sil est ncessaire de
diviser lespace de noms DNS pour ajouter des
zones supplmentaires, considrez les raisons
suivantes dutiliser des zones supplmentaires :
Vous avez besoin de dlguer la gestion

dune partie de lespace de noms DNS un
autre emplacement ou dpartement de votre organisation.
Vous devez diviser une grande zone en zones plus petites afin de distribuer les charges de trafic
entre plusieurs serveurs. Cela amliore les performances de rsolution de nom DNS et cre un
environnement DNS qui tolre mieux les pannes.
Vous avez besoin dtendre lespace de noms en ajoutant de nombreux sous-domaines

immdiatement pour prendre en charge louverture dune nouvelle filiale ou dun nouveau site.
2-21
Leon 4
Configuration des transferts de zone DNS
Les transferts de zone DNS dterminent la manire dont linfrastructure DNS dplace les informations de
zone DNS dun serveur vers un autre. Sans transferts de zone, les diffrents serveurs de noms dans votre
organisation grent des copies disparates des donnes de la zone. Vous devez galement considrer que
la zone contient des donnes sensibles et la protection des transferts de zone est importante. Cette leon
dcrit les diffrentes mthodes que le rle de serveur DNS utilise lors du transfert de zones.
dcrire le fonctionnement des transferts de zone DNS ;
expliquer la manire de configurer la scurit de transfert de zone ;
expliquer la manire de configurer des transferts de zone DNS.
Quest-ce quun transfert de zone DNS ?

Un transfert de zone se produit lorsque vous
rpliquez la zone DNS situe sur un serveur
sur un autre serveur DNS.
Les transferts de zone synchronisent les zones de
serveur DNS principales et secondaires. Cest ainsi
que le systme DNS constitue sa rsilience sur
Internet. Il est important que les zones DNS
restent jour sur les serveurs principaux et
secondaires. Les divergences dans les zones
principales et secondaires peuvent provoquer
des dfaillances du service et une rsolution
incorrecte des noms dhte.
Les transferts de zone peuvent se produire de lune des trois faons suivantes :
Transfert de zone intgral. Un transfert de zone complet se produit lorsque vous copiez la zone
entire dun serveur DNS vers un autre. Un transfert de zone complet est appel AXFR
(All Zone Transfer).
Transfert de zone incrmentiel. Un transfert de zone incrmentiel se produit lorsquune mise jour du
serveur DNS est effectue et que seuls les enregistrements de ressources modifis sont rpliqus sur
lautre serveur. Il sagit dun transfert de zone incrmentiel (IXFR, Incremental Zone Transfer).
Transfert rapide. Les serveurs DNS Windows effectuent galement des transferts rapides, qui
correspondent un type de transfert de zone qui utilise la compression et envoie plusieurs
enregistrements de ressources dans chaque transmission.
Toutes les implmentations de serveurs DNS ne prennent pas en charge les transferts de zone
incrmentiels et rapides. Lors de lintgration dun serveur DNS Windows 2022 avec un serveur DNS BIND
(Berkeley Internet Name Domain), vous devez vrifier que les fonctionnalits dont vous avez besoin sont
prises en charge par la version BIND installe.
Le tableau suivant rpertorie les fonctionnalits que les diffrents serveurs DNS prennent en charge.
Serveur DNS
Transfert de zone
complet (AXFR)
Transfert de zone
incrmentiel (IXFR)
Transfert rapide
2-23
BIND antrieur 4.9.4
Pris en charge
Non pris en charge
Non pris en charge
BIND versions 4.9.4 8.2
Pris en charge
Non pris en charge
Pris en charge
BIND 8.2
Pris en charge
Pris en charge
Pris en charge
Windows 2000 Service

Pack 3 (SP3)
Pris en charge
Pris en charge
Pris en charge
Windows 2003 (R2)
Pris en charge
Pris en charge
Pris en charge
Windows 2008 et R2
Pris en charge
Pris en charge
Pris en charge
Windows 2022
Pris en charge
Pris en charge
Pris en charge
Les zones intgres Active Directory rpliquent les informations laide de la rplication des services de
domaine Active Directory multimatres au lieu du processus de transfert de zone. Cela signifie que tout
contrleur de domaine standard qui dtient galement le rle DNS peut mettre jour les informations de
zone DNS, qui se rpliquent ensuite sur tous les serveurs DNS qui hbergent la zone DNS.
DNS Notify
DNS Notify est utilis par un serveur matre pour avertir ses serveurs secondaires configurs que des mises
jour de zone sont disponibles. Les serveurs secondaires interrogent alors leur matre pour obtenir les
mises jour. DNS Notify est une mise jour de la spcification dorigine du protocole DNS qui permet
dinformer les serveurs secondaires lorsquune zone est modifie. Cette mise jour savre utile dans un
environnement o le temps est crucial et o lexactitude des donnes est importante.
Configuration de la scurit du transfert de zone

Les informations de zone fournissent des donnes
dentreprise. Vous devez donc prendre des
prcautions pour vrifier quelles sont protges
contre tout accs dutilisateur malintentionn et
quil nest pas possible de les remplacer par des
donnes errones (ce processus est appel
empoisonnement DNS). Une faon de protger
linfrastructure DNS est de scuriser les transferts
de zone.
Dans longlet Transferts de zone de la bote de

dialogue Proprits de la zone, vous pouvez
spcifier la liste des serveurs DNS autoriss. Vous
pouvez galement utiliser ces options pour rejeter le transfert de zone. Par dfaut, les transferts de zone
sont dsactivs.
Bien que loption spcifiant les serveurs autoriss demander des donnes de zone garantisse leur
scurit en limitant les destinataires de ces donnes, elle ne scurise pas ces donnes pendant leur
transmission. Si les informations de zone sont hautement confidentielles, nous vous recommandons
dutiliser une stratgie de scurit du protocole Internet (IPsec, Internet Protocol Security) pour
scuriser la transmission ou de rpliquer les donnes de zone sur un tunnel de rseau priv virtuel (VPN,
Virtual Private Network). Ainsi, vous empchez les dtecteurs de paquet didentifier des informations
contenues dans la transmission des donnes.
Lutilisation de zones intgres Active Directory permet de rpliquer les donnes de zone dans le cadre
de rplications AD DS normales. Le transfert de zone est alors scuris lors de la rplication des services
de domaine Active Directory.
Dmonstration : Configuration des transferts de zone DNS

Cette dmonstration vous explique comment :
activer les transferts de zone DNS ;
mettre la zone secondaire jour depuis le serveur matre ;
mettre la zone principale jour et vrifier ensuite les modifications sur la zone secondaire.
Activer les transferts de zone DNS
1.
Sur LON-DC2, activez les transferts de zone en configurant loption Autoriser les transferts de zone.
2.
Configurez les transferts de zone Uniquement vers les serveurs lists dans longlet Serveurs
de noms.
3.
Configurez la notification sur Uniquement vers les serveurs lists dans longlet Serveurs de noms.
4.
Ajoutez LON-SVR2.adatum.com en tant que serveur de noms rpertori pour recevoir des transferts.
Mettre la zone secondaire jour depuis le serveur matre
Basculez vers LON-SVR2 et dans le Gestionnaire DNS, slectionnez Transfert partir du matre. Il
est parfois ncessaire deffectuer cette tape un certain nombre de fois avant les transferts de zone.
Notez galement que le transfert peut se produire automatiquement tout moment.
Mettre la zone principale jour et vrifier ensuite les modifications

sur la zone secondaire
1.
Revenez LON-DC2, puis crez un enregistrement dalias.
2.
Revenez LON-SVR2, puis vrifiez que le nouvel enregistrement est prsent dans la zone secondaire.
Cela peut ncessiter un Transfert partir du matre manuel et une actualisation de lcran avant
que lenregistrement soit visible.
Leon 5
Gestion et dpannage du systme DNS
2-25
Le service DNS est crucial dans linfrastructure Active Directory. Lorsque le service DNS rencontre des
problmes, il est important de savoir comment les rsoudre et de savoir identifier les problmes courants
pouvant se produire dans une infrastructure DNS. Cette leon dcrit les problmes courants qui se
produisent dans le service DNS, les sources dinformations DNS courantes et les outils que vous pouvez
utiliser pour rsoudre les problmes.
expliquer en quoi la dure de vie, le vieillissement et le nettoyage facilitent la gestion des

enregistrements DNS ;
expliquer comment grer la dure de vie, le vieillissement et le nettoyage des enregistrements DNS ;
expliquer comment identifier des problmes lis DNS laide des outils DNS ;
dcrire comment dpanner le systme DNS laide des outils DNS ;
expliquer comment analyser le systme DNS laide du journal des vnements DNS et de
lenregistrement de dbogage.
Quest-ce quest la dure de vie, le vieillissement et le nettoyage ?

La dure de vie (TTL, Time to Live), le vieillissement
et le nettoyage facilitent la gestion des
enregistrements de ressources DNS dans les fichiers
de zone. Les fichiers de zone peuvent changer au fil
du temps ; par consquent, il doit exister un moyen
de grer les enregistrements DNS mis jour ou non
valides parce que les htes quils reprsentent ne se
trouvent plus sur le rseau.
Le tableau suivant dcrit les outils DNS qui
permettent de grer une base de donnes DNS.
Outil
Description
TTL
Indique la dure pendant laquelle un enregistrement DNS demeure valide et

inligible au nettoyage.
Vieillissement
Se produit lorsque les enregistrements insrs dans le serveur DNS atteignent leur
date dexpiration et sont supprims. Le vieillissement permet de maintenir lexactitude
de la base de donnes de zone. Dans le cadre dun fonctionnement normal, le
vieillissement doit grer les enregistrements de ressources DNS obsoltes.
Nettoyage
Excute le nettoyage des anciens enregistrements de ressources de serveurs DNS dans

le systme DNS. Si des enregistrements de ressources nont pas subi de vieillissement,
un administrateur peut dbarrasser la base de donnes de zone des enregistrements
obsoltes quelle contient en forant le nettoyage de la base de donnes.
Si elle nest pas gre, la prsence denregistrements de ressources obsoltes dans les donnes de zone
peut engendrer des problmes. Par exemple :
Si un grand nombre denregistrements de ressources obsoltes restent dans les zones du serveur,
ils peuvent finir par occuper lespace disque du serveur et provoquer des transferts de zone
inutilement longs.
Un serveur DNS qui charge les zones avec des enregistrements de ressources obsoltes risque
dutiliser des informations obsoltes pour rpondre aux requtes des clients, ce qui risque damener
les ordinateurs clients rencontrer des problmes de rsolution de noms ou de connectivit sur
le rseau.
Laccumulation denregistrements de ressources obsoltes sur le serveur DNS risque de dgrader

ses performances et sa ractivit.
Dans certains cas, la prsence dun enregistrement de ressource obsolte dans une zone peut
empcher un autre ordinateur ou priphrique dhte dutiliser un nom de domaine DNS.
Pour rsoudre ces problmes, le service de serveur DNS comporte les fonctionnalits suivantes :
Horodatage, selon la date et lheure du jour dfinies sur le serveur, pour tous les enregistrements
de ressources ajouts dynamiquement aux zones de type principal. En outre, les horodatages sont
enregistrs dans les zones principales standard pour lesquelles vous activez le vieillissement et le
nettoyage.
Pour les enregistrements de ressources que vous ajoutez manuellement, vous utilisez une valeur
dhorodatage gale zro pour indiquer que le processus de vieillissement naffecte pas ces
enregistrements et quils peuvent rester dfinitivement dans les donnes de zone, sauf si vous
modifiez leur horodatage ou si vous les supprimez.
Vieillissement des enregistrements de ressources dans les donnes locales, en fonction dune priode
dactualisation spcifie, pour toutes zones ligibles.
Seules les zones de type principal que le service de serveur DNS charge peuvent participer
ce processus.
Nettoyage de tous les enregistrements de ressources conservs au-del de la priode

dactualisation spcifie.
Lorsquun serveur DNS excute une opration de nettoyage, il peut dterminer que les enregistrements
de ressources ont vieilli au point dtre devenus obsoltes et les supprimer ensuite des donnes de zone.
Vous pouvez configurer des serveurs afin quils excutent automatiquement des oprations de nettoyage
rcurrentes, ou vous pouvez initialiser une opration de nettoyage immdiate au niveau du serveur.
Remarque : Par dfaut, le mcanisme de vieillissement et de nettoyage du service de
serveur DNS est dsactiv. Vous devez lactiver uniquement lorsque vous comprenez entirement
tous les paramtres. Sinon, vous risquez de configurer le serveur afin quil supprime
accidentellement des enregistrements qui ne devraient pas tre supprims. Si un enregistrement
est supprim accidentellement, non seulement les utilisateurs ne pourront pas rsoudre les
requtes le concernant, mais ils pourront crer cet enregistrement et en devenir propritaire,
mme sur les zones que vous configurez des fins de mise jour dynamique scurise. Cela
prsente un risque important pour la scurit.
Le serveur utilise le contenu de chaque horodatage propre aux enregistrements de ressources, ainsi que
dautres proprits de vieillissement et de nettoyage que vous pouvez ajuster ou configurer, pour
dterminer le moment auquel il nettoie les enregistrements.
Conditions pralables pour le vieillissement et le nettoyage
2-27
Avant de pouvoir utiliser les fonctionnalits de vieillissement et de nettoyage du systme DNS, plusieurs
conditions doivent tre remplies :
Vous devez activer les fonctionnalits de nettoyage et de vieillissement sur le serveur DNS et la zone.
Par dfaut, le vieillissement et le nettoyage des enregistrements de ressources est dsactiv.
Vous devez ajouter des enregistrements de ressources dynamiquement ou les modifier manuellement
afin de les utiliser dans des oprations de vieillissement et de nettoyage.
En gnral, seuls les enregistrements de ressources que vous ajoutez dynamiquement laide du
protocole de mise jour dynamique DNS peuvent faire lobjet dun vieillissement et dun nettoyage.
Pour les enregistrements que vous ajoutez aux zones en chargeant un fichier de zone de type texte depuis
un autre serveur DNS ou en les ajoutant manuellement une zone, un horodatage gal zro est dfini.
Cet horodatage rend ces enregistrements inligibles une utilisation dans des oprations de vieillissement
et de nettoyage.
Pour modifier cette valeur par dfaut, vous pouvez administrer individuellement ces enregistrements, les
rinitialiser et les autoriser utiliser une valeur dhorodatage actuelle (diffrente de zro). Celle-ci permet
ces enregistrements de vieillir et dtre nettoys.
Dmonstration : Gestion des enregistrements DNS

configurer la dure de vie ;
activer et configurer le nettoyage et le vieillissement.
Configurer la dure de vie
1.
Basculez vers LON-DC2, puis ouvrez les proprits de la zone Adatum.com.
2.
Dans longlet Source de noms, configurez la valeur Dure de vie minimale (par dfaut) 2 heures.
Activer et configurer le nettoyage et le vieillissement

1.
Cliquez avec le bouton droit sur LON-DC2, puis slectionnez loption Vieillissement de
serveur/Proprits de nettoyage pour configurer les options de vieillissement et de nettoyage.
2.
Activez Nettoyer les enregistrements de ressources obsoltes, puis utilisez les valeurs par dfaut.
Dmonstration : Test de la configuration du serveur DNS
Des problmes peuvent se produire lorsque vous ne configurez pas le serveur DNS, ainsi que ses zones et
ses enregistrements de ressources, correctement. Lorsque des enregistrements de ressources provoquent
des problmes, il peut savrer parfois plus difficile didentifier le vrai problme parce que les problmes
de configuration ne sont pas toujours vidents.
Le tableau suivant rpertorie les problmes de configuration susceptibles de provoquer des problmes de
serveur DNS.
Problme
Result
Enregistrements manquants
Les enregistrements pour un hte ne se trouvent pas sur le serveur

DNS. Ils ont peut-tre t nettoys prmaturment. Cela peut
empcher des stations de travail de se connecter.
Enregistrements incomplets
Les enregistrements auxquels il manque des informations requises

pour localiser la ressource quils reprsentent peuvent amener des
clients qui demandent la ressource utiliser des informations non
valides. Par exemple, un enregistrement de service qui ne contient
pas ladresse de port requise est un exemple denregistrement
incomplet.
Enregistrements mal configurs
Les enregistrements qui pointent vers une adresse IP non valide

ou qui comportent des informations non valides dans leur
configuration provoquent des problmes lorsque des clients DNS
essaient de rechercher des ressources.
Les outils utiliss pour rsoudre ces problmes et dautres problmes de configuration sont les suivants :
Nslookup. Utilisez cet outil pour interroger des informations DNS. Il sagit dun outil flexible, capable
de fournir des informations prcieuses propos de ltat du serveur DNS. Vous pouvez galement
lutiliser pour rechercher des enregistrements de ressources et valider leur configuration. Vous
pouvez, en outre, tester des transferts de zone, des options de scurit et la rsolution des
enregistrements MX.
Remarque : Vous pouvez utiliser lapplet de commande Windows PowerShell Resolve-DnsName

pour remplir des fonctions similaires Nslookup en rsolvant les problmes lis au systme DNS.
Windows PowerShell. Vous pouvez utiliser les applets de commande Windows PowerShell pour
configurer et dpanner diffrents aspects du systme DNS.
Dnscmd. Grez le service de serveur DNS laide de cette interface de ligne de commande. Cet
utilitaire permet de crer des scripts dans des fichiers de commandes dans le but dautomatiser des
tches de gestion DNS de routine ou de procder un simple travail dinstallation et de configuration
sans assistance de nouveaux serveurs DNS sur votre rseau.
2-29
IPconfig. Utilisez cette commande pour afficher et modifier les dtails de la configuration IP que
lordinateur utilise. Cet utilitaire inclut des options de ligne de commande supplmentaires que vous
pouvez utiliser pour dpanner les clients DNS et les prendre en charge. Vous pouvez consulter le
cache DNS local dun client laide de la commande ipconfig /displaydns et vous pouvez effacer le
cache local laide de la commande ipconfig /flushdns.
Remarque : Vous pouvez galement utiliser les applets de commande Windows PowerShell
suivants :
clear-DnsClientCache pour supprimer le cache de rsolution DNS
get-DnsClientCache pour afficher le cache de rsolution
Onglet Analyse sur le serveur DNS. Sous longlet Analyse du serveur DNS, vous pouvez configurer un test
qui permet au serveur DNS de dterminer sil peut rsoudre des requtes locales simples et excuter
une requte rcursive dans le but de vrifier que le serveur peut communiquer avec des serveurs en
amont. Vous pouvez galement planifier ces tests pour quils sexcutent de manire rgulire.
Ce sont des tests de base, mais ils constituent un bon point de dpart pour dpanner le service DNS.
Les causes possibles de lchec dun test incluent les suivantes :
o
Le service de serveur DNS a chou.
Le serveur en amont nest pas disponible sur le rseau.
Cette dmonstration montre comment utiliser Nslookup.exe pour tester la configuration du serveur DNS.
1.
Ouvrez une invite de commandes, puis excutez la commande suivante :

nslookup d2 LON-svr2.Adatum.com
2.
Examinez les informations fournies par nslookup.
Analyse du systme DNS laide du journal des vnements DNS

Le serveur DNS possde sa propre catgorie dans
le journal des vnements. Comme avec tout
journal des vnements de lObservateur
dvnements Windows, vous devez consulter
rgulirement le journal des vnements.
vnements DNS courants

Le tableau suivant dcrit les vnements DNS courants.
ID dvnement
Description
Le serveur DNS a dmarr. Ce message apparat gnralement au dmarrage

lorsque vous dmarrez soit le serveur, soit le service de serveur DNS.
Le serveur DNS a t arrt. Ce message apparat gnralement lorsque le serveur

est arrt ou lorsque vous arrtez le service de serveur DNS manuellement.
408
Le serveur DNS na pas pu ouvrir le socket pour ladresse [IPaddress]. Vrifiez quil
sagit dune adresse IP valide pour le serveur.
Pour corriger le problme, vous pouvez effectuer les oprations suivantes :
1.
Si ladresse IP spcifie nest pas valide, supprimez-la de la liste des interfaces

restreintes du serveur et redmarrez le serveur.
2.
Si ladresse IP spcifie nest plus valide et quelle tait la seule adresse active
que le serveur DNS pouvait utiliser, le serveur risque de ne pas avoir dmarr
en raison de cette erreur de configuration. Pour corriger ce problme,
supprimez la valeur suivante du Registre et redmarrez le serveur DNS :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Paramet
ers\ListenAddress
3.
423
Si ladresse IP du serveur est valide, vrifiez quaucune autre application

susceptible dutiliser le mme port de serveur DNS (telle quune autre
application de serveur DNS) ne sexcute. Par dfaut, le serveur DNS utilise le
port TCP 53.
Le serveur DNS envoie des demandes dautres serveurs DNS sur un port autre
que son port par dfaut (port TCP 53).
Ce serveur DNS est multirsident et a t configur afin de restreindre le service

de serveur DNS quelques-unes de ses adresses IP configures uniquement.
Cest pourquoi il nexiste aucune garantie que les requtes DNS soumises par ce
serveur dautres serveurs DNS distants seront envoyes laide de lune des
adresses IP actives pour le serveur DNS.
Cela risque dempcher les rponses aux requtes renvoyes par ces serveurs
dtre reues sur le port DNS que le serveur est configur pour utiliser. Pour
viter ce problme, le serveur DNS envoie des requtes dautres serveurs DNS
laide dun port non-DNS arbitraire, puis la rponse est reue indpendamment
de ladresse IP utilise.
Si vous souhaitez que le serveur DNS utilise uniquement son port DNS configur
pour envoyer des requtes dautres serveurs DNS, utilisez la console DNS pour
effectuer lune des modifications suivantes dans la configuration des proprits
du serveur sous longlet Interfaces :
o
Slectionnez Toutes les adresses IP pour permettre au serveur DNS dcouter

sur toutes les adresses IP du serveur configures.
Slectionnez Uniquement les adresses IP suivantes pour limiter la liste des

adresses IP une seule adresse IP du serveur.
(suite)
ID dvnement
Description
2-31
424
Le serveur ne possde actuellement aucun suffixe DNS principal configur. Son

nom DNS est actuellement un nom dhte en une partie. Par exemple, son nom
configur est host plutt que host.example.microsoft.com ou un autre nom de
domaine complet.
Bien que le serveur DNS possde un nom en une partie, les enregistrements de
ressources par dfaut crs pour ses zones configures utilisent uniquement ce
nom en une partie pour faire correspondre le nom dhte de ce serveur DNS. Cela
peut gnrer des rfrences incorrectes et errones lorsque les clients et dautres
serveurs DNS utilisent ces enregistrements pour localiser ce serveur par son nom.
En gnral, vous devez reconfigurer le serveur DNS avec un nom dordinateur DNS
complet appropri pour son domaine ou groupe de travail sur votre rseau.
708
Le serveur DNS na pas dtect de zones de type principal ou secondaire.

Il sexcutera en tant que serveur cache uniquement, mais ne fera autorit sur
aucune zone.
3250
Le serveur DNS a crit une nouvelle version de la zone [zonename] dans le fichier
[filename]. Vous pouvez consulter le nouveau numro de version en cliquant sur
longlet Donnes denregistrement.
Cet vnement doit apparatre uniquement si vous configurez le serveur DNS en
tant que serveur racine.
6527
La zone [zonename] a expir avant la fin du transfert de zone ou de la mise jour

partir dun serveur matre agissant comme source pour la zone. La zone a t
ferme.
Cet ID dvnement peut apparatre lorsque vous configurez le serveur DNS afin
dhberger une copie secondaire de la zone partir dun autre serveur DNS qui lui
sert de source ou de serveur matre. Vrifiez que ce serveur possde une
connectivit rseau son serveur matre configur.
Si le problme persiste, considrez une ou plusieurs des options suivantes :
1.
Supprimez la zone et recrez-la, en spcifiant soit un serveur matre diffrent,

soit une adresse IP mise jour et corrige du mme serveur matre.
2.
Si lexpiration de zone continue, envisagez dajuster lintervalle dexpiration.
Analyse du serveur DNS laide de lenregistrement de dbogage

Parfois, il peut tre ncessaire dobtenir davantage
de dtails sur un problme DNS que ceux que
lObservateur dvnements fournit. Le cas
chant, vous pouvez utiliser lenregistrement
de dbogage pour obtenir des informations
supplmentaires.
Les options denregistrement de dbogage DNS
suivantes sont disponibles :
Direction des paquets. Cette option comporte

les paramtres suivants :
o
Envoi. Le fichier journal du serveur DNS

enregistre les paquets que le serveur DNS envoie.
Rception. Le fichier journal enregistre les paquets que le serveur DNS reoit.
Contenu des paquets. Cette option comporte les paramtres suivants :
Requte standard. Indique que des paquets contenant des requtes standard, conformment au
document RFC (Request for Comments) 2034, sont enregistrs dans le fichier journal du serveur DNS.
Mises jour. Indique que des paquets contenant des requtes dynamiques, conformment au
document RFC 2236, sont enregistrs dans le fichier journal du serveur DNS.
Notifications. Indique que des paquets contenant des notifications, conformment au document
RFC 2996, sont enregistrs dans le fichier journal du serveur DNS.
Protocole de transport. Cette option comporte les paramtres suivants :

o
UDP. Indique que des paquets envoys et reus via le protocole de datagramme utilisateur (UDP,
User Datagram Protocol) sont enregistrs dans le fichier journal du serveur DNS
TCP. Indique que des paquets envoys et reus via le protocole TCP sont enregistrs dans le
fichier journal du serveur DNS
Type de paquet. Cette option comporte les paramtres suivants :

o
Requte. Enregistre des informations sur les paquets de demande dans le fichier journal du
serveur DNS. Un paquet de requte est caractris par un bit de requte/rponse (QR) dfini
zro dans len-tte du message DNS.
Un bit QR est un champ un bit qui spcifie si ce message est une requte (0) ou une rponse.
Rponse. Enregistre des informations sur les paquets de rponse dans le fichier journal du
serveur DNS. Un paquet de rponse est caractris par un bit QR dfini 2 dans len-tte
du message DNS.
2-33
Filtrer les paquets par adresse IP. Cette option fournit dautres options de filtrage des paquets
enregistrs dans le fichier journal du serveur DNS. Cette option permet denregistrer dans le journal
des informations sur les paquets envoys partir dadresses IP spcifiques vers un serveur DNS ou
inversement.
Taille maximale (octets). Cette option vous permet de dfinir la taille de fichier maximale du fichier
journal du serveur DNS. Lorsque le fichier journal du serveur DNS atteint sa taille maximale spcifie,
le serveur DNS remplace les informations des paquets les plus anciens par les nouvelles informations.
Si vous ne spcifiez pas de taille de fichier journal maximale, le fichier journal du serveur DNS peut
occuper une grande quantit despace disque.
Par dfaut, toutes les options denregistrement de dbogage sont dsactives. Lorsque vous les activez de
manire slective, le service de serveur DNS peut excuter un enregistrement supplmentaire au niveau
du suivi des types slectionns dvnements ou de messages pour le dpannage gnral et le dbogage
du serveur.
Lenregistrement de dbogage DNS peut utiliser les ressources de manire intense, ce qui risque de nuire
aux performances gnrales du serveur et consomme de lespace disque. Par consquent, vous devez
lutiliser uniquement de manire temporaire, lorsque vous avez besoin dinformations plus dtailles sur
les performances du serveur.
Remarque : Dns.log contient lactivit denregistrement de dbogage. Par dfaut, ce fichier
se trouve dans le dossier %systemroot%\System32\Dns.
Atelier pratique : Configuration et rsolution

des problmes du systme DNS
Scnario
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour assister le
sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client Windows
Server 2022.
Vous avez t invit ajouter plusieurs nouveaux enregistrements de ressource au service DNS install sur
LON-DC2. Les enregistrements comprennent un nouvel enregistrement MX pour Exchange Server 2020
et un enregistrement SRV pour un dploiement Microsoft Lync en cours.
A. Datum travaille avec une organisation partenaire, Contoso, Ltd. Vous avez t invit configurer
la rsolution de nom interne entre ces deux organisations. Une petite succursale a signal que les
performances de rsolution de noms sont faibles. La succursale est quipe dun serveur Windows
Server 2022 qui assume plusieurs rles. Cependant, aucun plan na t tabli en vue dimplmenter un
contrleur de domaine supplmentaire. Vous avez t invit installer le rle de serveur DNS dans la
succursale et crer une zone secondaire dAdatum.com. Pour garantir la scurit, vous avez t charg
de configurer le serveur de la succursale pour quil figure sur la liste de notification des transferts de
zone Adatum.com. Vous devez aussi mettre jour tous les clients de la succursale pour quils utilisent
le nouveau serveur de noms dans la succursale.
Vous devez configurer le nouveau rle de serveur DNS pour excuter le nettoyage et le vieillissement
standard selon les besoins et conformment la stratgie dentreprise. Aprs limplmentation du
nouveau serveur, vous devez tester et vrifier la configuration laide des outils standard de dpannage
du systme DNS.
Objectifs
configurer les enregistrements de ressource DNS ;
configurer la redirection conditionnelle DNS ;
installer et configurer les zones DNS ;
dpanner le systme DNS.

22422B-LON-DC2
22422B-LON-SVR2
22422B-LON-CL2
Nom dutilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd

3-1
Module 3
Gestion des services de domaine Active Directory
Table des matires :
3-1
Leon 1 : Vue densemble dAD DS
3-2
Leon 2 : Implmentation des contrleurs de domaine virtualiss
3-8
Leon 3 : Implmentation des contrleurs de domaine en lecture seule
3-13
Leon 4 : Administration dAD DS
3-18
Leon 5 : Gestion de la base de donnes AD DS
3-18
3-37
3-43
Les services de domaine Active Directory (AD DS) reprsentent le composant le plus critique dun rseau
Windows Server 2012 bas sur un domaine. AD DS contient des informations importantes sur
lauthentification, lautorisation et les ressources dans votre environnement. Ce module explique pourquoi
vous implmentez des fonctionnalits spcifiques dAD DS, comment les composants importants
sintgrent les uns aux autres et comment vous pouvez vrifier que votre rseau bas sur un domaine
fonctionne correctement.
Vous dcouvrirez de nouvelles fonctionnalits, telles que le clonage virtualis de contrleur de domaine,
des fonctionnalits rcentes comme les contrleurs de domaine en lecture seule (RODC) et bien dautres
fonctionnalits et outils que vous pouvez utiliser dans lenvironnement dAD DS.
Objectifs
Expliquer la structure gnrale dAD DS.
Implmenter des contrleurs de domaine virtualiss.
Implmenter des contrleurs de domaine en lecture seule.
Administrer AD DS.
Grer la base de donnes AD DS.
Leon 1
Vue densemble dAD DS
3-2
La base de donnes AD DS stocke des informations sur lidentit de lutilisateur, les ordinateurs, les
groupes, les services et les ressources. Les contrleurs de domaine AD DS hbergent galement le service
qui authentifie les comptes dutilisateur et informatiques quand ils se connectent au domaine. AD DS
stocke des informations sur tous les objets du domaine, et tous les utilisateurs et ordinateurs doivent se
connecter aux contrleurs de domaine Active Directory DS quand ils se connectent au rseau. Par
consquent, AD DS est la mthode principale par laquelle vous pouvez configurer et grer les comptes
dutilisateur et dordinateur sur votre rseau.
Cette leon couvre les composants logiques de base dun dploiement dActive Directory DS.
Dcrire les composants AD DS.
Expliquer la structure de la fort et schmatique dAD DS.
Expliquer la structure de domaine dAD DS.
Vue densemble des composants AD DS

AD DS se compose la fois de composants
physiques et logiques. Vous devez
comprendre la manire dont les composants
dActive Directory DS fonctionnent ensemble de
sorte pouvoir maintenir efficacement votre
environnement AD DS.
Composants physiques
Les informations relatives AD DS sont stockes
dans un fichier unique sur le disque dur de
chaque contrleur de domaine. Le tableau suivant
prsente quelques composants physiques et leurs
emplacements de stockage.
Composant physique
Description
Contrleurs de
domaine
Contient des copies de la base de donnes AD DS.
Magasin de donnes
Fichier sur chaque contrleur de domaine qui stocke les informations AD DS.
Serveurs de catalogue
global
Hbergent le catalogue global, lequel est une copie partielle, en lecture

seule, de tous les objets dans la fort. Un catalogue global acclre les
recherches dobjets susceptibles dtre stocks sur des contrleurs de
domaine dun domaine diffrent de la fort.
Contrleurs de
domaine en lecture
seule (RODC)
Une installation AD DS spciale au format lecture seule. Vous utilisez cela en

gnral dans les filiales o la scurit et le support technique peuvent tre
moins avances que dans les centres daffaires principaux dune entreprise.
Composants logiques
Les composants logiques AD DS sont des structures utilises pour limplmentation dune conception
Active Directory approprie une organisation. Le tableau suivant dcrit certains types de structures
logiques quune base de donnes Active Directory peut contenir.
Composant logique
Description
3-3
Partition
Une section de la base de donnes AD DS. Bien que la base de donnes soit
rellement juste un fichier nomm NTDS.DIT, les utilisateurs laffichent, le
grent et le rpliquent comme sil se composait de sections ou dinstances
distinctes. Il sagit de partitions ou de contextes de nommage.
Schma
Dfinit la liste des types dobjets et dattributs que tous les objets AD DS
peuvent avoir.
Domaine
Limite dadministration logique pour les utilisateurs et les ordinateurs.
Arborescence de
domaine
Collection des domaines qui partagent un domaine racine commun et un

espace de noms du systme de noms de domaine (DNS).
Fort
Une collection des domaines qui partagent un service AD DS commun.
Site
Une collection dutilisateurs, de groupes et dordinateurs, qui sont dfinis par

leurs emplacements physiques. Les sites sont utiles dans des tches
dadministration de la planification telles que la rplication des modifications
vers la base de donnes AD DS.
Unit dorganisation
Les units dorganisation (OU) sont des conteneurs dans AD DS qui

fournissent une infrastructure pour dlguer des droits administratifs et pour
lier des objets de stratgie de groupe (GPO).
Prsentation de la structure de la fort et schmatique dAD DS

Dans AD DS, la structure de fort et schmatique
sont importantes pour la dfinition de la
fonctionnalit et de ltendue de votre
environnement.
Structure des forts dAD DS

Une fort est une collection dune ou plusieurs
arbres de domaines. Une fort est une collection
dune ou de plusieurs arborescences de domaine.
Le premier domaine qui est cr dans la fort est
appel le domaine racine de la fort. Le domaine
racine de la fort contient quelques objets qui
nexistent pas dans dautres domaines de la fort.
Par exemple, le domaine racine de la fort contient deux rles spciaux, le contrleur de schma et
le matre dattribution de noms de domaine. En outre, le groupe Administrateurs de lentreprise et le
groupe Administrateurs du schma existent seulement dans le domaine racine de fort. Le groupe
Administrateurs de lentreprise a le contrle total sur chaque domaine de la fort.
3-4
La fort AD DS est une limite de scurit. Ceci signifie que, par dfaut, aucun utilisateur provenant de
lextrieur de la fort ne peut accder aux ressources situes lintrieur de la fort. Cela signifie galement
que des administrateurs provenant de lextrieur de la fort nont aucun accs dadministration lintrieur
de la fort. Une des raisons principales pour lesquelles les organisations dploient plusieurs forts est
quelles doivent isoler des autorisations administratives entre diffrentes parties de lorganisation.
La fort AD DS est galement la limite de rplication pour les partitions de configuration et de schma dans
la base de donnes des services AD DS. Ceci signifie que tous les contrleurs de domaine de la fort doivent
partager le mme schma. Une deuxime raison pour laquelle les organisations dploient plusieurs forts est
quelles doivent dployer des schmas incompatibles dans deux parties de lorganisation.
La fort AD DS est galement la limite de rplication du catalogue global. Ceci facilite la plupart
des formulaires de collaboration entre les utilisateurs de diffrents domaines. Par exemple, tous les
destinataires Microsoft Exchange Server 2010 sont lists dans le catalogue global, ce qui facilite lenvoi
de courrier lectronique aux utilisateurs de la fort, mme ces utilisateurs dans des domaines diffrents.
Par dfaut, tous les domaines dune fort approuvent automatiquement les autres domaines dans la
fort. Ceci facilite lactivation de laccs aux ressources telles que des partages de fichiers et des sites
Web pour tous les utilisateurs dans une fort, indpendamment du domaine dans lequel le compte
dutilisateur est situ.
Structure schmatique des services AD DS
Le schma AD DS est le composant AD DS qui dfinit tous les types dobjets et attributs quAD DS utilise
pour stocker des donnes. Il est parfois dsign en tant que modle pour AD DS.
AD DS stocke et rcupre les informations dune grande varit dapplications et de services. Le service
AD DS normalise la manire dont les donnes sont stockes de sorte quil puisse enregistrer et rpliquer
des donnes partir de ces diverses sources. En normalisant la manire dont les donnes sont stockes,
AD DS peut rcuprer, mettre jour et rpliquer des donnes, tout en vrifiant que lintgrit des
donnes est maintenue.
AD DS utilise des objets comme units de stockage. Tous les types dobjets sont dfinis dans le schma.
Chaque fois que le rpertoire traite des donnes, le rpertoire interroge le schma pour une dfinition
approprie de lobjet. Selon la dfinition de lobjet dans le schma, le rpertoire cre lobjet et stocke les
donnes.
Les dfinitions de lobjet contrlent les types de donnes que les objets peuvent stocker et la syntaxe
des donnes. En utilisant ces informations, le schma vrifie que tous les objets se conforment leurs
dfinitions standard. En consquence, AD DS peut stocker, rcuprer et valider les donnes quil gre,
indpendamment de lapplication qui est la source dorigine des donnes. Seules des donnes qui ont
une dfinition existante de lobjet dans le schma peuvent tre stockes dans le rpertoire. Si un nouveau
type de donnes doit tre stock, une nouvelle dfinition dobjet pour les donnes doit dabord tre
cre dans le schma.
Dans AD DS, le schma dfinit ce qui suit :
les objets qui sont utiliss pour stocker des donnes dans le rpertoire ;
les rgles qui dfinissent quels types dobjets vous pouvez crer, quels attributs doivent tre dfinis
(obligatoire) quand vous crez lobjet et quels attributs sont facultatifs ;
la structure et le contenu du rpertoire elle-mme.
3-5
Vous pouvez utiliser un compte qui est un membre des administrateurs de schma pour modifier les
composants de schma sous forme de graphique. Les exemples des objets qui sont dfinis dans le schma
comprennent lutilisateur, lordinateur, le groupe et le site. Parmi les nombreux attributs sont compris les
suivants : emplacement, accountExpires, buildingName, socit, gestionnaire et displayName.
Le contrleur de schma est lun des contrleurs de domaine des oprations matre unique dans AD DS.
Puisque cest un matre unique, vous devez apporter des modifications au schma en ciblant le contrleur
de domaine qui dtient le rle des oprations du contrleur de schma.
Le schma est rpliqu sur tous les contrleurs de domaine de la fort. Tout changement qui est apport
au schma est rpliqu chaque contrleur de domaine de la fort partir du titulaire du rle du matre
doprations de schma, en gnral le premier contrleur de domaine de la fort.
Puisque le schma dicte la manire dont les informations sont stockes et puisque toute modification
apporte au schma affecte chaque contrleur de domaine, les modifications apportes au schma
doivent tre ralises seulement si ncessaire. Avant dapporter des modifications, vous devez examiner
les modifications au moyen dun processus bien contrl, puis implmentez-les seulement aprs avoir
ralis le test pour vrifier que les modifications ne compromettront pas le reste de la fort ni aucune
application qui utilise AD DS.
Bien que vous ne puissiez pas apporter de modification au schma directement, quelques applications
apportent des modifications au schma pour prendre en charge des fonctionnalits supplmentaires. Par
exemple, quand vous installez Exchange Server 2010 dans votre fort AD DS, le programme dinstallation
tend le schma pour prendre en charge de nouveaux types dobjets et attributs.
Prsentation de la structure de domaine AD DS

Un domaine AD DS est un regroupement logique
dutilisateur, ordinateur et objets collectifs pour
des raisons de gestion et de scurit. Tous ces
objets sont enregistrs dans la base de donnes
AD DS, et une copie de cette base de donne est
enregistre sur chaque contrleur de domaine
dans le domaine AD DS.
Il y a plusieurs types dobjets qui peuvent tre

stocks dans la base de donnes AD DS, y compris
des comptes dutilisateur. Les comptes dutilisateur
fournissent un mcanisme que vous pouvez
utiliser pour authentifier puis autoriser des
utilisateurs accder des ressources sur le rseau. Chacun ordinateur ayant un domaine joint doit avoir
un compte dans AD DS. Ceci permet des administrateurs de domaine dutiliser les stratgies qui sont
dfinies dans le domaine pour grer les ordinateurs. Le domaine enregistre galement des groupes, qui
sont le mcanisme de regroupement des objets pour des raisons administratives ou de scurit ; par
exemple, des comptes dutilisateur et des comptes dordinateur.
Le domaine AD DS est galement une limite de rplication. Quand des modifications sont apportes
nimporte quel objet du domaine, cette modification est rplique automatiquement tous les autres
contrleurs de domaine du domaine.
3-6
Un domaine AD DS est un centre dadministration. Il contient un compte Administrateur et un groupe

Administrateurs du domaine ; chacun a le contrle total sur chaque objet du domaine. moins quils ne
soient dans le domaine racine de fort, leur plage de contrle est toutefois limite au domaine. Des rgles
de mot de passe et de compte sont gres au niveau du domaine par dfaut. Le domaine AD DS fournit
galement un centre dauthentification. Tous les comptes dutilisateur et comptes dordinateur dans le
domaine sont enregistrs dans la base de donnes du domaine et les utilisateurs et les ordinateurs
doivent se connecter un contrleur de domaine pour sauthentifier.
Un domaine unique peut contenir plus de 1 million dobjets, ainsi la plupart des organisations doivent
dployer un seul domaine. Les organisations qui ont dcentralis les structures administratives, ou qui
sont distribus travers plusieurs emplacements, pourraient plutt implmenter plusieurs domaines dans
la mme fort.
Contrleurs de domaine
Un contrleur de domaine est un serveur que vous pouvez configurer pour stocker une copie de la base
de donnes dannuaire AD DS (NTDS.DIT) et une copie du dossier SYSVOL (System Volume). Tous les
contrleurs de domaine, except les contrleurs de domaine en lecture seule, enregistrent une copie en
lecture/criture de NTDS.DIT et du dossier SYSVOL. NTDS.DIT est la base de donnes elle-mme et le
dossier SYSVOL contient tous les paramtres de modle des GPO.
Des modifications portant sur la base de donnes des services AD DS peuvent tre initialises sur
nimporte quel contrleur de domaine dun domaine, hormis pour les contrleurs de domaine en lecture
seule. Le service de rplication AD DS synchronise alors les modifications et les mises jour de la base de
donnes AD DS vers tous autres contrleurs de domaine du domaine. En outre, le service de rplication
de fichiers (FRS) ou la rplication de systme de fichiers distribus la plus rcente (DFS-R) rplique les
dossiers SYSVOL.
Un domaine AD DS doit toujours avoir un minimum de deux contrleurs de domaine. De cette faon, si
lun des contrleurs de domaine choue, il y a une sauvegarde pour garantir la continuit des services de
domaine AD DS. Quand vous dcidez dajouter plus de deux contrleurs de domaine, considrez la taille
de votre organisation et des impratifs en matire de performances.
Units dorganisation
Une unit dorganisation est un objet conteneur dans un domaine que vous pouvez utiliser pour
consolider des utilisateurs, des groupes, des ordinateurs et dautres objets. Il y a deux raisons de crer
des units dorganisation :
pour configurer des objets contenus dans lunit dorganisation. Vous pouvez attribuer des GPO
lunit dorganisation et les paramtres sappliquent tous les objets dans lunit dorganisation.
Les GPO sont des stratgies que les administrateurs crent pour grer et configurer les comptes
dordinateurs et dutilisateurs. La manire la plus commune de dployer ces stratgies est de les lier
aux units dorganisation.
Pour dlguer le contrle administratif dobjets prsents dans lunit dorganisation. Vous pouvez
attribuer des autorisations de gestion sur une unit dorganisation, dlguant de ce fait le contrle
de cette unit dorganisation un utilisateur ou un groupe dans AD DS autre que ladministrateur.
3-7
Vous pouvez utiliser des units dorganisation pour reprsenter les structures hirarchiques et logiques au
sein de votre organisation. Par exemple, vous pouvez crer des units dorganisation qui reprsentent les
services de votre organisation, les rgions gographiques de votre organisation ou une combinaison des
rgions dpartementales et gographiques. Vous pouvez utiliser des units dorganisation pour grer la
configuration et lutilisation des comptes dutilisateur, de groupe et dordinateur en fonction de votre
modle dorganisation.
Chaque domaine AD DS contient un jeu standard de conteneurs et dunits dorganisation qui sont crs
quand vous installez AD DS, y compris ce qui suit :
un conteneur de domaine. Sert de conteneur racine la hirarchie.
conteneur Users. Lemplacement par dfaut pour les nouveaux comptes dutilisateur et groupes que
vous crez dans le domaine. Le conteneur Users contient galement les comptes dadministrateur
et dinvit du domaine, et quelques groupes par dfaut.
conteneur Computer. Lemplacement par dfaut pour les nouveaux comptes dordinateur que vous
crez dans le domaine.
unit dorganisation Domain Controllers. Lemplacement par dfaut des comptes dordinateur pour
les comptes dordinateur du contrleur de domaine. Cest la seule unit dorganisation qui est
prsente dans une nouvelle installation dAD DS.
Remarque : Aucun des conteneurs par dfaut dans le domaine AD DS ne peut avoir des
GPO lis eux, except pour les units dorganisation Contrleurs de domaine par dfaut et le
domaine lui-mme. Tous les autres conteneurs sont juste des dossiers. Pour lier des GPO afin
dappliquer des configurations et des restrictions, crez une hirarchie des units dorganisation,
puis reliez-les aux GPO.
Leon 2
Implmentation des contrleurs de domaine virtualiss
3-8
La virtualisation est une pratique commune des services informatiques. Les avantages de consolidation et
de performances que la virtualisation fournit sont de grands atouts pour nimporte quelle organisation.
Les services AD DS Windows Server 2012 et les contrleurs de domaine connaissent dsormais mieux
la virtualisation. Dans cette leon, vous dcouvrirez les lments prendre en compte concernant
limplmentation de contrleurs de domaine virtualiss dans Windows Server 2012 et la manire de
dployer et de grer ces contrleurs de domaine dans lenvironnement AD DS.
Identifier les lments prendre en compte concernant limplmentation des contrleurs

de domaine virtualiss clons.
Expliquer comment dployer un contrleur de domaine virtualis clon.
Dcrire comment grer les instantans de contrleur de domaine virtualiss.
Prsentation des contrleurs de domaine virtualiss clons
Windows Server 2012 prsente le clonage de

contrleur de domaine virtualis. Dans les versions
prcdentes de Windows Server, les contrleurs
de domaine qui sexcutaient dans un ordinateur
virtuel ne connaissaient pas leur tat virtuel.
Cela rendait potentiellement dangereux
lexcution de processus comme le clonage et la
restauration dinstantans dordinateur virtuel,
car les modifications pouvaient se produire sur
lenvironnement du systme dexploitation non
prvu par le contrleur de domaine. Par exemple,
deux contrleurs de domaine ne peuvent pas
coexister dans la mme fort avec le mme nom, identificateur dinvocation et identificateur global
unique (GUID) dagent de systme de rpertoire (DSA). Dans des versions prcdentes de Windows
antrieures Windows Server 2012, vous criez des contrleurs de domaine virtualiss en dployant une
image de serveur de base Sysprepped, puis en la promouvant manuellement pour tre un contrleur de
domaine. Windows Server 2012 fournit des fonctions spcifiques de virtualisation aux contrleurs de
domaine virtualiss (VDC) AD DS pour rsoudre ces problmes.
Les VDC Windows Server 2012 fournissent deux avantages importants :
vous pouvez cloner des contrleurs de domaine sans risque pour dployer une capacit
supplmentaire et gagner du temps de configuration.
La restauration accidentelle des instantans de contrleur de domaine ne perturbe pas

lenvironnement AD DS.
Clonage des VDC dans Windows Server 2012

Dans Windows Server 2012, cloner des ordinateurs virtuels qui agissent en tant que contrleurs de
domaine donne la possibilit de dployer rapidement des contrleurs de domaine dans votre
environnement. Par exemple, vous pouvez devoir augmenter les contrleurs de domaine de votre
environnement pour prendre en charge lutilisation augmente dAD DS. Vous pouvez dployer
rapidement des contrleurs de domaine supplmentaires avec le processus suivant :
1.
excutez lopration de clonage sur un VDC existant.
2.
Arrtez le VDC existant, puis utilisez Hyper-V pour exporter les fichiers de lordinateur virtuel.
3.
Dmarrez le VDC existant (sil doit continuer dans lutilisation de production).
4.
Utilisez Hyper-V pour importer les fichiers de lordinateur virtuel en tant que nouvel ordinateur
virtuel, puis mettez en marche lordinateur virtuel, qui contient maintenant le nouveau contrleur
de domaine.
3-9
Le clonage de contrleur de domaine virtuel fournit les avantages suivants dans Windows Server 2012 :
dploiement rapide du contrleur de domaine dans une nouvelle fort ou un nouveau domaine ;
mise en service progressive des contrleurs de domaine pour grer la charge accrue ;
remplacement ou rcupration rapide des contrleurs de domaine pour la continuit daffaires ;
mise en service rapide des environnements de test.
Clonage sr
Les contrleurs de domaine ont des caractristiques uniques qui rendent le clonage non gr
prjudiciable au processus de rplication de la base de donnes AD DS. Les contrleurs de domaine
simplement clons terminent avec le mme nom, ce qui nest pas pris en charge dans le mme domaine
ou la mme fort. Dans les versions prcdentes de Windows Server, vous deviez prparer un contrleur
de domaine au clonage laide de sysprep. Aprs le processus de clonage, vous deviez alors promouvoir
le nouveau serveur vers un contrleur de domaine manuellement.
Avec le clonage sr dans Windows Server 2012, un contrleur de domaine clon excute
automatiquement un sous-ensemble de processus sysprep et ralise la promotion avec les donnes
existantes AD DS locales comme support dinstallation.
Sauvegarde et restauration sres
La restauration dun ancien instantan dun VDC est problmatique car AD DS utilise la rplication
plusieurs matres qui se fonde sur des transactions ayant des valeurs numriques attribues appeles
des nombres de squences de mise jour (USN). Le VDC essaye dattribuer des USN aux transactions
antrieures qui ont dj t attribues aux transactions valides. Ceci provoque des incohrences dans la
base de donnes AD DS. Windows Server 2003 et les versions plus rcentes implmentent un processus
qui est appel la protection de la restauration des USN. Avec ceci en place, le VDC ne rplique pas, et
vous devez le rtrograder de force ou le restaurer manuellement.
Windows Server 2012 dtecte maintenant ltat instantan dun contrleur de domaine et synchronise
ou rplique le delta des modifications, entre un contrleur de domaine et ses partenaires pour AD DS
et le SYSVOL. Vous pouvez maintenant utiliser des instantans sans risque de dsactiver de manire
permanente des contrleurs de domaine et de requrir manuellement la rtrogradation, le nettoyage
de mtadonnes et la repromotion forcs.
Dployer un contrleur de domaine virtualis clon

Lors du dploiement dun VDC, considrez
ce qui suit concernant linstallation :
Tous les ordinateurs Windows Server 2012

prennent automatiquement en charge le
clonage de VDC.
Les exigences suivantes doivent tre satisfaites

pour prendre en charge le clonage des VDC :
Le rle FSMO de lmulateur du

contrleur de domaine principal (PDC)
doit tre situ sur un contrleur de
domaine Windows Server 2012.
Le contrleur de domaine hbergeant le rle doprations matre unique flottant (FSMO)

dmulateur PDC doit tre disponible pendant les oprations de clonage.
Les exigences suivantes doivent tre satisfaites pour prendre en charge le clonage des VDC
et la restauration sre :
o
les ordinateurs virtuels invits doivent excuter Windows Server 2012 ;
la plateforme hte de virtualisation doit prendre en charge lidentification de gnration

dordinateur virtuel (VM GENID). Ceci comprend Windows Server 2012 Hyper-V.
Cration dun clone VDC

Pour crer un clone VDC dans Windows Server 2012, procdez comme suit :
1.
Crer un fichier DcCloneConfig.xml qui contient la configuration du serveur unique.
2.
Copier ce fichier dans lemplacement de la base de donnes AD DS sur le contrleur de domaine

source (C:\Windows\NTDS par dfaut). Ce fichier peut galement tre enregistr sur le support
amovible, sil y a lieu.
3.
Prendre le VDC source hors connexion et lexporter ou le copier.
4.
Crer un nouvel ordinateur virtuel en important celui export. Cet ordinateur virtuel est promu
automatiquement comme contrleur de domaine unique.
3-10 Gestion des services de domaine Active Directory
Gestion des contrleurs de domaine virtualiss

La fonction de restauration sre de
Windows Server 2012 active les VDC qui
excutent Windows Server 2012 pour participer
en douceur la topologie de rplication dAD DS,
aprs que vous appliquiez un instantan dans
Hyper-V lordinateur virtuel qui hberge le
contrleur de domaine.
La prise et lapplication dinstantans dun VDC
dans Hyper-V requirent des lments prendre
en compte et des tapes spcifiques.
Validation dune rplication AD DS
3-11
Quand un instantan dordinateur virtuel est appliqu un VDC, le processus de restauration sre lance
la rplication entrante des modifications dans AD DS entre le contrleur de domaine virtuel et le reste de
lenvironnement AD DS. Le pool didentificateurs relatifs (RID) est libr et un nouveau est demand, pour
empcher davoir des SID dupliqus dans AD DS. Cela initialise galement une rplication ne faisant pas
autorit du dossier SYSVOL. Ce processus vrifie que la nouvelle version instantane applique du contrleur
de domaine virtuel connat tous les objets dAD DS, entirement jour et est entirement fonctionnelle.
Pour garantir que ce processus peut sachever avec succs, les lments suivants de la rplication AD DS
doivent tre considrs :
Un contrleur de domaine virtuel rcupr partir dun instantan Hyper-V doit pouvoir entrer
en contact avec un contrleur de domaine accessible en criture.
Vous ne pouvez pas restaurer tous les contrleurs de domaine dans un domaine simultanment.
Si tous les contrleurs de domaine sont restaurs simultanment, la rplication SYSVOL sarrtera
et tous les partenaires de la synchronisation seront considrs comme ne faisant pas autorit. Cest
une considration importante pour les situations de restauration complte dun environnement qui
peuvent se produire frquemment dans un environnement de test.
Des modifications lances sur un contrleur de domaine virtuel restaur qui nont pas rpliqu
depuis que linstantan a t pris sont perdues. Pour cette raison, vous devez vrifier que toute
rplication sortante sur un contrleur de domaine est termine avant de prendre un instantan
de lordinateur virtuel.
Utilisation de Windows PowerShell pour la gestion des instantans Hyper-V
Vous pouvez utiliser les applets de commande Windows PowerShell suivants pour effectuer la gestion
des instantans dans Windows Server 2012 :
Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot
lments prendre en compte concernant la gestion des instantans de contrleur

de domaine virtuel
Considrez ce qui suit lors de la gestion des instantans de contrleur de domaine virtuel dans
Windows Server 2012 :
Nutilisez pas les instantans pour remplacer les sauvegardes rgulires dtat du systme. Dans un
environnement AD DS changeant frquemment, les instantans ne contiennent pas toujours le
contenu complet des objets AD DS, en raison des modifications de la rplication.
Ne restaurez pas un instantan dun contrleur de domaine ralise avant la promotion de ce dernier.
Faire ainsi ncessitera de promouvoir de nouveau le serveur manuellement aprs avoir appliqu
linstantan et la survenue du nettoyage de mtadonnes.
Nhbergez pas tous les contrleurs de domaine virtuels sur le mme hyperviseur ou serveur. Cela
prsente un seul point de dfaillance dans linfrastructure dAD DS et contourne plusieurs des
avantages que la virtualisation de votre infrastructure de contrleur de domaine fournit.
Leon 3
Implmentation des contrleurs de domaine

en lecture seule
3-13
Les contrleurs de domaine en lecture seule fournissent une alternative un contrleur de domaine
entirement accessible en criture. Dans beaucoup de scnarios, comme une filiale distante ou un
emplacement o un serveur ne peut pas tre plac dans un environnement physique scuris, les
contrleurs de domaine en lecture seule peuvent fournir la fonctionnalit dun contrleur de domaine
sans exposer potentiellement votre environnement AD DS des risques inutiles. Cette leon vous aidera
mieux comprendre les mthodes et les recommandations que vous pouvez utiliser pour grer des
contrleurs de domaine en lecture seule dans lenvironnement Windows Server 2012.
Expliquer les lments prendre en compte concernant limplmentation des contrleurs de

domaine en lecture seule.
Dcrire comment grer la mise en cache des informations didentification des contrleurs de
domaine en lecture seule.
Identifier les aspects importants de la gestion de ladministration locale des contrleurs de domaine
en lecture seule.
lments prendre en compte pour implmenter les contrleurs

de domaine en lecteur seule
Un contrleur de domaine en lecture seule
a une copie en lecture seule dun domaine
Active Directory, qui contient tous les objets
du domaine, mais pas tous leurs attributs. Les
attributs importants du systme, tels que les mots
de passe, ne se rpliquent pas vers un contrleur
de domaine en lecture seule, car il nest pas
considr comme sr. Vous pouvez empcher des
attributs supplmentaires dtre rpliqus vers
des contrleurs de domaine en lecture seule en
marquant lattribut comme tant confidentiel et
en lajoutant le jeu dattributs filtrs (FAS).
Prsentation de la fonctionnalit RODC
Vous ne pouvez pas apporter de modifications la base de donnes de domaine sur le contrleur
de domaine en lecture seule, car la base de donnes AD DS sur le RODC naccepte pas de requtes de
modification des clients et des applications. Toutes les demandes de modifications sont transfres un
contrleur de domaine accessible en criture. Puisquaucune modification ne se produit sur le contrleur
de domaine en lecture seule, la rplication des modifications dActive Directory ne passe quentre des
contrleurs de domaine accessibles en criture vers le contrleur de domaine en lecture seule.
Mise en cache des informations didentification
Les informations didentification dutilisateur et dordinateur ne sont pas rpliques vers un contrleur
de domaine en lecture seule par dfaut. Pour utiliser un contrleur de domaine en lecture seule afin
damliorer louverture de session utilisateur, vous devez configurer une stratgie de rplication de mot
de passe (PRP) qui dfinit quelles informations didentification de lutilisateur peuvent tre mises en cache.
Limiter les informations didentification mises en cache sur le contrleur de domaine en lecture seule
rduit les risques en termes de scurit. Si le contrleur de domaine en lecture seule est vol, seuls les
mots de passe pour les comptes dutilisateur et dordinateur mis en cache doivent tre rinitialiss.
Si les informations didentification dutilisateur et dordinateur ne sont pas rpliques vers un contrleur
de domaine en lecture seule, un contrleur de domaine accessible en criture doit alors tre contact
pendant la procdure dauthentification. En gnral (dans un scnario de filiale), les informations
didentification des utilisateurs et des ordinateurs locaux sont mis en cache sur un contrleur de domaine
en lecture seule. Quand des contrleurs de domaine en lecture seule sont placs dans un rseau de
primtre, les informations didentification des utilisateurs et des ordinateurs ne sont gnralement pas
mises en cache.
Sparation des rles dadministration
Pour grer un contrleur de domaine accessible en criture, vous devez tre un membre du groupe
Administrateurs local du domaine. Tout utilisateur plac dans le groupe Administrateurs local du domaine
obtient des autorisations pour grer tous les contrleurs de domaine prsents dans le domaine. Ceci pose
des problmes pour ladministration de bureaux distance avec un contrleur de domaine accessible en
criture car ladministrateur dun bureau distant ne doit pas obtenir laccs dautres contrleurs de
domaine de lorganisation.
Ceci donne ladministrateur dun bureau distant lautorisation de grer seulement ce contrleur de
domaine en lecture seule, qui peut galement tre configur pour fournir dautres services tels que les
partages et limpression de fichiers.
DNS en lecture seule
Le DNS est une ressource critique dun rseau Windows. Si vous configurez un contrleur de domaine
en lecture seule en tant que serveur DNS, vous pouvez alors rpliquer des zones DNS via AD DS vers le
contrleur de domaine en lecture seule. Le DNS sur le contrleur de domaine en lecture seule est en lecture
seule. Les demandes de mise jour du DNS sont adresses une copie accessible en criture de DNS.
Dploiement des contrleurs de domaine en lecture seule

Pour dployer un contrleur de domaine en lecture seule, assurez-vous que les activits suivantes
sont exerces :
Vrifier que le niveau fonctionnel de la fort est Windows Server 2003 ou une version plus rcente.
Cela signifie que tous les contrleurs de domaine doivent tre de la version Windows Server 2003
ou plus rcente et que chaque domaine dans la fort doit tre au niveau fonctionnel de domaine
de la version Windows Server 2003 ou plus rcente.
Excuter ADPrep/RODCPrep. Ceci configure des autorisations sur des partitions de rpertoire
dapplications DNS pour permettre de les rpliquer vers des contrleurs de domaine en lecture seule.
Ceci est requis seulement si la fort Active Directory a t mise niveau.
Assurez-vous quil y a un contrleur de domaine accessible en criture qui excute

Windows Server 2008 ou une version plus rcente. Un contrleur de domaine en lecture seule
rplique la partition de domaine seulement partir de ces contrleurs de domaine. Par consquent,
chaque domaine comprenant des contrleurs de domaine en lecture seule doit avoir au moins un
contrleur de domaine de version Windows Server 2008 ou plus rcente. Vous pouvez rpliquer les
partitions de schma et de configuration partir de Windows Server 2003.
Installation du service RODC
3-15
Comme avec un contrleur de domaine accessible en criture, vous pouvez installer un contrleur de
domaine en lecture seule laide dune installation avec ou sans assistance. Si vous excutez une
installation avec assistance laide de linterface graphique, vous slectionnez le contrleur de domaine
en lecture seule en tant quune des options supplmentaires du contrleur de domaine.
Vous pouvez galement dlguer linstallation du RODC ladministrateur du bureau distant laide
dune installation intermdiaire. Dans le cadre dune installation intermdiaire, vous devez procder
comme suit :
1.
Garantir que le serveur configurer en tant que contrleur de domaine en lecture seule nest pas un
membre du domaine.
2.
Un administrateur de domaine utilise des utilisateurs et des ordinateurs Active Directory pour crer au
pralable le compte du RODC dans lunit dorganisation (OU) Contrleurs de domaine. Lassistant servant
effectuer ce processus envoie une invite pour obtenir les informations ncessaires, y compris lutilisateur
ou le groupe qui est autoris joindre le contrleur de domaine en lecture seule au domaine.
3.
Ladministrateur du bureau distant excute lassistant dinstallation de services de domaine Active Directory
et suit les tapes de lassistant pour joindre le domaine comme compte du RODC cr au pralable.
Gestion de la mise en cache des informations didentification

dun contrleur de domaine en lecture seule
Les contrleurs de domaine en lecture seule

donnent la possibilit denregistrer uniquement un
sous-ensemble dinformations didentification pour
des comptes dans AD DS via limplmentation de la
mise en cache de ces informations. Avec la mise en
cache des informations didentification, une
stratgie de rplication de mot de passe (PRP)
dtermine quelles informations didentification
dutilisateur et dordinateur peuvent tre mises en
cache sur un contrleur de domaine en lecture
seule spcifique. Si PRP permet un RODC de
mettre les informations didentification dun
compte en cache, des activits dauthentification et de ticket de service de ce compte peuvent tre traites
localement par le contrleur de domaine en lecture seule. Si les informations didentification dun compte ne
peuvent pas tre mises en cache sur le contrleur de domaine en lecture seule ou si elles ne sont pas mises
en cache sur le RODC, des activits dauthentification et de ticket de service sont chanes par le RODC un
contrleur de domaine accessible en criture.
Composants de la stratgie de rplication de mot de passe
Le PRP dun contrleur de domaine en lecture seule contient une liste approuve et une liste refuse. Chaque
liste peut contenir des comptes ou des groupes spcifiques. Un compte doit tre sur la liste approuve pour
que les informations didentification soient mises en cache. Si un groupe est sur la liste approuve et un
membre de ce groupe est sur la liste refuse, la mise en cache nest pas autorise pour ce membre.
Il y a deux groupes locaux de domaine que vous pouvez utiliser pour autoriser ou refuser globalement la
mise en cache tous les contrleurs de domaine en lecture seule dans un domaine :
Le groupe de rplication de mot de passe de contrleur de domaine en lecture seule autoris est
ajout la liste approuve de tous les RODC. Ce groupe ne comprend pas de membres par dfaut.
Le groupe de rplication de mot de passe de contrleur de domaine en lecture seule refus est ajout
la liste refuse de tous les RODC. Par dfaut, les Administrateurs du domaine, les administrateurs de
lentreprise et les propritaires crateurs de la stratgie de groupe sont les membres de ce groupe.
Vous pouvez configurer la liste approuve et la liste refuse de chaque contrleur de domaine en lecture
seule. La liste approuve contient seulement le groupe de rplication de mot de passe de contrleur de
domaine en lecture seule autoris. Lappartenance par dfaut la liste refuse comprend des
administrateurs, des oprateurs de serveur et des oprateurs de compte.
Dans la plupart des cas, vous souhaiterez ajouter des comptes sparment chaque contrleur de
domaine en lecture seule ou ajouter des groupes globaux contenant des comptes plutt que de
permettre globalement la mise en cache de mot de passe. Ceci vous permet de limiter le nombre
dinformations didentification mises en cache ces seuls comptes prsents gnralement cet
emplacement. Les comptes dadministrateur de domaine ne doivent pas tre mis en cache sur des
contrleurs de domaine en lecture seule de bureaux distants. Vous devez mettre des comptes
dordinateur en cache pour acclrer lauthentification des comptes dordinateur pendant le dmarrage
du systme. En outre, vous devez mettre les comptes de service en cache pour les services qui sexcutent
au niveau du bureau distant.
Recommandations pour la mise en cache des informations didentification

Les recommandations suivantes doivent tre observes pour garantir lutilisation la plus efficace des
informations didentification mises en cache :
Crer des groupes globaux AD DS distincts pour chaque contrleur de domaine en lecture seule.
Ne pas mettre les mots de passe en cache pour des comptes dadministrateur appliqus lensemble
du domaine.
Gestion de ladministration locale des contrleurs de domaine

en lecture seule
La gestion des contrleurs de domaine en lecture
seule est spare des autres contrleurs de
domaine. Par consquent, vous pouvez dlguer
ladministration des RODC aux administrateurs
locaux prsents dans des bureaux distants, sans
leur donner accs aux contrleurs de domaine
accessibles en criture.
Vous pouvez dlguer ladministration dun
contrleur de domaine en lecture seule dans les
proprits du compte dordinateur du RODC sur
longlet Gr par. Vous devez suivre cette
mthode pour dlguer ladministration dun
contrleur de domaine en lecture seule car vous pouvez le grer de manire centralise et facilement.
Vous pouvez spcifier une seule entit de scurit sur longlet Gr par dun compte dordinateur de
contrleur de domaine en lecture seule. Spcifiez un groupe de sorte que vous puissiez dlguer
des autorisations de gestion plusieurs utilisateurs en les faisant devenir membres du groupe.
3-17
Vous pouvez galement dlguer ladministration dun contrleur de domaine en lecture seule laide
des commandes ntdsutil ou dsmgmt avec loption des rles locaux, comme le montre lexemple suivant :
C:\>dsmgmt
Dsmgmt: local roles
local roles: add ADATUM\Research
Vous devez mettre le mot de passe en cache pour les administrateurs dlgus pour tre sr de pouvoir
effectuer la maintenance du systme quand un contrleur de domaine accessible en criture nest pas
disponible.
Remarque : Vous ne devez jamais accder au contrleur de domaine en lecture seule avec
un compte qui a des autorisations similaires aux Administrateurs du domaine. Les ordinateurs
contrleur de domaine en lecture seule sont considrs comme tant compromis par dfaut, par
consquent, vous devez supposer quen ouvrant une session sur le contrleur de domaine en
lecture seule, vous abandonnez les informations didentification dadmin de domaine. Ainsi les
administrateurs de domaine doivent avoir un compte de type admin serveur distinct qui dispose
dun accs de gestion dlgu au contrleur de domaine en lecture seule.
Leon 4
Administration dAD DS
La gestion dAD DS se produit sous de trs nombreuses formes. Lenvironnement dAD DS contient un
grand nombre doutils de gestion qui vous permettent de surveiller et de modifier AD DS, pour vrifier
que linfrastructure du domaine de votre organisation atteint son objectif et fonctionne correctement.
Windows Server 2012 comprend un jeu plus large doutils pour travailler dans AD DS que les versions
prcdentes de Windows incluses. Les amliorations apportes au centre dadministration Active Directory
et lajout de plusieurs applets de commande au module Active Directory pour Windows PowerShell
permettent un meilleur contrle de votre domaine AD DS.
Dcrire les composants logiciels enfichables dadministration dActive Directory.
Dcrire le centre dadministration dActive Directory.
Expliquer comment grer AD DS laide des outils de gestion.
Dcrire le module Active Directory pour Windows PowerShell.
Expliquer comment grer des rles de matre doprations.
Expliquer comment grer la sauvegarde et la rcupration du service de domaine Active Directory

(AD DS).
Vue densemble des composants logiciels enfichables dadministration

dActive Directory
En gnral, vous excuterez la majorit de
ladministration dActive Directory laide des
composants logiciels enfichables et des
consoles suivants :
Utilisateurs et ordinateurs Active Directory.

Ce composant logiciel enfichable gre
la plupart des ressources quotidiennes
communes, y compris des utilisateurs,
des groupes, et des ordinateurs. Il sagit
probablement du composant logiciel
enfichable le plus largement utilis pour
un administrateur dActive Directory.
Sites et services Active Directory. Cela gre la rplication, la topologie du rseau et les
services connexes.
Domaines et approbations Active Directory. Cela configure et maintient les relations dapprobation
ainsi que le niveau fonctionnel du domaine et de la fort.
Schma Active Directory. Ce schma examine et modifie la dfinition des attributs et des classes
dobjets dActive Directory. Le schma est le modle pour Active Directory et, en gnral, vous ne
laffichez pas ou ne le modifiez pas trs souvent. Par consquent, le composant logiciel enfichable
Schma Active Directory nest pas entirement install, par dfaut.
Vue densemble du centre dadministration dActive Directory

Windows Server 2012 fournit une autre option
pour grer des objets AD DS. Le centre
dadministration Active Directory fournit une
interface utilisateur graphique (GUI) cre sur
Windows PowerShell. Cette interface amliore
vous permet deffectuer la gestion dobjets
Active Directory laide de la navigation oriente
vers les tches. Les tches que vous pouvez
effectuer laide du centre dadministration
Active Directory comprennent :
Cration et gestion des comptes dutilisateur,

dordinateurs et de groupes.
Cration et gestion des units dorganisation.
Connexion et gestion de plusieurs domaines dans une instance unique du centre dadministration
Active Directory.
Recherche et filtrage des donnes dActive Directory en gnrant des requtes.
Cration et gestion de stratgies de mot de passe affines.
Rcupration dobjets partir de la corbeille dActive Directory.
Configuration requise pour linstallation

Vous pouvez installer le centre dadministration Active Directory seulement sur des ordinateurs qui
excutent Windows Server 2008 R2, Windows Server 2012, Windows 7 ou Windows 8. Vous pouvez
installer le centre dadministration Active Directory en :
3-19
Installation du rle de serveur AD DS par le Gestionnaire de serveur.
Installation des outils dadministration de serveur distant (RSAT) sur un serveur Windows Server 2012
ou sur Windows 8.
Remarque : Le centre dadministration Active Directory repose sur les services Web
Active Directory (ADWS), que vous devez installer sur au moins un contrleur de domaine dans le
domaine. Le service exige galement que le port 9389 soit ouvert sur le contrleur de domaine
sur lequel ADWS sexcute.
Nouvelles fonctionnalits du centre dadministration Active Directory dans

Windows Server 2012
Le centre dadministration Active Directory contient plusieurs nouvelles fonctionnalits dans
Windows Server 2012 qui activent la gestion graphique de la fonctionnalit AD DS :
Corbeille Active Directory. Le centre dadministration Active Directory propose maintenant une
gestion complte de la corbeille Active Directory. Les administrateurs peuvent utiliser le centre
dadministration Active Directory pour afficher et localiser des objets supprims et grer et restaurer
ces objets vers leur emplacement dorigine ou dsir.
Stratgies de mot de passe affines. Le centre dadministration Active Directory fournit galement
une interface utilisateur graphique pour la cration et la gestion des objets de paramtres de mot
de passe afin dimplmenter des stratgies de mot de passe affines dans un domaine AD DS.
Visionneuse dhistorique Windows PowerShell. La fonctionnalit du centre dadministration

Active Directory est tablie sur Windows PowerShell. Toute commande ou action que vous excutez
dans linterface du centre dadministration Active Directory est effectue dans Windows Server 2012
au moyen des applets de commande Windows PowerShell. Quand un administrateur effectue
une tche dans linterface du centre dadministration Active Directory, la visionneuse dhistorique
Windows PowerShell montre les commandes Windows PowerShell qui ont t mises pour la tche.
Cela permet des administrateurs de rutiliser le code pour crer des scripts rutilisables et leur
permet de se familiariser avec la syntaxe et lutilisation de Windows PowerShell.
Vue densemble du module Active Directory pour Windows PowerShell

Le module Active Directory pour
Windows PowerShell dans Windows Server 2012
consolide un groupe dapplets de commande que
vous pouvez utiliser pour grer vos domaines
Active Directory. Windows Server 2012 gnre sur
la base tablie dans le module Active Directory
pour Windows PowerShell initialement prsent
dans Windows Server 2008 R2, en ajoutant
60 applets de commande supplmentaires qui
tendent les domaines prexistants des fonctions
de Windows PowerShell et ajoutent de nouvelles
fonctions dans les domaines de la rplication et du
contrle de laccs aux ressources.
Le module Active Directory pour Windows PowerShell active la gestion dAD DS dans les domaines suivants :
1.
Gestion des utilisateurs
2.
Gestion de lordinateur
3.
Gestion des groupes
4.
Gestion de lunit dorganisation
5.
Gestion de la stratgie de mot de passe
6.
Recherche et modification dobjets
7.
Gestion des forts et des domaines
8.
Gestion du contrleur de domaine et des matres doprations
9.
Gestion des comptes de service grs
10. Gestion des rplications de site

11. Gestion de laccs centralis et des revendications
Exemples dapplets de commande
3-21
New-ADComputer cre un nouvel objet ordinateur dans AD DS.
Remove-ADGroup supprime un groupe Active Directory.
Set-ADDomainMode dfinit le niveau fonctionnel du domaine pour un domaine Active Directory.
Installation
Vous pouvez installer le module Active Directory laide de lune des mthodes suivantes :
Par dfaut, sur un serveur Windows Server 2008 R2 ou Windows Server 2012, quand vous installez
les rles de serveur des services AD DS ou AD LDS (Active Directory Lightweight Directory Services).
Par dfaut, quand vous faites dun serveur Windows Server 2008 R2 ou Windows Server 2012
un contrleur de domaine.
Dans le cadre de la fonctionnalit RSAT sur un ordinateur Windows Server 2008 R2,
Windows Server 2012, Windows 7 ou Windows 8.
Dmonstration : Gestion dAD DS laide des outils de gestion

Les divers outils de gestion dAD DS ont chacun un objectif dans le cadre de ladministration de
lensemble de lenvironnement AD DS. Cette dmonstration vous montrera les principaux outils que
vous pouvez utiliser pour grer AD DS et une tche que vous effectuez en gnral avec loutil.
Crer des objets dans Utilisateurs et ordinateurs Active Directory.
Rechercher des attributs dobjets dans Utilisateurs et ordinateurs Active Directory.
Naviguer dans le centre dadministration Active Directory.
Effectuer une tche administrative dans le centre dadministration Active Directory.
Utiliser la visionneuse de Windows PowerShell dans le centre dadministration Active Directory.
Grer les objets dActive Directory DS avec Windows PowerShell.
Utilisateurs et ordinateurs Active Directory
Afficher des objets
1.
Sur LON-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.
2.
Naviguez dans larborescence de domaine Adatum.com, en affichant les objets Conteneurs, Units
dorganisation (OU) et Ordinateur, Utilisateur et Groupe.
Actualisez laffichage
Actualisez laffichage dans la console Utilisateurs et ordinateurs Active Directory.
Crer des objets

1.
Crez un nouvel objet ordinateur nomm LON-CL4 dans le conteneur Computer.
2.
Pour crer un objet dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur
un domaine ou un conteneur (tel que des utilisateurs ou des ordinateurs), ou sur une unit
dorganisation, pointez sur Nouveau, puis cliquez sur le type dobjet que vous souhaitez crer.
3.
Quand vous crez un objet, vous tes invit configurer plusieurs des proprits les plus
fondamentales de lobjet, y compris les proprits que lobjet requiert.
Configurer des attributs dobjet

1.
Dans Utilisateurs et ordinateurs Active Directory, ouvrez la page Proprits pour LON-CL4.
2.
Ajoutez LON-CL4 au groupe Adatum/Research.
Afficher tous les attributs dobjet

1.
Activez la vue Fonctionnalits avances dans Utilisateurs et ordinateurs Active Directory.
2.
Ouvrez la page Proprits pour LON-CL4, puis affichez les attributs AD DS.
Centre dadministration Active Directory

Navigation
1.
Sur LON-DC1, ouvrez le Centre dadministration Active Directory.
2.
Dans le centre dadministration Active Directory, cliquez sur les nuds de navigation.
3.
Basculez vers laffichage darborescence.
4.
Dveloppez Adatum.com.
Effectuer des tches dadministration

1.
Naviguez jusqu laffichage Vue densemble.
2.
Rinitialisez le mot de passe pour ADATUM\Adam sur Pa$$w0rd, sans exiger de lutilisateur quil
modifie le mot de passe louverture de session suivante.
3.
Utilisez la section Recherche globale pour rechercher tous les objets qui correspondent la chane de
recherche Rex.
Utiliser la visionneuse dhistorique Windows PowerShell

1.
Ouvrez le volet Historique Windows PowerShell.
2.
Affichez lapplet de commande Windows PowerShell que vous avez utilis pour effectuer la tche la
plus rcente.
Windows PowerShell
Cration dun groupe
1.
Ouvrez le module Active Directory pour Windows PowerShell.
2.
Crez un nouveau groupe appel SalesManagers laide de la commande suivante :

New-ADGroup Name SalesManagersGroupCategory Security GroupScope Global
DisplayName Sales Managers Path CN=Users,DC=Adatum,DC=com
3.
linvite PowerShell, dplacez SalesManagers vers lunit dorganisation Sales laide de la

commande suivante :
Move-ADObject CN=SalesManagers,CN=Users,DC=Adatum,DC=com TargetPath
OU=Sales,DC=Adatum,DC=com
2.
3-23
Ouvrez le centre dadministration Active Directory et confirmez que le groupe SalesManagers est
prsent dans le conteneur Users.
Dplacer un objet vers une nouvelle unit dorganisation (OU)

1.
Basculez vers le centre dadministration Active Directory, puis confirmez que le groupe
SalesManagers a t dplac vers lunit dorganisation Sales.
Gestion des rles des matres doprations

Dans un environnement AD DS, une rplication
plusieurs matres signifie que tous les contrleurs
de domaine ont les mmes fonctions et priorits
gnrales lors de la modification de la base de
donnes AD DS. Cependant, certaines oprations
doivent tre excutes par un seul systme.
Dans AD DS, les matres dopration sont des
contrleurs de domaine qui remplissent une
fonction spcifique dans lenvironnement de
domaine.
Rles de matre doprations dans

lensemble de la fort
Le contrleur de schma et le matre doprations des noms de domaine doivent tre uniques dans la
fort. Chaque rle est effectu par un seul contrleur de domaine dans la fort entire.
Rle de matre dattribution de noms de domaine
Le rle dattribution de noms de domaine est utilis lors de lajout ou de la suppression de domaines et
de partitions dapplication dans la fort. Quand vous ajoutez ou supprimez une partition de domaine ou
dapplication, le matre dattribution de noms de domaine doit tre accessible ou lopration chouera.
Rle de contrleur de schma
Le contrleur de domaine dtenant le rle de contrleur de schma est responsable de toutes les
modifications apporter sur le schma de la fort. Tous les autres contrleurs de domaine maintiennent
les rplicas en lecture seule du schma. Quand vous devez modifier le schma, les modifications doivent
tre envoyes au contrleur de domaine qui hberge le rle de contrleur de schma.
Rles de matre doprations dans lensemble du domaine
Chaque domaine maintient trois oprations matre unique : le matre des identificateurs relatifs (RID), le
matre dinfrastructure et lmulateur du contrleur de domaine principal (PDC). Chaque rle est effectu
par un seul contrleur de domaine dans le domaine.
Rle de matre RID
Le matre RID fait partie intgrante de la gnration didentificateurs de scurit (SID) pour des entits
de scurit telles que des utilisateurs, des groupes et des ordinateurs. Le SID dune entit de scurit doit
tre unique. Puisque nimporte quel contrleur de domaine peut crer des comptes, et donc des SID, un
mcanisme est ncessaire pour vrifier que les SID gnrs par un contrleur de domaine sont uniques. Les
contrleurs de domaine Active Directory gnrent des SID en ajoutant un RID unique au SID du domaine. Le
matre RID du domaine alloue des pools de RID uniques chaque contrleur de domaine dans le domaine.
Par consquent, chaque contrleur de domaine peut tre sr que les SID quil gnre sont uniques.
Rle de matre dinfrastructure
Dans un environnement comprenant plusieurs domaines, il est courant pour un objet de faire rfrence
des objets situs dans dautres domaines. Par exemple, un groupe peut inclure des membres dun autre
domaine. Son attribut membre valeurs multiples contient les noms uniques de chaque membre. Si le
membre dans lautre domaine est dplac ou renomm, le matre dinfrastructure du domaine du groupe
met jour les rfrences lobjet.
Rle dmulateur PDC

Le rle dmulateur PDC effectue plusieurs fonctions cruciales pour un domaine :
Participe la gestion des mises jour spciales de mot de passe pour le domaine. Quand le mot de
passe dun utilisateur est rinitialis ou modifi, le contrleur de domaine qui apporte la modification
rplique immdiatement la modification vers lmulateur PDC. Cette rplication spciale garantit que
les contrleurs de domaine connaissent le nouveau mot de passe aussi rapidement que possible.
Gre des mises jour de stratgies de groupe dans un domaine. Si vous modifiez un GPO sur
deux contrleurs de domaine quasiment au mme moment, il peut y avoir des conflits entre
les deux versions qui ne pourraient pas tre rapproches comme rpliques dobjet Stratgie de
groupe. Pour viter cette situation, lmulateur PDC agit en tant que point focal par dfaut pour
toutes les modifications de la stratgie de groupe.
Fournit une source de temps de base pour le domaine. Beaucoup de composants et de technologies
Windows reposent sur des horodatages, ainsi la synchronisation du temps travers tous les systmes
dun domaine est cruciale. Lmulateur PDC dans le domaine racine de fort est le matre de temps
pour la fort entire, par dfaut. Lmulateur PDC dans chaque domaine synchronise son temps avec
lmulateur PDC racine de la fort. Dautres contrleurs de domaine dans le domaine synchronisent
leurs horloges par rapport lmulateur PDC de ce domaine. Tous autres membres du domaine
synchronisent leur temps avec leur contrleur de domaine par dfaut.
Agit en tant quexplorateur principal de domaine. Quand vous ouvrez un rseau dans Windows, vous
voyez une liste de groupes de travail et de domaines, et quand vous ouvrez un groupe de travail ou
un domaine, vous voyez une liste dordinateurs. Le service Explorateur cre ces deux listes, appeles
listes de parcours. Dans chaque segment rseau, un matre explorateur cre la liste de parcours : les
listes de groupes de travail, de domaines et de serveurs dans ce segment. Le matre explorateur de
domaine sert fusionner les listes de chaque matre explorateur de sorte que les clients de parcours
puissent rcuprer une liste de parcours complte.
Instructions de placement des rles de matres doprations
3-25
Placez les rles de niveau domaine sur un contrleur de domaine hautes performances.
Ne placez pas le rle de niveau domaine de Matre dinfrastructure sur un serveur de catalogue
global, except si votre fort contient seulement un domaine ou si tous les contrleurs de domaine
dans votre fort sont galement des catalogues globaux.
Laissez les deux rles de niveau fort sur un contrleur de domaine du domaine racine de la fort.
Ajustez la charge de travail de lmulateur PDC, sil y a lieu, en dchargeant des rles nincluant pas
les services AD DS sur dautres serveurs.
Remarque : Vous pouvez afficher lattribution des rles de matre doprations en

excutant ce qui suit partir dune invite de commande :
Netdom query fsmo
Gestion des sauvegardes et des rcuprations AD DS

Dans des versions prcdentes de Windows,
sauvegarder Active Directory impliquait la cration
dune sauvegarde de SystemState, qui tait une
petite collection de fichiers qui comprenaient la
base de donnes Active Directory et le registre.
Dans Windows Server 2012, le concept
SystemState existe toujours, mais il est beaucoup
plus grand. En raison des interdpendances entre
les rles de serveur, la configuration physique et
Active Directory, le SystemState est maintenant
un sous-ensemble dune sauvegarde du serveur
entier et, dans certaines configurations, peut tre
aussi grand. Pour sauvegarder un contrleur de domaine, vous devez sauvegarder tous les volumes
critiques entirement.
Restauration des donnes AD DS
Quand un contrleur de domaine ou son rpertoire est corrompu, endommag ou dfaillant, vous avez
plusieurs options avec lesquelles restaurer le systme.
Restauration ne faisant pas autorit
La premire option de ce genre est appele restauration normale ou restauration ne faisant pas autorit.
Dans une opration normale de restauration, vous restaurez une sauvegarde Active Directory compter
dune date valide connue. En fait, vous faites remonter le contrleur de domaine dans le temps. Quand
AD DS redmarre sur le contrleur de domaine, le contrleur de domaine contacte ses partenaires de
rplication et demande toutes les mises jour suivantes. En fait, le contrleur de domaine rattrape le reste
du domaine laide des mcanismes standard de rplication.
La restauration normale est utile quand le rpertoire sur un contrleur de domaine a t endommag
ou corrompu, mais que le problme ne sest pas tendu dautres contrleurs de domaine. Que diriezvous dune situation dans laquelle le dommage a t fait et le dommage a t rpliqu ? Par exemple,
si vous supprimez un ou plusieurs objets, et que cette suppression a t rplique ?
Dans de telles situations, une restauration normale nest pas suffisante. Si vous restaurez une bonne
version dActive Directory et redmarrez le contrleur de domaine, la suppression (qui sest produite
la suite de la sauvegarde) rpliquera simplement vers le contrleur de domaine.
Restauration force
Quand une bonne copie dAD DS a t restaure contenant des objets qui doivent remplacer des objets
existants dans la base de donnes AD DS, une restauration force est ncessaire. Dans une restauration
faisant autorit, vous restaurez la bonne version dActive Directory tout comme vous le faites dans une
restauration normale. Cependant, avant de redmarrer le contrleur de domaine, vous marquez les objets
supprims par erreur ou prcdemment endommags que vous souhaitez conserver comme faisant
autorit de sorte quils rpliquent partir du contrleur de domaine restaur vers ses partenaires de
rplication. En ralit, quand vous marquez des objets comme faisant autorit, Windows incrmente le
numro de version de tous les attributs dobjet pour tre si lev que la version soit pratiquement sre
dtre suprieure au numro de version de tous les autres contrleurs de domaine.
Quand le contrleur de domaine restaur est redmarr, il rplique partir de ses partenaires de
rplication toutes les modifications qui ont t apportes au rpertoire. Il informe galement ses
partenaires quil comporte des modifications et les numros de version des modifications garantissent
que les partenaires prennent les modifications et les rpliquent dans le service dannuaire. Dans les forts
qui ont la Corbeille Active Directory active, vous pouvez utiliser la corbeille Active Directory comme
une alternative plus simple une restauration faisant autorit.
Autres options de restauration
La troisime option pour restaurer le service dannuaire est de restaurer le contrleur de domaine entier.
Ceci est fait en dmarrant sur lenvironnement de rcupration Windows, puis en restaurant une
sauvegarde de serveur complte du contrleur de domaine. Par dfaut, cest une restauration normale.
Si vous devez galement marquer des objets comme faisant autorit, vous devez redmarrer le serveur
en mode Restauration des services dannuaire et dfinir ces objets comme faisant autorit avant de
dmarrer le contrleur de domaine en mode de fonctionnement normal.
En conclusion, vous pouvez restaurer une sauvegarde du SystemState vers un autre emplacement. Cela
vous permet dexaminer des fichiers et, potentiellement, de monter le fichier NTDS.dit. Vous ne devez pas
copier les fichiers partir dun autre emplacement de restauration par dessus les versions de production
de ces fichiers. Ne faites pas une restauration fragmentaire dActive Directory. Vous pouvez galement
utiliser cette option si vous souhaitez utiliser loption Installation partir du support pour crer un
nouveau contrleur de domaine.
Leon 5
Gestion de la base de donnes AD DS
3-27
Au centre de lenvironnement AD DS se trouve la base de donnes AD DS. La base de donnes AD DS

contient toutes les informations critiques requises pour fournir la fonctionnalit AD DS. Maintenir
correctement cette base de donnes est un aspect critique de la gestion AD DS et il y a plusieurs outils
et recommandations que vous devez connatre de sorte pouvoir grer efficacement votre base de
donnes AD DS. Cette leon vous prsentera la gestion de base de donnes AD DS et vous montre
les outils et les mthodes pour la maintenir.
Expliquer larchitecture de la base de donnes AD DS.
Dcrire NTDSUtil.
Expliquer les services AD DS redmarrables.
Expliquer comment raliser la gestion de base de donnes AD DS.
Dcrire comment crer des instantans dAD DS.
Expliquer comment restaurer des objets supprims.
Dcrire comment configurer la corbeille Active Directory.
Prsentation de la base de donnes AD DS

Les informations AD DS sont enregistres dans la
base de donnes dannuaire. Chaque partition
dannuaire, galement appele contexte de
nommage, contient des objets ayant une tendue
de rplication et une fin particulires. Il y a
trois partitions AD DS sur chaque contrleur de
domaine, comme suit :
Domaine. La partition de domaine contient

tous les objets enregistrs dans un domaine,
y compris des utilisateurs, des groupes, des
ordinateurs et des conteneurs de stratgie
de groupe (GPC).
Configuration. La partition de configuration contient des objets qui reprsentent la structure logique
de la fort, y compris des informations sur des domaines, ainsi que la topologie physique, y compris
des sites, des sous-rseaux et des services.
Schma : La partition de schma dfinit les classes dobjets et leurs attributs pour lannuaire entier.
Les contrleurs de domaine peuvent galement hberger des partitions dapplication. Vous pouvez
utiliser des partitions dapplication pour limiter la rplication des donnes spcifiques lapplication un
sous-ensemble de contrleurs de domaine. Le DNS intgr Active Directory est un exemple classique
dune application qui tire profit des partitions dapplication.
Chaque contrleur de domaine maintient une copie, ou un rplica, de plusieurs partitions.
La configuration est rplique dans chaque contrleur de domaine de la fort, tout comme le schma.
La partition de domaine pour un domaine est rplique tous les contrleurs de domaine dans un
domaine, mais pas aux contrleurs de domaine prsents dans dautres domaines, hormis pour les
serveurs de catalogue global. Par consquent, chaque contrleur de domaine a au moins trois rplicas :
la partition de domaine pour son domaine, sa configuration et son schma.
Fichiers de la base de donnes AD DS
La base de donnes AD DS est enregistre sous la forme dun fichier nomm NTDS.dit. Quand vous
installez et configurez AD DS, vous pouvez spcifier lemplacement du fichier. Lemplacement par dfaut
est %systemroot%\NTDS. Dans NTDS.dit se trouvent toutes les partitions hberges par le contrleur de
domaine : le schma et la configuration de la fort ; le contexte dattribution de noms de domaine ; et,
selon la configuration du serveur, le jeu dattributs partiel et des partitions dapplication.
Dans le dossier NTDS, il y a dautres fichiers qui prennent en charge la base de donnes Active Directory.
Les fichiers Edb*.log sont les journaux des transactions dActive Directory. Quand il faut modifier
lannuaire, cela est dabord crit dans le fichier journal. La modification est soumise lannuaire
en tant que transaction. Si la transaction choue, elle peut tre annule.
Le tableau suivant dcrit les diffrents composants de niveau fichier de la base de donnes AD DS.
Fichier
NTDS.dit
Description
Principaux fichiers de la base de donnes AD DS
Contient tous les objets et partitions dAD DS
EDB*.log
Journal(aux) des transactions
EDB.chk
Fichier de point de vrification de la base de donnes
Edbres00001.jrs
Edbres00002.jrs
Fichier journal des transactions de rserve qui permet lannuaire de

traiter des transactions si lespace disque du serveur est insuffisant
Modifications et rplication de la base de donnes AD DS
En mode de fonctionnement normal, le journal des transactions enveloppe, avec de nouvelles transactions
remplaant les transactions anciennes qui avaient t dj valides. Cependant, si un grand nombre
de transactions sont effectues au cours dune courte priode, AD DS cre des fichiers journaux de
transaction supplmentaires, pour que vous puissiez voir plusieurs fichiers EDB*.log si vous regardez dans
le dossier NTDS dun contrleur de domaine particulirement occup. Au fil du temps, ces fichiers sont
supprims automatiquement.
3-29
Le fichier EDB.chk agit comme un signet dans les fichier journaux, marquant lemplacement avant lequel
des transactions ont t soumises avec succs la base de donnes et aprs lequel les transactions restent
valider.
Si un lecteur de disque manque despace, cela est trs problmatique pour le serveur. Cela est encore plus
problmatique si ce disque hberge la base de donnes AD DS car des transactions qui peuvent tre en
attente ne peuvent pas tre crites dans les journaux. Par consquent, AD DS maintient deux fichiers
journaux supplmentaires, edbres0001.jrs et edbres0002.jrs. Ce sont des fichiers vides de 10 mgaoctets
(Mo) chacun. Quand un disque manque despace pour des journaux des transactions normaux, AD DS
recrute lespace utilis par ces deux fichiers pour crire les transactions qui sont actuellement dans
une file dattente. Aprs cela, il arrte sans risque les services AD DS et dmonte la base de donnes.
Naturellement, il sera important pour un administrateur de remdier au problme de faible espace disque
aussi rapidement que possible. Le fichier fournit simplement une solution provisoire pour empcher le
service dannuaire de refuser de nouvelles transactions.
Quest-ce que NTDSUtil ?

NTDSUtil est un fichier de ligne de commande
excutable que vous pouvez utiliser pour excuter
la maintenance de la base de donnes, y compris
la cration dinstantans, la dfragmentation hors
connexion et le dplacement de fichiers de base
de donnes.
Vous pouvez galement utiliser NTDSUtil pour

nettoyer des mtadonnes de contrleur de
domaine. Si un contrleur de domaine est
supprim du domaine quand il est hors connexion,
il est impossible denlever les informations
importantes du service dannuaire. Vous pouvez
alors utiliser NTDSUtil pour nettoyer les restes du contrleur de domaine et il est trs important que vous
le fassiez.
NTDSUtil peut galement rinitialiser le mot de passe utilis pour ouvrir une session sur le mode
Restauration des services dannuaire. Ce mot de passe est configur lorigine pendant la configuration
dun contrleur de domaine. Si vous oubliez le mot de passe, la commande NTDSUtil set dsrm peut
le rinitialiser.
Prsentation des services AD DS redmarrables

Dans la plupart des scnarios o la gestion
dAD DS est requise, vous devez redmarrer le
contrleur de domaine en mode Restauration des
services dannuaire.
Windows Server 2012 permet des
administrateurs darrter et de dmarrer AD DS
comme nimporte quel autre service, et sans
redmarrer un contrleur de domaine, pour
effectuer quelques tches de gestion rapidement.
Cette fonctionnalit est appele Services de
domaine Active Directory redmarrables.
Les services de domaine Active Directory

redmarrables rduisent le temps ncessaire lexcution de certaines oprations. Vous pouvez
arrter AD DS de sorte pouvoir appliquer des mises jour un contrleur de domaine. De plus,
les administrateurs peuvent arrter les services de domaine Active Directory pour excuter certaines
tches comme la dfragmentation hors connexion de la base de donnes Active Directory, sans
redmarrer le contrleur de domaine. Les autres services qui sexcutent sur le serveur et dont le
fonctionnement ne dpend pas des services de domaine Active Directory, comme le protocole DHCP
(Dynamic Host Configuration Protocol), demeurent disponibles pour satisfaire les requtes client pendant
que les services de domaine Active Directory sont arrts.
Les services AD DS redmarrables sont disponibles par dfaut sur tous les contrleurs de domaine qui
excutent Windows Server 2012. Il ny a aucune configuration requise de niveau fonctionnel ou aucun
autre pralable lutilisation de cette fonctionnalit.
Remarque : Vous ne pouvez pas effectuer une restauration dtat du systme dun
contrleur de domaine quand les services AD DS sont arrts. Pour terminer une restauration
dtat du systme dun contrleur de domaine, vous devez commencer en mode Restauration
des services dannuaire (DSRM). Vous pouvez cependant effectuer une restauration faisant
autorit des objets Active Directory tandis quAD DS est arrt laide de Ntdsutil.exe.
Les services AD DS redmarrables ajoutent des modifications mineures aux composants logiciels enfichables
existants de Microsoft Management Console (MMC). Un contrleur de domaine excutant Windows Server
2012 AD DS affiche le contrleur de domaine dans le nud Services (local) du composant logiciel enfichable
Services de composants et du composant logiciel enfichable Gestion de lordinateur. Grce au composant
logiciel enfichable, un administrateur peut facilement arrter et redmarrer AD DS de la mme manire que
nimporte quel autre service qui sexcute localement sur le serveur.
Bien que larrt des services de domaine Active Directory soit similaire la connexion en mode de
restauration des services dannuaire, les services de domaine Active Directory redmarrables fournissent
un tat unique, connu sous le nom de services de domaine Active Directory arrts, pour un contrleur
de domaine excutant Windows Server 2012.
tats du contrleur de domaine
3-31
Les trois tats possibles pour un contrleur de domaine excutant Windows Server 2012 sont les suivants :
AD DS dmarrs. Dans cet tat, AD DS est dmarr. Le contrleur de domaine peut effectuer des
tches associes AD DS normalement.
AD DS arrts. Dans cet tat, AD DS est arrt. Bien que ce mode soit unique, le serveur possde
certaines caractristiques dun contrleur de domaine en mode DSRM et dun serveur appartenant
un domaine.
DSRM. Ce mode (ou tat) permet des tches dadministration standard dAD DS.
Avec DSRM, la base de donnes Active Directory (Ntds.dit) sur le contrleur de domaine local est hors
connexion. Un autre contrleur de domaine peut tre contact pour louverture de session, sil y en a un
de disponible. Si aucun autre contrleur de domaine ne peut tre contact, par dfaut vous pouvez faire
une des choses suivantes :
Ouvrir une session au contrleur de domaine localement en mode DSRM laide du mot de passe
de DSRM.
Redmarrer le contrleur de domaine pour ouvrir une session avec un compte de domaine.
Comme dans le cas dun serveur membre, le serveur est joint au domaine. Cela signifie que la stratgie
de groupe et dautres paramtres sont encore appliqus lordinateur. Cependant, un contrleur de
domaine ne doit pas rester dans ltat appel services de domaine Active Directory arrts pendant
une trop longue priode de temps, parce quil ne peut alors traiter les requtes douverture de session ou
rpliquer avec les autres contrleurs de domaine.
Dmonstration : Excution de la maintenance de la base de donnes AD DS

Il y a plusieurs tches et outils relatifs que vous pouvez utiliser pour excuter la maintenance de la base
de donnes AD DS.
Arrter AD DS.
Excuter une dfragmentation hors connexion de la base de donnes AD DS.
Vrifier lintgrit de la base de donnes AD DS.
Dmarrer AD DS.
Arrter AD DS
1.
Sur LON-DC1, ouvrez la console Services.
2.
Arrtez le service Services de domaine Active Directory.
Excuter une dfragmentation hors connexion de la base de donnes AD DS
Excutez les commandes suivantes partir dune invite Windows PowerShell. Appuyez sur Entre
aprs chaque ligne :
ntdsutil
activate instance NTDS
files
compact to C:\
Vrifier lintgrit de la base de donnes hors connexion

1.
Excutez les commandes suivantes partir dune invite Windows PowerShell. Appuyez sur Entre
aprs chaque ligne :
Integrity
quit
Quit
2.
Fermez la fentre dinvite de commandes.
Dmarrer AD DS
1.
Ouvrez la console Services.
2.
Dmarrez le service Services de domaine Active Directory.
Cration dinstantans AD DS
NTDSUtil dans Windows Server 2012 peut crer
et monter des instantans dAD DS. Un instantan
est une forme de sauvegarde historique qui
capture ltat exact du service dannuaire au
moment de linstantan. Vous pouvez utiliser des
outils pour explorer le contenu dun instantan
pour examiner ltat du service dannuaire lorsque
linstantan a t fait, ou pour vous connecter
un instantan mont avec LDIFDE et exporter des
objets dune rimportation dans AD DS.
Cration dun instantan AD DS

Pour crer un instantan :
1.
Ouvrez linvite de commandes.
2.
Saisissez ntdsutil, puis appuyez sur Entre.
3.
Saisissez snapshot, puis appuyez sur Entre.
4.
Saisissez activate instance ntds, puis appuyez sur Entre.
5.
Saisissez create, puis appuyez sur Entre.
6.
La commande renvoie un message qui indique que linstantan configur a t gnr avec succs.
7.
Lidentificateur unique global (GUID) affich est important pour des commandes de tches
ultrieures. Notez-le ou, sinon, copiez-le vers le Presse-papiers.
8.
Saisissez quit, puis appuyez sur Entre.
Planifiez des instantans dActive Directory rgulirement. Vous pouvez utiliser le Planificateur de tches
pour excuter un fichier de commandes laide des commandes NTDSUtil appropries.
Montage dun instantan AD DS

Pour afficher le contenu dun instantan, vous devez le monter comme nouvelle instance dAD DS.
Cela est galement ralis avec NTDSUtil.
Pour monter un instantan :
1.
Ouvrez une invite de commandes avec lvation de privilges.
2.
3.
4.
5.
Saisissez list all, puis appuyez sur Entre.
6.
La commande renvoie une liste de tous les instantans.
7.
Saisissez mount {GUID}, o GUID reprsente lidentifiant unique global renvoy par la commande
de cration dinstantan, puis appuyez sur Entre.
8.
9.
3-33
10. Tapez dsamain dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds.dit -ldapport 50000,

puis appuyez sur Entre.
11. Le numro de port, 50000, peut tre tout numro de port TCP ouvert et unique.
12. Un message indique que le dmarrage des Services de domaine Active Directory est termin.
13. Ne fermez pas la fentre dinvite de commandes et ne laissez pas la commande que vous venez
dexcuter, Dsamain.exe, sexcuter tandis que vous passez ltape suivante.
Affichage dun instantan AD DS

Aprs que linstantan a t mont, vous pouvez utiliser des outils pour vous connecter et explorer
linstantan. Mme les utilisateurs et ordinateurs Active Directory peuvent se connecter linstance.
Pour se connecter un instantan avec des utilisateurs et des ordinateurs Active Directory :
1.
Ouvrez Utilisateurs et ordinateurs Active Directory.
2.
Cliquez avec le bouton droit sur le nud racine, puis sur Domain Controllers.
3.
La bote de dialogue Modifier le serveur dannuaire saffiche.
4.
Cliquez sur <Tapez ici un nom de serveur dannuaire:[port]>.
5.
Saisissez LON-DC1:50000, puis appuyez sur Entre.
6.
LON-DC1 est le nom du contrleur de domaine sur lequel vous avez mont linstantan, et 50000 est
le numro de port TCP que vous avez configur pour linstance. Vous tes maintenant connect
linstantan.
7.
Cliquez sur OK.
Notez que les instantans sont en lecture seule. Vous ne pouvez pas modifier le contenu dun instantan.
Dailleurs, il ny a aucune mthode directe avec laquelle dplacer, copier ou restaurer des objets ou des
attributs depuis linstantan vers linstance de production dActive Directory.
Dmontage dun instantan AD DS

Pour dmonter linstantan :
1.
Basculez vers linvite de commandes dans laquelle linstantan est mont.
2.
Appuyez sur Ctrl+C pour arrter DSAMain.exe.
3.
4.
5.
6.
Saisissez unmount GUID, o GUID reprsente lidentificateur unique global de linstantan, puis
appuyez sur Entre.
7.
8.
Prsentation de la restauration des objets supprims

Quand un objet dans AD DS est supprim, il est
dplac dans le conteneur dobjets supprims et
de nombreux attributs importants en sont retirs.
Vous pouvez tendre la liste dattributs qui restent
quand un objet est supprim, mais vous ne
pouvez jamais retenir des valeurs dattribut lies
(telles que lappartenance de groupe).
Tant que lobjet na pas t encore nettoy par le
processus de nettoyage de la mmoire aprs avoir
atteint de la fin de sa dure de vie de la
dsactivation, vous pouvez restaurer ou rcuprer
lobjet supprim.
Pour restaurer un objet supprim :
1.
Cliquez sur Accueil, et dans la zone Accueil la recherche, saisissez LDP.exe, puis appuyez
sur Ctrl+Maj+Entre, qui excute la commande en tant quadministrateur.
2.
La bote de dialogue Contrle de compte dutilisateur apparat.
3.
Cliquez sur Utiliser un autre compte.
4.
Dans la zone Nom dutilisateur, saisissez le nom dutilisateur dun administrateur.
5.
Dans la zone Mot de passe, saisissez le mot de passe pour le compte dadministrateur, puis appuyez
sur Entre.
6.
LDP souvre.
7.
Cliquez sur le menu Connexion, sur Se connecter, puis cliquez sur OK.
8.
Cliquez sur le menu Connexion, sur Lier, puis cliquez sur OK.
9.
Cliquez sur le menu Options, puis sur Contrles.
10. Dans la liste Chargement prdfini, cliquez sur Renvoyer des objets supprims, puis cliquez sur OK.
11. Cliquez sur le menu Afficher, sur Arborescence, puis cliquez sur OK.
12. Dveloppez le domaine, puis double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com.
13. Cliquez avec le bouton droit sur lobjet supprim, puis cliquez sur Modifier.
14. Dans la zone Attribut, saisissez isDeleted.
15. Dans la section Opration, cliquez sur Supprimer.
16. Appuyez sur Entre.
17. Dans la zone Attribut, saisissez distinguishedName.
18. Dans la zone Valeurs, saisissez le nom unique de lobjet dans le conteneur parent ou lunit
dorganisation dans lequel/laquelle vous souhaitez que la restauration de lobjet se produise.
Par exemple, saisissez le nom unique de lobjet avant quil ait t supprim.
19. Dans la section Opration, cliquez sur Remplacer.
20. Appuyez sur Entre.
21. Activez la case cocher tendu.
22. Cliquez sur Excuter, sur Fermer, puis fermez LDP.
3-35
23. Utilisez Utilisateurs et ordinateurs Active Directory pour remplir les attributs de lobjet, rinitialisez
le mot de passe (pour un objet utilisateur), et activez lobjet (si dsactiv).
Configuration de la Corbeille Active Directory

Dans Windows 2012, la corbeille Active Directory
peut tre active pour fournir un processus
simplifi de restauration des objets supprims.
Cette fonctionnalit surmonte des problmes avec
la restauration faisant autorit ou la rcupration
de lobjet tombstone. La corbeille Active Directory
permet des administrateurs de restaurer des
objets supprims avec leur fonctionnalit
complte, sans devoir restaurer des donnes
AD DS partir de sauvegardes, puis de
redmarrer AD DS ou des contrleurs de
domaine. La corbeille Active Directory repose sur
linfrastructure existante de rcupration dobjet tombstone et amliore votre capacit conserver
et rcuprer des objets Active Directory supprims par erreur.
Comment fonctionne la corbeille Active Directory
Quand vous activez la corbeille Active Directory, tous les attributs aux valeurs lies et non lies des objets
Active Directory supprims sont conservs et les objets sont restaurs dans leur intgralit vers le mme
tat logique cohrent dans lequel ils taient juste avant la suppression. Par exemple, les comptes
dutilisateur restaurs regagnent automatiquement toutes les appartenances de groupe et droits daccs
correspondants quils avaient juste avant la suppression, dans les domaines. La corbeille Active Directory
fonctionne pour des environnements AD DS et AD LDS (Active Directory Lightweight Directory Services).
Aprs avoir activ la corbeille Active Directory, quand un objet Active Directory est supprim, le
systme conserve tous les attributs aux valeurs lies et non lies de lobjet et lobjet devient logiquement
supprim. Un objet supprim est dplac dans le conteneur Objets supprims et son nom unique est
mconnaissable. Un objet supprim demeure dans le conteneur Objets supprims dans un tat
logiquement supprim pendant toute la dure de la dure de vie dun objet supprim. Pendant la dure
de vie dobjet supprim, vous pouvez rcuprer un objet supprim avec la corbeille Active Directory
et en refaire un objet Active Directory vivant.
La dure de vie dun objet supprim est dtermine par la valeur de lattribut msDSdeletedObjectLifetime. Pour un lment supprim aprs que la corbeille Active Directory a t activ
(objet recycl), la dure de vie dun objet recycl est dtermine par la valeur de lattribut existant
tombstoneLifetime. Par dfaut, msDS-deletedObjectLifetime est dfini sur null. Quand msDSdeletedObjectLifetime est dfini sur null, la dure de vie dun objet supprim est dfinie sur la valeur de
la dure de vie dun objet recycl. Par dfaut, la dure de vie dun objet recycl, qui est enregistre dans
lattribut tombstoneLifetime, est galement dfinie sur null. Quand lattribut tombstoneLifetime est dfini
sur null, la dure de vie dun objet recycl se transfre par dfaut sur 180 jours. Vous pouvez modifier
les valeurs des attributs msDS-deletedObjectLifetime et tombstoneLifetime tout moment. Quand
msDS-deletedObjectLife est dfini sur une certaine valeur autre que null, il nassume plus la valeur
de tombstoneLifetime.
Activation de la corbeille Active Directory

Vous pouvez activer la corbeille Active Directory seulement quand le niveau fonctionnel de la fort est
dfini sur Windows Server 2008 R2 ou version suprieure.
Pour activer la corbeille Active Directory dans Windows 2012, vous pouvez effectuer lune des
oprations suivantes :
linvite du module Active Directory pour Windows PowerShell, utilisez lapplet de commande
Enable-ADOptionalFeature.
partir du centre dadministration Active Directory, slectionnez le domaine, puis cliquez sur
Activer la corbeille Active Directory dans le volet de tches.
Seuls des lments supprims aprs lactivation de la corbeille Active Directory peuvent tre restaurs
partir de la corbeille Active Directory.
Restauration dlments partir de la corbeille dActive Directory
Dans Windows Server 2012, le centre dadministration Active Directory fournit une interface graphique
pour restaurer des objets AD DS qui sont supprims. Quand la corbeille Active Directory a t active,
le conteneur Objets supprims est visible dans le centre dadministration Active Directory. Les objets
supprims seront visibles dans ce conteneur jusqu ce que leur dure de vie dobjet supprim ait expir.
Vous pouvez choisir de restaurer les objets leur emplacement dorigine ou un autre emplacement
dans AD DS.

Scnario
3-37
soccuper du sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et
client Windows Server 2012.
A. Datum fait plusieurs modifications dorganisation qui requirent des modifications portant sur
linfrastructure AD DS. Un nouvel emplacement requiert une mthode scurise de fournir AD DS sur site
et vous avez t invit tendre les fonctions de la corbeille Active Directory lorganisation entire.
Ordinateur(s) virtuel(s)
22411B-LON-DC1
22411B-LON-SVR1
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd
Objectifs
Installer et configurer un RODC.
Configurer et afficher des instantans Active Directory.
Configurer la corbeille Active Directory.

4-1
Module 4
Gestion des comptes dutilisateurs et de service
Table des matires :
4-1
Leon 1 : Automatisation de la gestion des comptes dutilisateurs
4-2
Leon 2 : Configuration des paramtres de stratgie de mot de passe

et de verrouillage de compte dutilisateur
4-8
Leon 3 : Configuration des comptes de service grs
4-15
Atelier pratique : Gestion des comptes dutilisateurs et de service
4-22
4-26
La gestion des comptes dutilisateurs dans un environnement dentreprise peut tre une tche ardue.
Assurez-vous de configurer correctement les comptes dutilisateurs dans votre environnement et de les
protger contre lutilisation non autorise et contre les utilisateurs qui abusent de leurs privilges de
compte. Si vous utilisez des comptes de service ddis pour les services systme et les processus darrire
plan, et que vous dfinissez des stratgies de comptes appropries, vous pouvez vous assurer que votre
environnement Windows Server 2012 donne aux utilisateurs et aux applications laccs dont ils ont
besoin pour fonctionner correctement.
Ce module indique comment grer dimportants groupes de comptes dutilisateurs, explique les
diffrentes options disponibles pour fournir la scurit par mot de passe adapte aux comptes dans votre
environnement, et prsente comment configurer des comptes pour assurer lauthentification des services
systme et des processus en arrire plan.
Objectifs
automatiser la cration de compte dutilisateur ;
configurer les paramtres de stratgie de mot de passe et de verrouillage de compte ;
configurer des comptes de service grs.
Leon 1
Automatisation de la gestion des comptes dutilisateurs
4-2
Les utilisateurs et les ordinateurs Active Directory, ainsi que le centre dadministration Active Directory
fournissent des interfaces utilisateur graphiques pour la cration dun ou plusieurs comptes dutilisateurs.
Mme sil est facile de naviguer dans linterface fournie par ces outils, la cration de plusieurs utilisateurs
ou la ralisation de modifications pour plusieurs utilisateurs peut tre complique. Windows Server 2012
vous offre un certain nombre doutils qui vous permettent de grer des comptes dutilisateurs de faon
plus efficace dans votre domaine de services de domaine Active Directory (AD DS). Cette leon prsente
les outils qui vous permettent deffectuer des tches telles que la modification dattributs dutilisateur
pour de nombreux dutilisateurs, la recherche d utilisateurs, ainsi que limportation et lexportation
dutilisateurs partir et vers des sources de donnes ou rpertoires externes.
expliquer comment exporter des utilisateurs laide de loutil change de donnes de valeurs
spares par des virgules ;
expliquer comment importer des utilisateurs laide de loutil change de donnes de valeurs
spares par des virgules ;
dcrire comment importer des comptes dutilisateurs laide du standard Internet LDIFDE
(LDAP Data Interchange Format) ;
expliquer comment importer des comptes dutilisateurs laide de Windows PowerShell.
Dmonstration : Exportation de comptes dutilisateurs laide de loutil

change de donnes de valeurs spares par des virgules
Loutil change de donnes de valeurs spares par des virgules est un outil de ligne de commande qui
exporte ou importe des objets AD DS partir ou vers un fichier texte dlimit par des virgules, galement
appel fichier de valeurs spares par des virgules ou fichier .csv. Vous pouvez crer, modifier et ouvrir
des fichiers .csv laide doutils courants tels que Bloc-notes ou Microsoft Office Excel. En outre, vous
pouvez utiliser ces fichiers pour exporter les informations dAD DS en vue de les utiliser dans dautres
zones de votre organisation ou pour importer les informations dautres sources pour la cration ou la
modification des objets AD DS de votre domaine.
Voici la syntaxe de base de la commande de loutil change de donnes de valeurs spares par des
virgules pour lexportation :
csvde -f filename
Cependant, cette commande exporte tous les objets de votre domaine Active Directory. Vous pouvez
limiter ltendue de lexportation laide des quatre paramtres suivants :
-d RootDN. Spcifie le nom unique du conteneur partir duquel lexportation commence. La valeur
par dfaut est le domaine lui-mme.
-p SearchScope. Spcifie ltendue de recherche relative au conteneur spcifi par -d. SearchScope
peut prendre la valeur base (cet objet uniquement), onelevel (objets de ce conteneur) ou subtree (ce
conteneur et tous les sous-conteneurs). La valeur par dfaut est subtree.
4-3
-r Filter. Filtre les objets retourns dans ltendue configure par -d et -p. Le filtre est spcifi dans la
syntaxe de requte du protocole LDAP (Lightweight Directory Access Protocol). Vous allez utiliser un
filtre dans latelier pratique de cette leon. La syntaxe de la requte LDAP nest pas traite dans ce
cours. Pour plus dinformations, consultez la page http://go.microsoft.com/fwlink/?LinkId=168752
(Certains de ces sites adresses dans ce cours sont en anglais.).
-l ListOfAttributes. Spcifie les attributs exporter. Utilisez le nom LDAP pour chaque attribut, spar
par une virgule, comme dans
-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
Aprs lexportation via loutil change de donnes de valeurs spares par des virgules, les noms de
lattribut LDAP saffichent sur la premire ligne. Chaque objet saffiche par la suite ( raison dun objet par
ligne) et doit contenir exactement les attributs lists sur la premire ligne, comme illustr dans les
exemples suivants :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
Dans cette dmonstration, vous allez apprendre :

exporter des comptes dutilisateurs avec loutil change de donnes de valeurs spares par
des virgules.
1.
Sur lordinateur LON-DC1, ouvrez une invite de commandes.
2.
Dans la fentre dinvite de commandes, saisissez la commande suivante et appuyez sur Entre :
csvde -f E:\Labfiles\Mod04\UsersNamedRex.csv -r "(name=Rex*)" -l
DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
3.
Ouvrez E:\Labfiles\Mod04\UsersNamedRex.csv avec Bloc-notes.
4.
Examinez le fichier, puis fermez Bloc-notes.
5.
Fermez toutes les fentres ouvertes sur LON-DC1.
Dmonstration : Importation de comptes dutilisateurs laide de loutil

change de donnes de valeurs spares par des virgules
Vous pouvez galement utiliser loutil change de donnes de valeurs spares par des virgules pour
crer des comptes dutilisateurs en important un fichier .csv. Si les informations utilisateurs figurent dans
des bases de donnes existantes Excel ou Microsoft Office Access, loutil change de donnes de valeurs
spares par des virgules constitue une excellente faon de tirer profit de ces informations afin
dautomatiser la cration de comptes dutilisateurs.
Voici la syntaxe de base de la commande de loutil change de donnes de valeurs spares par des
virgules pour limportation :
csvde -i -f filename -k
4-4
Le paramtre -i spcifie le mode dimportation. Sans ce paramtre, le mode par dfaut de loutil change
de donnes de valeurs spares par des virgules est lexportation. Le paramtre -f identifie le nom de
fichier dimportation ou dexportation. Le paramtre -k est utile lors des oprations dimportation, car il
indique loutil change de donnes de valeurs spares par des virgules dignorer les erreurs, y compris
Lobjet existe dj
Le fichier dimportation lui-mme est un fichier texte dlimit par des virgules (.csv ou .txt) o la
premire ligne dfinit les attributs imports par leurs noms dattribut LDAP. Chaque objet saffiche par la
suite ( raison dun objet par ligne) et doit contenir exactement les attributs lists sur la premire ligne ;
un exemple de fichier se prsente comme suit :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
Ce fichier, une fois import par la commande de loutil change de donnes de valeurs spares par des
virgules, cre un objet utilisateur pour Lisa Andrews dans lunit dorganisation des employs. Le fichier
configure les noms douverture de session, le nom et le prnom de lutilisateur. Vous ne pouvez pas
utiliser loutil change de donnes de valeurs spares par des virgules pour importer des mots de passe.
Sans mot de passe, le compte dutilisateur sera dsactiv au dpart. Vous pouvez activer lobjet dans
AD DS aprs avoir rinitialis le mot de passe.
importer des comptes dutilisateurs avec loutil change de donnes de valeurs spares par
des virgules.
1.
Sur LON-DC1, ouvrez E:\Labfiles\Mod04\NewUsers.csv avec Bloc-notes. Examinez les informations

relatives aux utilisateurs lists dans le fichier.
2.
Ouvrez une invite de commandes, saisissez la commande suivante et appuyez sur Entre :
csvde -i -f E:\Labfiles\Mod04\NewUsers.csv -k
3.
Dans le Gestionnaire de serveur, ouvrez Utilisateurs et ordinateurs Active Directory et confirmez

que les utilisateurs ont t crs avec succs.
4.
Examinez les comptes pour confirmer que le prnom, le nom, le nom dutilisateur principal et le nom
de connexion avant linstallation de Windows 2000 sont indiqus conformment aux instructions du
fichier NewUsers.csv.
5.
Redfinissez les mots de passe des deux comptes sur Pa$$w0rd.
6.
Activez les deux comptes.
7.
Dmonstration : Importation de comptes dutilisateurs avec LDIFDE

Vous pouvez galement utiliser LDIFDE.exe pour importer ou exporter des objets Active Directory,
notamment des utilisateurs. Le format LDIF est un format de fichier standard que vous pouvez utiliser
pour stocker des informations et effectuer des oprations en lots dans les rpertoires conformes aux
normes LDAP. LDIF prend en charge les oprations dimportation et dexportation, ainsi que les
oprations en lots qui modifient des objets dans le rpertoire. La commande LDIFDE implmente ces
oprations en lots laide des fichiers LDIF.
4-5
Le format de fichier LDIF se compose dun bloc de lignes qui, ensemble, constituent une opration unique.
Plusieurs oprations dun fichier unique sont spares par une ligne vierge. Chaque ligne, comportant une
opration, se compose dun nom dattribut suivi de deux-points et de la valeur de lattribut. Par exemple,
supposons que vous souhaitiez importer des objets utilisateurs pour deux commerciaux nomms Bonnie
Kearney et Bobby Moore. Le contenu du fichier LDIF ressemble lexemple suivant :
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Oprations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@contoso.com
mail: bonnie.kearney@contoso.com
dn: CN=Bobby Moore,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bobby Moore
sn: Moore
title: Legal
description: Legal (New York)
givenName: Bobby
displayName: Moore, Bobby
company: Contoso, Ltd.
sAMAccountName: bobby.moore
userPrincipalName: bobby.moore@contoso.com
mail: bobby.moore@contoso.com
Chaque opration commence avec lattribut du nom de domaine (DN) de lobjet qui est la cible de
lopration. La ligne suivante, changeType, spcifie le type dopration : ajouter, modifier ou supprimer.
Comme vous pouvez le voir, le format de fichier LDIF nest pas aussi intuitif ni familier que le format texte
spar par des virgules. Cependant, tant donn que le format LDIF est aussi un standard, de nombreux
services dannuaire et bases de donnes peuvent exporter les fichiers LDIF.
Aprs la cration ou lobtention dun fichier LDIF, vous pouvez excuter les oprations indiques par
le fichier laide de la commande LDIFDE. Dans une invite de commandes, saisissez ldifde /? pour les
informations dutilisation. Voici les deux commutateurs les plus importants pour la commande LDIFDE :
4-6
-i. Active le mode dimportation. Sans ce paramtre, LDIFDE exporte les informations.
-f Nom de fichier. Le fichier partir duquel effectuer limportation et vers lequel raliser lexportation.
importer des comptes dutilisateurs avec LDIFDE.
1.
Ouvrez E:\Labfiles\Mod04\NewUsers.ldf avec Bloc-notes. Examinez les informations relatives aux

utilisateurs lists dans le fichier.
2.
Ouvrez une invite de commandes, saisissez la commande suivante et appuyez sur Entre :
ldifde -i -f E:\Labfiles\Mod04\NewUsers.ldf -k
3.
Ouvrez Utilisateurs et ordinateurs Active Directory, puis confirmez que les utilisateurs ont t crs
avec succs.
4.
Examinez les comptes afin de confirmer que les proprits de lutilisateur sont indiques
conformment aux instructions de NewUsers.ldf.
5.
Redfinissez les mots de passe des deux comptes sur Pa$$w0rd.
6.
Activez les deux comptes.
7.

Question : Quels avantages offre LDIFDE par rapport loutil change de donnes de
valeurs spares par des virgules lors de la gestion des comptes dutilisateurs dans un
environnement AD DS ?
Dmonstration : Importation de comptes dutilisateurs avec

Windows PowerShell
Le module Active Directory pour Windows PowerShell peut galement utiliser le contenu dun fichier .csv
pour importer des objets dans AD DS.
Deux applets de commande sont utilises pour effectuer cette tche :
Import-CSV. Cette applet de commande cre des objets partir des fichiers .csv. Ces derniers
peuvent tre dirigs vers dautres applets de commande Windows PowerShell.
New-ADUser. Cette applet de commande est utilise pour crer les objets imports depuis lapplet
de commande Import-CSV.
importer des comptes dutilisateurs avec Windows PowerShell.
4-7
1.
Sur LON-DC1, dans Gestionnaire de serveur, ouvrez Utilisateurs et ordinateurs Active Directory
et sous Adatum.com, crez une nouvelle unit dorganisation nomme ImportUsers.
2.
Ouvrez E:\Labfiles\Mod04\ImportUsers.ps1 avec Bloc-notes. Examinez le contenu du fichier.
3.
ct de $impfile, modifiez le champ path and filename to csv en

E:\Labfiles\Mod04\ImportUsers.csv, puis enregistrez le fichier.
4.
Ouvrez le module Active Directory pour Windows PowerShell.
5.
Saisissez les commandes suivantes, puis appuyez sur Entre aprs chaque commande. Lorsque vous tes
invit modifier la stratgie dexcution, appuyez sur Entre pour accepter loption par dfaut O :
Set-ExecutionPolicy remotesigned
E:\Labfiles\Mod04\importusers.ps1
6.
Dans la bote de dialogue de demande de mot de passe, saisissez Pa$$w0rd.
7.
Ouvrez Utilisateurs et ordinateurs Active Directory et vrifiez que les comptes dutilisateurs ont
t imports dans lunit dorganisation ImportUsers.
8.
Leon 2
Configuration des paramtres de stratgie de mot

de passe et de verrouillage de compte dutilisateur
4-8
En tant quadministrateur, vous devez vrifier que les comptes utilisateurs de votre environnement sont
conformes aux paramtres de scurit tablis par votre organisation. Windows Server 2012 utilise des
stratgies de comptes pour configurer les paramtres relatifs la scurit pour les comptes dutilisateurs.
Ce module vous aide identifier les paramtres disponibles pour configurer la scurit de compte, ainsi
que les mthodes disponibles pour configurer ces paramtres.
expliquer les stratgies des comptes dutilisateurs ;
expliquer comment configurer des stratgies de comptes dutilisateurs ;
dcrire les objets PSO (Password Settings Objects) ;
expliquer comment configurer des objets PSO.
Comprendre les stratgies des comptes dutilisateurs

Dans AD DS, les stratgies de comptes dfinissent
les paramtres par dfaut des attributs de scurit
attribus aux objets utilisateurs. Dans AD DS,
les stratgies de comptes se trouvent dans
deux groupes diffrents de paramtres : stratgie
de mot de passe et verrouillage de compte.
Vous pouvez configurer les deux groupes de
paramtres dans les paramtres de stratgie locale
pour un serveur individuel Windows Server 2012
ou pour le domaine entier laide de la console
de gestion des stratgies de groupe (GPMC) dans
AD DS. Si les paramtres de stratgie locale et les
paramtres de stratgie de groupe ne concordent pas, ces derniers remplacent les premiers
Dans Gestion des stratgies de groupe au sein de AD DS, la plupart des paramtres de stratgie peuvent
tre appliqus diffrents niveaux de la structure AD DS : domaine, site ou unit dorganisation.
Cependant, les stratgies de comptes ne peuvent tre appliques qu un seul niveau dans AD DS : au
domaine entier. Par consquent, seul un ensemble de paramtres de stratgie de compte peut tre
appliqu un domaine AD DS.
Stratgie de mot de passe

Dfinissez la stratgie de mot de passe laide des paramtres suivants :
4-9
Appliquer lhistorique des mots de passe. Il sagit du nombre de nouveaux mots de passe uniques
devant tre associs un compte dutilisateur avant de pouvoir rutiliser un ancien mot de passe.
Par dfaut, ce paramtre est dfini 24 anciens mots de passe. Lorsque vous utilisez ce paramtre
avec le paramtre de dure de vie minimale du mot de passe, le paramtre dapplication de
lhistorique de mot de passe empche la rutilisation constante du mme mot de passe.
Dure de vie maximale du mot de passe. Il sagit du nombre de jours pendant lesquels lutilisateur
peut utiliser un mot de passe avant de devoir le modifier. Le changement rgulier des mots de passe
facilite la prvention de la corruption des mots de passe. Cependant, vous devez quilibrer ce critre
de scurit par rapport aux considrations logistiques, en raison du fait que les utilisateurs sont
amens modifier leurs mots de passe trop souvent. Le paramtre par dfaut de 42 jours est
probablement adapt la plupart des organisations.
Dure de vie minimale du mot de passe. Il sagit du nombre de jours pendant lesquels lutilisateur
doit utiliser un mot de passe avant de pouvoir le modifier. La valeur par dfaut est dun jour, ce qui
est convenable si vous appliquez galement lhistorique de mot de passe. Vous pouvez restreindre
lutilisation constante du mme mot de passe si vous utilisez ce paramtre en mme temps quun
paramtre court pour appliquer lhistorique de mot de passe.
Longueur minimale du mot de passe. Il sagit du nombre minimal de caractres que le mot de passe
dun utilisateur doit contenir. La valeur par dfaut est de sept. Il sagit de la valeur minimale par
dfaut frquemment utilise. Cependant, vous devez envisager daugmenter la longueur du mot de
passe au moins 10 caractres pour amliorer la scurit.
Exigences de complexit. Windows Server comprend un filtre de mot de passe par dfaut qui est
activ par dfaut et vous ne devez pas le dsactiver. Le filtre requiert quun mot de passe prsente les
caractristiques suivantes :
o
Il ne doit contenir ni votre nom de famille, ni votre nom dutilisateur.
Il doit comporter au moins six caractres.
Il doit contenir des caractres tirs de trois des quatre groupes ci-dessous :
lettres majuscules [AZ] ;
lettres minuscules [az] ;
chiffres [09] ;
caractres spciaux non alphanumriques, tels que !@#)(*&^%.
Stratgie de verrouillage du compte
4-10 Gestion des comptes dutilisateurs et de service
Vous pouvez dfinir des seuils de verrouillage de compte, la dure du verrouillage et un mode de
dverrouillage des comptes. Les seuils de verrouillage de compte exigent que les comptes deviennent
inutilisables aprs un certain nombre dchecs douverture de session au cours dune priode dfinie. Les
stratgies de verrouillage de compte permettent de dtecter et dviter les attaques en force sur les mots
de passe des comptes. Les paramtres disponibles sont les suivants :
Dure de verrouillage des comptes. Dfinit le nombre de minutes pendant lesquelles un compte
verrouill reste verrouill. Une fois que ce dlai indiqu est coul, le compte est dverrouill
automatiquement. Pour indiquer quun administrateur doit dverrouiller le compte, dfinissez la
valeur 0. Pensez utiliser des stratgies de mot de passe prcises pour forcer les administrateurs
dverrouiller les comptes prsentant un niveau de scurit lev. Configurez ensuite ce paramtre
30 minutes pour les utilisateurs normaux.
Seuil de verrouillage du compte. Dtermine le nombre dchecs douverture de session autoriss

avant quun compte dutilisateur ne soit verrouill. Une valeur nulle indique que le compte ne sera
jamais verrouill. Vous devez indiquer une valeur assez leve pour tenir compte des utilisateurs
nayant pas saisi correctement leurs mots de passe, mais assez basse pour faire chouer les tentatives
dattaques en force des mots de passe. En gnral, les valeurs de ce paramtre vont de trois cinq.
Rinitialiser le compteur de verrouillages du compte aprs. Dtermine le nombre de minutes qui

doivent scouler aprs un chec douverture de session, avant que le compteur douvertures de
sessions infructueuses ne soit rinitialis 0. Ce paramtre sapplique lorsquun utilisateur a saisi un
mot de passe incorrect, sans pour autant dpasser le seuil de verrouillage de compte. Pensez dfinir
cette valeur sur 30 minutes.
Stratgie Kerberos
Les options de configuration de la stratgie Kerberos contiennent les paramtres du ticket TGT (TicketGranting Ticket) de protocole Kerberos version 5, ainsi que les paramtres de dures de vie et dhorodatage
des tickets de session. Les paramtres par dfaut sont adapts la plupart des organisations.
Configuration de stratgies de compte dutilisateur

Il existe plusieurs options permettant de
configurer les stratgies de comptes dutilisateurs
lors de ladministration dun environnement
AD DS.
Paramtres de stratgie locale avec

Secpol.msc
Chaque ordinateur Windows Server 2012 possde

son propre ensemble de stratgies de comptes,
qui sappliquent aux comptes crs et grs sur
lordinateur local. Pour configurer ces paramtres
de stratgie, ouvrez la console Stratgie de
scurit locale en excutant secpol.msc dans
linvite de commandes. Les paramtres de stratgie de mot de passe et de stratgie de compte peuvent se
trouver dans la console Stratgie de scurit locale. Il vous suffit de dvelopper Paramtres de scurit,
puis Stratgies de comptes.
Stratgie de groupe avec la gestion des stratgies de groupe
4-11
Dans lenvironnement de domaine AD DS, les paramtres de stratgie de compte lchelle du domaine
sont configurs dans la console de gestion des stratgies de groupe. Les paramtres peuvent tre trouvs
dans Configuration ordinateur, en dveloppant le nud Stratgies, en dveloppant sous le nud
Paramtres Windows, en dveloppant le nud Paramtres de scurit, puis en dveloppant le nud
Stratgies de comptes.
Les paramtres trouvs dans le nud Stratgies de comptes sont les mmes paramtres trouvs
dans la stratgie de scurit locale, en plus des paramtres de stratgie Kerberos qui sappliquent
lauthentification de domaine.
Les paramtres de stratgie de compte de stratgie de groupe existent dans le modle de chaque objet
Stratgie de groupe (GPO) cr dans la console GPMC. Cependant, vous pouvez appliquer une stratgie
de compte seulement une fois dans un domaine et seulement dans un objet Stratgie de groupe. Cest la
stratgie de domaine par dfaut, et elle lie la racine du domaine AD DS. En tant que tels, les paramtres
de stratgie de compte dans la stratgie de domaine par dfaut sappliquent chaque ordinateur qui est
joint au domaine.
Remarque : En cas de conflit entre les paramtres de stratgie de compte dans la stratgie de
scurit locale et les paramtres de stratgie de compte dans lobjet Stratgie de groupe de la
stratgie de domaine par dfaut, les paramtres de stratgie de domaine par dfaut ont la priorit.
Question : Pourquoi utiliseriez-vous secpol.msc pour configurer les paramtres de stratgie
de compte locale pour un ordinateur Windows Server 2012 au lieu dutiliser les paramtres
de stratgie de compte de stratgie de groupe bass sur le domaine ?
Quest-ce que les objets PSO ?

En commenant par Windows Server 2008,
les administrateurs peuvent dfinir plus dune
stratgie de mot de passe dans un domaine
unique en implmentant des stratgies de mot de
passe affines. Celles-ci vous permettent davoir
un contrle plus granulaire sur les exigences de
mot de passe utilisateur, et vous pouvez avoir
diffrentes exigences de mot de passe pour
diffrents utilisateurs ou groupes.
Pour prendre en charge la fonctionnalit de
stratgie de mot de passe affine, AD DS sous
Windows Server 2008 et versions plus rcentes
comprend deux types dobjet :
Conteneur de paramtre de mot de passe. Windows Server cre ce conteneur par dfaut, et vous
pouvez lafficher dans le conteneur System du domaine. Le conteneur enregistre les objets PSO que
vous crez et liez aux groupes de scurit globale ou aux utilisateurs.
Objets de paramtres de mot de passe. Les membres du groupe dadministrateurs du domaine crent
des objets PSO, puis dfinissent les paramtres spcifiques de mot de passe et de verrouillage de
compte lier un groupe de scurit ou utilisateur spcifique.
Les stratgies de mot de passe affine sappliquent seulement aux objets utilisateurs (ou aux objets
inetOrgPerson, si vous les utilisez au lieu des objets utilisateurs) et aux groupes de scurit globale. En
liant des Objets de paramtres de mot de passe un utilisateur ou un groupe, vous modifiez un attribut
appel msDS-PSOApplied, qui est vide par dfaut. Cette approche traite maintenant des paramtres de
mot de passe et de verrouillage de compte pas en tant quexigences llchelle du domaine, mais en tant
quattributs un utilisateur ou un groupe.
Par exemple, pour configurer une stratgie stricte de mot de passe pour les comptes dadministrateur,
crez un groupe de scurit globale, ajoutez les comptes dutilisateur administrateur comme membres et
liez un objet PSO au groupe. Lapplication des stratgies de mot de passe affine un groupe de cette
manire est plus grable que lapplication des stratgies chaque compte dutilisateur individuel. Si vous
crez un nouveau compte de service, vous lajoutez simplement au groupe et le compte est alors gr par
lobjet PSO.
Par dfaut, seuls les membres du groupe Administrateurs du domaine peuvent dfinir des stratgies de
mot de passe affine. Cependant, vous pouvez galement dlguer la capacit de dfinir ces stratgies
dautres utilisateurs.
Application des stratgies de mot de passe affines
Vous ne pouvez pas appliquer une stratgie de mot de passe affine une unit dorganisation directement.
Pour appliquer une stratgie de mot de passe affine aux utilisateurs dune unit dorganisation, vous
pouvez utiliser un groupe des clichs instantans. Un groupe des clichs instantans est un groupe de
scurit globale qui mappe logiquement une unit dorganisation, et applique une stratgie de mot de
passe affine. Vous pouvez ajouter les utilisateurs dune unit dorganisation comme membres du groupe
des clichs instantans nouvellement cre, puis vous appliquez la stratgie de mot de passe affine ce
groupe des clichs instantans. Si vous dplacez un utilisateur dune unit dorganisation une autre, vous
devez mettre jour lappartenance des groupes des clichs instantans correspondants.
Les paramtres grs par une stratgie de mot de passe affine sont identiques ceux des nuds de
stratgie de mot de passe et de stratgie de comptes dun objet Stratgie de groupe. Cependant, les
stratgies de mot de passe affine ne sont ni implmentes dans le cadre de la stratgie de groupe, ni
appliques dans le cadre dun objet Stratgie de groupe. Il y a plutt une classe distincte dobjet dans
Active Directory qui gre les paramtres pour la stratgie de mot de passe affine : PSO.
Vous pouvez crer un ou plusieurs objets PSO dans votre domaine. Chacun contient un ensemble complet
de paramtres de mot de passe et de stratgie de verrouillage. Les paramtres dun objet PSO est appliqu
en liant lobjet des paramtres de mot de passe un ou plusieurs groupes de scurit globale ou utilisateurs.
Pour utiliser une stratgie de mot de passe affine, votre niveau fonctionnel du domaine doit tre au
moins Windows Server 2008, ce qui signifie que tous vos contrleurs de domaine dans le domaine
excutent au moins Windows Server 2008, et le niveau fonctionnel du domaine a t lev au moins
Windows Server 2008.
Pour confirmer et modifier le niveau fonctionnel du domaine :
1.
Ouvrez la fentre Domaines et approbations Active Directory.
2.
Dans larborescence de la console, dveloppez Domaines et approbations Active Directory, puis

dveloppez larborescence jusqu ce que vous puissiez voir le domaine.
3.
Cliquez avec le bouton droit sur le domaine, puis cliquez sur Augmenter le niveau fonctionnel
du domaine.
Configuration des objets PSO

Vous pouvez crer et appliquer des objets PSO
dans lenvironnement Windows Server 2012
laide de lun des outils suivants :
Centre dadministration Active Directory
Windows PowerShell
Configuration des objets PSO laide

de Windows PowerShell
Dans Windows Server 2012, les nouveaux applets
de commande Windows PowerShell dans le
module Active Directory pour Windows
PowerShell peuvent tre utiliss pour crer et
grer des objets PSO dans votre domaine.
New-ADFineGrainedPasswordPolicy
4-13
Cet applet de commande est utilis pour crer un nouvel objet PSO et dfinir les paramtres de
lobjet de paramtres de mot de passe. Par exemple, la commande suivante cre un nouvel objet PSO
nomm TestPwd, puis spcifie ses paramtres :
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0"
-MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false ProtectedFromAccidentalDeletion:$true
Add-FineGrainedPasswordPolicySubject
Cet applet de commande vous permet de lier un utilisateur ou un groupe un objet PSO existant. Par
exemple, la commande suivante lie lobjet PSO TestPwd au groupe AD DS nomm group1 :
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects Marketing
Configuration des objets PSO laide de centre dadministration Active Directory
Le centre dadministration Active Directory fournit une interface graphique pour crer et grer des objets
PSO. Pour grer des objets PSO dans le centre dadministration Active Directory, suivez cette procdure :
1.
Ouvrez Centre dadministration Active Directory.
2.
Cliquez sur Grer, cliquez sur Ajouter des nuds de navigation, slectionnez le domaine cible
appropri dans la bote de dialogue Ajouter des nuds de navigation, puis cliquez sur OK.
3.
Dans le volet de navigation Centre dadministration Active Directory, ouvrez le conteneur System,
puis cliquez sur classe dobjets PSC (Password Settings Container).
4.
Dans le volet Tches, cliquez sur Nouveau, puis cliquez sur Paramtres de mot de passe.
5.
Compltez ou modifiez les champs lintrieur de la page de proprit pour crer un nouvel Objet
de paramtres de mot de passe.
6.
Sous Sapplique directement , cliquez sur Ajouter, saisissez Marketing, puis cliquez sur OK.
7.
Cela associe lobjet Stratgie de mot de passe aux membres du groupe global que vous avez cr
pour lenvironnement de test.
8.
Cliquez sur OK pour envoyer la cration de lobjet PSO.
Remarque : Linterface de centre dadministration Active Directory pour la gestion dobjet

de paramtres de mot de passe utilise les applets de commande Windows PowerShell indiqus
prcdemment pour la cration et la gestion des objets PSO.
Considrations pour configurer les Objets de paramtres de mot de passe
Il est possible de lier plusieurs objets PSO un utilisateur ou un groupe de scurit. Vous pouvez faire cela
si un utilisateur est membre de plusieurs groupes de scurit (associs ou non un objet PSO) ou que vous
attribuez plusieurs objets PSO directement un objet utilisateur. Dans ces cas, il est important de
comprendre que vous ne pouvez appliquer quun seul objet PSO comme stratgie de mot de passe efficace.
Si vous attribuez plusieurs objets PSO un utilisateur ou un groupe, lattribut msDSPasswordSettingsPrecedence aide dterminer lobjet PSO en rsultant. Un objet PSO ayant une
valeur infrieure a la priorit sur un objet des paramtres PSO ayant une valeur suprieure.
Le processus suivant dcrit comment Active Directory DS dtermine lobjet PSO rsultant si vous liez
plusieurs objets PSO un utilisateur ou un groupe :
1.
Tout objet PSO que vous liez directement un objet utilisateur est lobjet PSO rsultant. Si vous liez
plusieurs objets PSO directement lobjet utilisateur, lobjet PSO ayant la valeur demsDSPasswordSettingsPrecedence la plus basse est lobjet PSO rsultant. Si deux objets PSO ont la mme
priorit, celui des deux qui a lattribut objectGUID le plus petit mathmatiquement est lobjet
PSO rsultant.
2.
Si vous ne liez aucun objet PSO directement lobjet utilisateur, AD DS compare les objets PSO pour
tous les groupes de scurit globale qui contiennent lobjet utilisateur. Lobjet PSO ayant la valeur
msDS-PasswordSettings la plus basse
La valeur Priorit est lobjet PSO rsultant. Si vous appliquez plusieurs objets PSO au mme
utilisateur et quils ont la mme valeur msDS-PasswordSettingsPrecedence, AD DS applique lobjet
PSO ayant lidentificateur unique global (GUID) le plus petit mathmatiquement.
3.
Si vous ne liez aucun objet PSO lobjet utilisateur, directement ou indirectement (par lappartenance
de groupe), AD DS applique la stratgie de domaine par dfaut.
Tous les objets utilisateurs contiennent un nouvel attribut appel msDS-ResultantPSO. Vous pouvez utiliser
cet attribut pour aider dterminer le nom unique de lobjet PSO que AD DS applique lobjet utilisateur. Si
vous ne liez pas dobjet PSO lobjet utilisateur, cet attribut ne contient aucune valeur et lobjet Stratgie de
groupe de stratgie de domaine par dfaut contient la stratgie de mot de passe efficace.
Pour afficher leffet dune stratgie quAD DS applique un utilisateur, ouvrez Utilisateurs et ordinateurs
Active Directory, puis, sur le menu Affichage, vrifiez que loption Fonctionnalits avances est active.
Ouvrez ensuite les proprits dun compte dutilisateur. Vous pouvez afficher lattribut msDSResultantPSO sur longlet diteur dattributs, si loption Afficher les attributs construits a t
configure dans les options Filtre.
Leon 3
Configuration des comptes de service grs
4-15
La cration des comptes dutilisateurs pour fournir lauthentification aux applications, aux services
systme et aux processus en arrire plan est une pratique courante dans lenvironnement Windows.
Historiquement, les comptes ont t crs et souvent nomms pour lutilisation par un service spcifique.
Windows Server 2012 prend en charge les objets comme un compte AD DS appels comptes de service
grs, qui facilitent la gestion des comptes du service et prsentent moins de risque de scurit pour
votre environnement.
Cette leon vous prsentera les comptes de service grs et la nouvelle fonctionnalit relative ces
comptes sous Windows Server 2012.
identifier les difficults dutiliser des comptes dutilisateur standard pour les services ;
dcrire les comptes de service grs ;
expliquer comment configurer des comptes de service grs ;
dcrire les comptes de service grs du groupe.
Quelles sont les difficults utiliser des comptes dutilisateur standard

pour les services ?
Beaucoup dapplications telles que Microsoft SQL
Server ou Internet Information Services (IIS)
contiennent les services qui sont installs sur le
serveur qui hberge lapplication. Ces services
sexcutent en gnral au dmarrage du serveur
ou sont dclenchs par dautres vnements. Les
services sexcutent souvent en arrire-plan et
nont besoin daucune intervention de lutilisateur.
Pour quun service dmarre et authentifie, un

compte du service est utilis. Un compte du
service peut tre un compte qui est local
lordinateur, tel que les comptes de service local
intgr, de service rseau ou de systme local. Vous pouvez galement configurer un compte du service
pour utiliser un compte bas sur domaine, situ dans AD DS.
Pour aider centraliser ladministration et rpondre aux impratifs de lapplication, beaucoup

dorganisations choisissent dutiliser un compte bas sur le domaine pour excuter les services
dapplication. Cela offre un certain avantage par rapport lutilisation dun compte local. Cependant,
il y a un certain nombre de difficults associes, telles que :
Un effort dadministration supplmentaire peut tre ncessaire pour grer le mot de passe de compte
du service de manire scurise. Cela comprend des tches telles que la modification du mot de
passe et la rsolution des situations qui provoquent un verrouillage de compte. Les comptes du
service sont en gnral configurs galement pour avoir des mots de passe qui nexpirent pas, ce qui
peut aller lencontre les stratgies de scurit de votre organisation.
Il peut savrer difficile de dterminer o un compte bas sur le domaine est utilis comme compte
de service. Un compte dutilisateur standard peut tre utilis pour plusieurs services sur divers
serveurs dans tout lenvironnement. Une tche simple, telle que la modification du mot de passe,
peut provoquer des problmes dauthentification pour certaines applications. Il est important de
savoir o et comment un compte dutilisateur standard est utilis quand il est associ avec un service
dapplication.
Un effort dadministration supplmentaire peut tre ncessaire pour grer le nom principal de service.
Lutilisation dun compte dutilisateur standard peut requrir ladministration manuelle du nom
principal de service. Si le compte douverture de session du service change, le nom de lordinateur est
modifi. Ou, si une proprit de nom dhte du systme DNS est modifie, les inscriptions du nom
principal de service peuvent devoir tre manuellement modifies pour reflter la modification. Un
nom principal de service mal configur pose des problmes dauthentification avec le service
dapplication.
Windows Server 2012 prend en charge un objet AD DS utilis pour faciliter la gestion de compte du
service, appel compte de service gr. Les rubriques suivantes fournissent des informations sur les
exigences et lutilisation des comptes de service grs sous Windows Server 2012.
Quest ce quun compte de service gr ?

Un compte de service gr est une classe dobjets
AD DS qui active le mot de passe simplifi et la
gestion du nom du principal du serveur pour les
comptes de service.
Beaucoup dapplications rseau utilisent un
compte pour excuter des services ou pour fournir
lauthentification. Par exemple, une application sur
un ordinateur local pourrait utiliser les comptes
de service local, de service rseau ou du systme
local. Ces comptes du service peuvent fonctionner
trs bien. Cependant, ils sont en gnral partags
entre plusieurs applications et services, ce qui est
difficile grer pour une application spcifique. En outre, vous ne pouvez pas grer ces comptes de
service local au niveau du domaine.
4-17
Alternativement, il est tout fait courant quune application puisse utiliser un compte de domaine
standard qui est configur spcifiquement pour lapplication. Cependant, linconvnient majeur est que
vous devez grer des mots de passe manuellement, ce qui augmente leffort dadministration.
Un compte de service gr peut fournir une application son propre unique compte, tout en liminant le
besoin dadministrer les informations didentification du compte manuellement par un administrateur.
Comment fonctionne un compte de service gr ?
Les comptes de service grs sont enregistrs dans AD DS comme des objets msDSManagedServiceAccount. Cette classe hrite des aspects structurels de la classe Ordinateur (qui hrite
de la classe Utilisateur). Cela permet un compte de service gr daccomplir des fonctions comme un
utilisateur, telles que la fourniture de lauthentification et du contexte de scurit pour un service en cours
dexcution. Cela permet galement un compte de service gr dutiliser le mme mcanisme de mise
jour de mot de passe utilis par les objets Ordinateur dans AD DS, un processus qui ne requiert aucune
intervention de lutilisateur.
Les comptes de service grs offrent les avantages suivants pour simplifier ladministration :
Gestion automatique des mots de passe. Un compte de service gr gre automatiquement son
propre mot de passe, y compris les modifications de mot de passe.
Gestion simplifie du nom du principal du serveur. La gestion du nom du principal du serveur peut
tre effectue automatiquement si votre domaine est configur au niveau fonctionnel du domaine
de Windows Server 2008 R2 ou versions plus rcentes.
Les comptes de service grss sont enregistrs dans le conteneur CN=Managed Service Accounts,
DC=<domain>, DC=<com>. Vous pouvez voir cela en activant loption Fonctionnalit avance dans le
menu Affichage dans Utilisateurs et ordinateurs Active Directory. Ce conteneur est visible par dfaut dans
le centre dadministration Active Directory.
Configurations requises pour lusage des comptes de service grs
Pour utiliser un compte de service gr, le serveur qui excute le service ou lapplication doit
excuter Windows Server 2008 R2 ou Windows Server 2012. Vous devez galement vrifier que
.NET Framework 3.5.x et le module Active Directory pour Windows PowerShell sont tous les deux installs
sur le serveur.
Remarque : Un compte de service gr standard ne peut tre ni partag entre plusieurs
ordinateurs, ni utilis dans les clusters de serveurs o le service est rpliqu entre les nuds.
Pour simplifier et fournir la gestion compltement automatique de mot de passe et de nom principal du
serveur, nous recommandons vivement que le domaine AD DS soit au niveau fonctionnel de Windows
Server 2008 R2 ou version plus rcente. Cependant, si vous avez un contrleur de domaine excutant
Windows Server 2008 ou Windows Server 2003, vous pouvez mettre jour le schma Active Directory
vers Windows Server 2008 R2 pour prendre en charge cette fonctionnalit. Le seul inconvnient est que
ladministrateur de domaine doit configurer les donnes du nom principal du serveur manuellement pour
les comptes de service grs.
Pour mettre jour le schma dans Windows Server 2008, Windows Server 2003 ou des environnements
de mode mixte, vous devez effectuer les tches suivantes :
1.
Excutez adprep/forestprep au niveau de la fort et excutez adprep/domainprep au niveau du

domaine.
2.
Dployez un contrleur de domaine excutant Windows Server 2008 R2, Windows Server 2008 avec
le Service passerelle de gestion Active Directory ou Windows Server 2003 avec le Service passerelle
de gestion Active Directory.
Remarque : Le Service passerelle de gestion Active Directory permet aux administrateurs

avec des contrleurs de domaine excutant Windows Server 2003 ou Windows Server 2008
dutiliser des applets de commande Windows PowerShell pour grer des comptes de service grs.
Considrations pour les comptes de service grs sur des contrleurs de domaine
de Windows Server 2012
Sur Windows 2012, les comptes de service grs sont crs comme le nouveau type dobjet de compte de
groupe de service gr par dfaut. Cependant, pour adapter cela, vous devez remplir lune des conditions
pour les comptes de service grs de groupe avant que vous puissiez crer nimporte quel compte de
service gr sur un contrleur de domaine de Windows 2012.
Sur un contrleur de domaine de Windows 2012, une cl racine de services de distribution de cl doit
tre cre pour le domaine avant quaucun compte de service gr puisse tre cr. Pour crer la cl
racine, excutez lapplet de commande suivant partir du module Active Directory PowerShell pour
Windows PowerShell :
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))
Vous trouverez des informations supplmentaires sur les Comptes de service grs de groupe
(notamment des explications supplmentaires sur lapplet de commande ci-dessus) et la cration
de cl racine de Services de distribution de cls plus loin dans cette leon.
Dmonstration : Configuration des comptes de service grs laide

de Windows PowerShell
La cration et la configuration dun compte de service gr requirent lutilisation de quatre applets
de commande du module Active Directory pour Windows PowerShell :
Add-KDSRootkey cre la cl racine des services de distribution de cls pour prendre en charge les
comptes de service grs de groupe, une configuration requise sur les contrleurs de domaine de
Windows Server 2012 :
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))
New-ADServiceAccount cre le compte de service gr dans AD DS :

New-ADServiceAccount Name <MSA Name> -DNSHostname <DC DNS Name>
Install-ADServiceAccount installe le compte de service gr sur un ordinateur hte dans le domaine,

et met le compte de service gr disposition des services sur lordinateur hte :
Install-ADServiceAccount Identity <MSA Name>
4-19
Add-ADComputerServiceAccount associe le compte de service gr avec un compte ordinateur dans

le domaine AD DS :
Add-ADComputerServiceAccount identity <Host Computer Name> -ServiceAccount <MSA
Name>
crer la cl racine des services de distribution de cls pour le domaine ;
crer et associer un compte de service gr.
Crer la cl racine des services de distribution de cls pour le domaine.
1.
Sur LON-DC1, partir du Gestionnaire de serveur, ouvrez la console Module Active Directory
pour Windows PowerShell.
2.
Utilisez lapplet de commande Add-KDSRootKey pour crer la cl racine des services de distribution
de cls du domaine.
Crer et associer un compte de service gr

1.
Sur LON-DC1, ouvrez la console Module Active Directory pour Windows PowerShell.
2.
Utilisez lapplet commande New-ADServiceAccount pour crer un compte de service gr.
3.
Utilisez lapplet de commande Add-ADComputerServiceAccount pour associer le compte de service

gr avec LON-SVR1.
4.
Utilisez lapplet de commande Get- ADServiceAccount pour afficher le compte de service gr

nouvellement cr et confirmez la bonne configuration.
Installer un compte de service gr

1.
Sur LON-SVR1, ouvrez la console Module Active Directory pour Windows PowerShell.
2.
Utilisez lapplet de commande Install-ADServiceAccount pour installer le Compte de service gr

sur LON-SVR1.
3.
Ouvrez Gestionnaire de serveur, et dmarrez Console de services.
4.
Ouvrez les pages Proprits pour le service Identit de lapplication, puis slectionnez longlet
Connexion.
5.
Configurez le service Identit de lapplication pour utiliser ADATUM\SampleApp_SVR1$.
Que sont les comptes de service grs du groupe ?
Les comptes de service gr de groupe vous

permettent dtendre les fonctions des comptes
de service gr standards plus dun seul serveur
dans votre domaine. Dans les scnarios de batterie
de serveurs tels que des groupes ou des Serveurs
IIS de (NLB) dquilibrage de la charge rseau, il y
a souvent un besoin de diriger des services de
systme ou dapplication sous le mme compte du
service. Les comptes de service gr standards ne
peuvent pas fournir la fonctionnalit de compte
de service gr aux services qui sexcutent sur
plus dun serveur. laide des comptes de service
gr de groupe, vous pouvez configurer plusieurs serveurs pour utiliser le mme compte de service gr,
tout en gardant les avantages des comptes de service gr, comme la maintenance automatique de mot
de passe et la gestion simplifie du nom principal de service.
Configurations requises pour les comptes de service gr de groupe

Pour prendre en charge la fonctionnalit Compte de service gr de groupe, votre environnement doit
rpondre aux exigences suivantes :
Au moins un contrleur de domaine doit excuter Windows Server 2012 pour stocker les
informations de mot de passe gr.
Une cl racine de services KDS doit tre cre sur un contrleur de domaine dans le domaine.
Pour crer la cl racine de services KDS, excutez la commande suivante partir du module Active
Directory pour Windows PowerShell sur un contrleur de domaine de Windows Server 2012 :
Add-KdsRootKey EffectiveImmediately
Remarque : Le commutateur EffectiveImmediately utilise le temps actuel pour tablir

lhorodatage qui marque la cl comme valide. Cependant, en utilisant EffectiveImmediately,
le temps effectif rel est dfini 10 heures plus tard que le temps actuel. Cette diffrence de
10 heures permet la rplication des services de domaine Active Directory de rpliquer les
modifications dautres contrleurs de domaine dans le domaine. des fins de test, il est
possible dignorer cette fonctionnalit en dfinissant le paramtre EffectiveTime 10 heures
avant lheure actuelle :
Add-KdsRootKey EffectiveTime ((get-date).addhours(-10))
Comprendre la fonctionnalit de compte de service gr de groupe
4-21
Les comptes de service gr de groupe activent la fonctionnalit de compte de service gr travers

plusieurs serveurs en dlguant la gestion des informations de mot de passe du compte de service gr
aux contrleurs de domaine de Windows Server 2012. Ce faisant, la gestion des mots de passe ne dpend
plus des relations entre un serveur unique et AD DS, mais elle est plutt contrle entirement par AD DS.
Lobjet compte de groupe de service gr contient une liste dentits de scurit (des ordinateurs ou des
groupes AD DS) qui sont autoriss rcuprer les informations de mot de passe du compte de groupe
de service gr depuis AD DS, puis utilisent le compte de service gr de groupe pour lauthentification
des services.
Les comptes de service gr de groupe sont crs laide des mmes applets de commande du module
Active Directory pour Windows PowerShell. En fait, les applets de commande utiliss pour la gestion
des comptes de service gr creront des comptes de service gr de groupe, par dfaut.
Sur un contrleur de domaine de Windows Server 2012, crez un nouveau compte de service
gr laide de lapplet de commande New-ADServiceAccount avec le paramtre
PrinicipalsAllowedToRetrieveManagedPassword. Ce paramtre accepte un ou plusieurs comptes
dordinateur spars par des virgules ou des groupes AD DS qui sont autoriss obtenir les informations
de mot de passe pour le compte de service gr de groupe qui est enregistr dans AD DS sur des
contrleurs de domaine de Windows Server 2012.
Par exemple, lapplet de commande suivant crera un nouveau compte de service gr de groupe appel
SQLFarm, et permet aux htes LON-SQL1, LON-SQL2, et LON-SQL3 dutiliser le compte de service gr
de groupe :
New_ADServiceAccount Name LondonSQLFarm PrincipalsAllowedToRetrieveManagedPassword
LON-SQL1, LON-SQL2, LON-SQL3
Une fois quun ordinateur a t ajout en utilisant -PrincipalsAllowedToRetrieveManagedPassword,

le compte du service Compte de service gr de groupe est disponible pour tre attribu aux services
laide du mme processus dattribution en tant que Comptes de service gr standard.
Utilisation des groupes AD DS pour grer des batteries de serveurs de compte

de service gr de groupe
Les groupes de scurit AD DS peuvent tre utiliss pour identifier des comptes de service
gr de groupe. Quand vous utilisez un groupe AD DS pour le paramtre
PrincipalsAllowedToRetriveManagedPassword, tous les ordinateurs qui sont membres de ce groupe
seront autoriss rcuprer le mot de passe et utiliser la fonctionnalit de groupe de compte de service
gr. Lors de lutilisation dun groupe AD DS comme principal autoris rcuprer un mot de passe gr,
tous les comptes qui sont membres du groupe auront galement la mme fonction.
Atelier pratique : Gestion des comptes dutilisateurs

et de service
Scnario
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs London pour assister le
bureau de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client de
Windows Server 2012, et doit implmenter des modifications de la faon dont les comptes dutilisateurs
sont grs dans lenvironnement.
Objectifs
configurer les paramtres de stratgie de mot de passe et de verrouillage de compte ;
crer et associer un compte de service gr.

Dure approximative : Dure approximative : 45 minutes
Ordinateur virtuel
20411B-LON-DC1
Nom dutilisateur
Administrator
Mot de passe
Pa$$w0rd

5-1
Module 5
Implmentation dune infrastructure de stratgie de groupe

Table des matires :
5-1
Leon 1 : Prsentation de la stratgie de groupe
5-2
Leon 2 : Implmentation et administration des objets de stratgie

de groupe
5-12
Leon 3 : tendue de la stratgie de groupe et traitement

5-20
Leon 4 : Dpanner lapplication des objets de stratgie de groupe
5-39
Atelier pratique : Implmentation dune infrastructure de stratgie

de groupe
5-46
5-53
La stratgie de groupe fournit une infrastructure dans laquelle vous pouvez dfinir des paramtres de
manire centralise et les dployer aux utilisateurs et aux ordinateurs de votre entreprise. Dans un
environnement gr par une infrastructure bien implmente de stratgie de groupe, il y a trs peu de
configuration par un administrateur touchant directement lordinateur dun utilisateur. Vous pouvez
dfinir, appliquer et mettre jour toute la configuration laide des paramtres des objets de stratgie
de groupe (GPO) ou du filtrage dobjets de stratgie de groupe. laide des paramtres de lobjet de
stratgie de groupe, vous pouvez affecter un site ou un domaine entier au sein dune entreprise ou
focaliser sur une seule unit dorganisation (OU). Ce module dtaillera ce quest la stratgie de groupe,
comment elle fonctionne et comment limplmenter mieux dans votre organisation.
Objectifs
Dcrire les composants et les technologies qui comportent la structure de stratgie de groupe.
Configurer et comprendre divers types de paramtre de stratgie.
Limiter en tendue les objets de stratgie de groupe laide des liens, des groupes de scurit,
des filtres WMI (Windows Management Instrumentation), du traitement par boucle de rappel
et du ciblage de prfrence.
Dcrire comment les objets de stratgie de groupe sont traits.
Localiser les journaux des vnements qui contiennent des vnements lis la stratgie de groupe
et dpanner lapplication de stratgie de groupe.
Leon 1
Prsentation de la stratgie de groupe

Une infrastructure de stratgie de groupe comporte des composants dinteraction, et vous devez
comprendre ce que chaque composant fait, comment ces composants fonctionnent ensemble et
comment vous pouvez les assembler dans diffrentes configurations. Cette leon dresse un panorama
complet des composants, des procdures et des fonctions de stratgie de groupe.
5-2
Identifier les besoins de lentreprise auxquels peut rpondre la gestion de la configuration.
Dcrire les composants principaux et la terminologie de la stratgie de groupe.
Expliquer les avantages dimplmenter des objets de stratgie de groupe.
Dcrire les objets de stratgie de groupe.
Expliquer la fonction et le comportement des composants dobjet de stratgie de groupe ct client.
Expliquer lactualisation des objets de stratgie de groupe.
Crer et configurer des objets de stratgie de groupe.
Quest-ce que la gestion de la configuration ?

Si vous avez uniquement un ordinateur dans votre
environnement, domicile, par exemple, et que
vous devez modifier larrire-plan du bureau, vous
pouvez le faire de plusieurs faons diffrentes. La
plupart des personnes ouvriraient probablement
Apparence et personnalisation partir de
Panneau de configuration, et font la
modification laide de linterface Windows.
Bien que cela fonctionne bien pour un seul
ordinateur, cela peut tre pnible si vous
souhaitez faire cette modification sur plusieurs
ordinateurs. Limplmentation de nimporte quelle
modification et le maintien dun environnement cohrent est plus difficile avec plusieurs ordinateurs.
La gestion de la configuration est une approche centralise appliquer une ou plusieurs modifications
dun ou plusieurs utilisateurs ou ordinateurs. Les lments cls de la gestion de la configuration sont
les suivants :
Paramtre. Un paramtre est galement appel une dfinition centralise dune modification.
Le paramtre amne un utilisateur ou un ordinateur un tat dsir de configuration.
tendue. Ltendue la modification est la capacit de modifier les ordinateurs des utilisateurs.
Application. Lapplication est un mcanisme ou processus qui assure que le paramtre est appliqu
aux utilisateurs et aux ordinateurs au sein de ltendue.
La stratgie de groupe est une structure au sein de Windows, avec des composants qui rsident dans les
services de domaine Active Directory (AD DS), sur des contrleurs de domaine, et sur chaque serveur et
client Windows, qui vous permet de grer la configuration dans un domaine AD DS.
Vue densemble des stratgies de groupe

Le composant le plus granulaire de la stratgie de
groupe est un paramtre de stratgie individuel,
galement appel une stratgie qui dfinit une
modification de configuration spcifique
appliquer, comme un paramtre de stratgie qui
empche un utilisateur daccder aux outils de
modification de registre. Si vous dfinissez ce
paramtre de stratgie, puis vous lappliquez
lutilisateur, ce dernier ne pourra pas excuter
des outils tels que Regedit.exe.
5-3
Il est important de savoir que certains paramtres

affectent un utilisateur et sont appels paramtres
de configuration utilisateur (ou stratgies dutilisateur), et dautres affectent lordinateur et sont appels
paramtres de configuration de lordinateur (ou stratgies dordinateur).
La stratgie de groupe gre divers paramtres de stratgie, et la structure de la stratgie de groupe est
extensible. En fin de compte, vous pouvez grer nimporte quel paramtre configurable avec la stratgie
de groupe.
Dans lditeur de gestion des stratgies de groupe, vous pouvez dfinir un paramtre de stratgie
en double-cliquant dessus. La bote de dialogue Proprits du paramtre de stratgie saffiche.
Un paramtre de stratgie peut avoir trois tats : Non configur, Activ et Dsactiv.
Dans un nouvel objet de stratgie de groupe, chaque paramtre de stratgie est par dfaut Non
configur. Cela signifie que lobjet de stratgie de groupe ne peut pas modifier la configuration existante
de ce paramtre particulier pour un utilisateur ou un ordinateur. Si vous activez ou dsactivez un
paramtre de stratgie, cela modifie la configuration des utilisateurs et des ordinateurs auxquels lobjet de
stratgie de groupe est appliqu. Quand vous remettez un paramtre son tat Non configur, vous le
remettez sa valeur par dfaut.
Leffet de la modification dpend du paramtre de stratgie. Par exemple, si vous activez le paramtre de
stratgie Empche laccs aux outils de modifications du Registre, les utilisateurs ne peuvent pas
lancer lditeur du registre Regedit.exe. Si vous dsactivez le paramtre de stratgie, vrifiez que les
utilisateurs peuvent lancer lditeur du registre. Remarquez le double ngatif dans ce paramtre de
stratgie : vous dsactivez une stratgie qui empche une action, vous permettez ainsi cette action.
Certains paramtres de stratgie regroupent plusieurs configurations en une seule stratgie et celles-ci
pourraient requrir des paramtres supplmentaires.
Remarque : Beaucoup de paramtres de stratgie sont complexes, et leur activation ou
dsactivation peut avoir des effets peu vidents. En outre, certains paramtres de stratgie
affectent uniquement certaines versions du systme dexploitation Windows. Veillez examiner le
texte explicatif dun paramtre de stratgie dans le volet dinformations de lditeur de gestion
des stratgies de groupe ou sur longlet Expliquer dans la bote de dialogue Proprits du
paramtre de stratgie. En outre, testez toujours les effets dun paramtre de stratgie et ses
interactions avec dautres paramtres de stratgie avant de dployer une modification de votre
environnement de production.
Avantages de lutilisation de la stratgie de groupe

Les stratgies de groupe sont des outils
dadministration trs puissants. Vous pouvez les
utiliser pour appliquer divers paramtres un
grand nombre dutilisateurs et dordinateurs.
Puisque vous pouvez les appliquer divers
niveaux, allant du local au domaine, vous pouvez
galement concentrer ces paramtres de faon
trs prcise.
5-4
Essentiellement, vous pouvez utiliser les stratgies

de groupe pour configurer des paramtres que
vous ne souhaitez pas que les utilisateurs
configurent. En outre, vous pouvez utiliser des
stratgies de groupe pour standardiser des environnements de bureau sur tous les ordinateurs dans une
unit dorganisation ou dans une entreprise entire, afin de fournir une scurit supplmentaire et
certains paramtres systme avancs, et dautres fins prsentes en dtails dans les sections suivantes.
Appliquer les paramtres de scurit
Dans le systme dexploitation Windows Server 2012, les objets de stratgie de groupe comprennent un
grand nombre de paramtres relatifs la scurit que vous pouvez appliquer aux utilisateurs et aux
ordinateurs. Par exemple, vous pouvez appliquer des paramtres au pare-feu Windows et configurer les
paramtres daudit et autres paramtres de scurit. Vous pouvez galement configurer des ensembles
complets des attributions des droits dutilisateurs.
Grer les paramtres de bureau et des applications
Vous pouvez utiliser une stratgie de groupe pour fournir un environnement cohrent de bureau et des
applications tous les utilisateurs au sein de votre organisation. laide des objets de stratgie de groupe,
vous pouvez configurer chaque paramtre qui affecte lapparence et la convivialit de lenvironnement
utilisateur et configurer galement les paramtres de certaines applications qui prennent en charge les
objets de stratgie de groupe.
Dployer les logiciels

Les stratgies de groupe vous permettent de dployer les logiciels aux utilisateurs et aux ordinateurs.
Vous pouvez utiliser la stratgie de groupe pour dployer tous les logiciels qui sont au format .msi.
En outre, vous pouvez appliquer linstallation de logiciels automatique ou laisser vos utilisateurs dcider
sils souhaitent que les logiciels soient dploys leurs machines.
Remarque : Le dploiement de grands packages avec des objets de stratgie de groupe
peut ne pas tre le moyen le plus efficace pour distribuer une application aux ordinateurs de
votre organisation. Dans de nombreuses circonstances, il peut tre plus efficace de distribuer les
applications dans le cadre de limage dordinateur de bureau.
Grer la redirection de dossiers
5-5
Avec la redirection de dossier, vous pouvez grer et sauvegarder des donnes de manire rapide et facile.
En redirigeant des dossiers, vous assurez galement que les utilisateurs aient accs leurs donnes
indpendamment de lordinateur sur lequel ils se connectent. En outre, vous pouvez centraliser toutes les
donnes dutilisateurs en un seul endroit sur le serveur rseau, tout en offrant une exprience utilisateur
semblable lenregistrement de ces dossiers sur leurs ordinateurs. Par exemple, vous pouvez configurer la
redirection de dossier pour rediriger les dossiers Documents des utilisateurs vers un dossier partag sur un
serveur rseau.
Configurer les paramtres rseau
Lutilisation de la stratgie de groupe vous permet de configurer divers paramtres rseau sur des
ordinateurs client. Par exemple, vous pouvez appliquer des paramtres aux rseaux sans fil pour
permettre aux utilisateurs de se connecter uniquement aux identifiants SSID spcifiques, et avec des
paramtres prdfinis dauthentification et de chiffrement. Vous pouvez galement dployer les stratgies
qui sappliquent aux paramtres de rseau cbl et configurer galement le ct client des services, tels
que la protection daccs rseau (NAP).
Objets de stratgie de groupe

Les paramtres de stratgie sont dfinis et existent
au sein dun objet de stratgie de groupe. Un
objet de stratgie de groupe est un objet qui
contient un ou plusieurs paramtres de stratgie
qui sappliquent un ou plusieurs paramtres de
configuration pour un utilisateur ou un ordinateur.
Remarque : Les objets de stratgie de
groupe peuvent tre grs dans AD DS laide
de la console Gestion des stratgies de groupe
(GPMC).
Les objets de stratgie de groupe sont affichs dans un conteneur nomm Objets de stratgie de
groupe .
Pour crer un nouvel objet de stratgie de groupe, cliquez avec le bouton droit sur le conteneur Objets
de stratgie de groupe, puis cliquez sur Nouveau.
Pour modifier les paramtres de configuration dans un objet de stratgie de groupe, cliquez avec le
bouton droit sur lobjet de stratgie de groupe, puis cliquez sur Modifier. Le composant logiciel
enfichable diteur de gestion des stratgies de groupe souvre.
5-6
Lditeur de gestion des stratgies de groupe affiche les milliers de paramtres de stratgie disponibles
dans un objet de stratgie de groupe selon une hirarchie organise qui commence par la division entre
les paramtres de lordinateur et les paramtres utilisateurs : le nud Configuration ordinateur et le
nud Configuration utilisateur.
Les deux niveaux suivants de la hirarchie sont des nuds appels Stratgies et Prfrences. Vous
apprendrez la diffrence entre ces deux nuds plus tard dans ce module. En descendant le long de la
hirarchie, vous pouvez voir que lditeur de gestion des stratgies de groupe affiche les dossiers, qui sont
galement appels des nuds ou des groupes de paramtre de stratgie. Dans les dossiers, il y a les
paramtres de stratgie eux-mmes.
Remarque : Lobjet de stratgie de groupe doit tre appliqu un domaine, un site, ou
une unit dorganisation dans la hirarchie AD DS pour les paramtres au sein de lobjet pour
entrer en vigueur.
tendue des objets de stratgie de groupe

La configuration est dfinie par les paramtres de
stratgie dans les objets de stratgie de groupe.
Cependant, les modifications de configuration
dans un objet de stratgie de groupe naffectent
pas les ordinateurs ou les utilisateurs dans votre
organisation jusqu ce que vous spcifiiez les
ordinateurs ou les utilisateurs auxquels lobjet de
stratgie de groupe sapplique. Ce phnomne est
appel tendue de lobjet de stratgie de groupe.
Ltendue dun objet de stratgie de groupe
dsigne lensemble des utilisateurs et ordinateurs
qui appliqueront les paramtres dans lobjet de
stratgie de groupe.
Vous pouvez utiliser plusieurs mthodes pour grer ltendue des objets de stratgie de groupe.
La premire est la liaison de lobjet de stratgie de groupe. Vous pouvez lier des objets de stratgie de
groupe aux sites, aux domaines et aux units dorganisation dans AD DS. Le site, le domaine ou lunit
dorganisation devient alors ltendue maximale de lobjet de stratgie de groupe. Tous les ordinateurs et
utilisateurs au sein du site, du domaine ou de lunit dorganisation, y compris ceux au sein des units
dorganisation enfants, seront affects par les configurations que les paramtres de stratgie dans lobjet
de stratgie de groupe spcifient.
Remarque : Vous pouvez lier un objet de stratgie de groupe plusieurs domaines, units
dorganisation ou sites. La liaison des objets de stratgie de groupe plusieurs sites peut prsenter
des problmes de performances quand la stratgie est applique, et vous devez viter de lier un
objet de stratgie de groupe plusieurs sites. Cest parce que dans un rseau multisite, les objets de
stratgie de groupe sont enregistrs dans les contrleurs de domaine du domaine racine de fort.
La consquence de cela est que les ordinateurs dans dautres domaines peuvent devoir parcourir
une liaison lente de rseau tendu (WAN) pour obtenir les objets de stratgie de groupe.
5-7
Vous pouvez rtrcir davantage ltendue de lobjet de stratgie de groupe avec lun des deux types de
filtres. Les filtres de scurit spcifient les groupes de scurit qui tombent au sein de ltendue de lobjet
de stratgie de groupe, mais auxquels lobjet de stratgie de groupe devrait ou ne devrait pas sappliquer
explicitement. Les filtres WMI spcifient une tendue laide des caractristiques dun systme, telles que
la version du systme dexploitation ou lespace disque disponible. Utilisez les filtres de scurit et les
filtres WMI pour rtrcir ou spcifier ltendue dans ltendue initiale que la liaison de lobjet de stratgie
de groupe a cre.
Remarque : Windows Server 2008 comprend un nouveau composant de stratgie de
groupe : Les prfrences de stratgie de groupe. Les paramtres qui sont configurs par des
prfrences de stratgie de groupe dans un objet de stratgie de groupe peuvent tre filtrs ou
cibls selon plusieurs critres. Les prfrences cibles vous permettent de raffiner davantage
ltendue des prfrences dans un objet de stratgie de groupe unique.
Client de stratgie de groupe et extensions ct client

Application de la stratgie de groupe
Il est important de comprendre comment les
stratgies de groupe sappliquent aux ordinateurs
client. Le plan ci-dessous dtaille le processus :
1.
Quand lactualisation de la stratgie de

groupe commence, un service qui sexcute
sur tous les ordinateurs Windows, appel le
client de stratgie de groupe dans Windows
Vista, Windows 7, Windows 8, Windows
Server 2008, Windows Server 2008 R2, et
Windows Server 2012, dtermine les GPO qui
sappliquent lordinateur ou lutilisateur.
2.
Ce service tlcharge tous les objets de stratgie de groupe qui ne sont pas dj mis en cache.
3.
Les extensions ct client (CSE) interprtent les paramtres dans un objet de stratgie de groupe et
effectuent les modifications appropries lordinateur local ou lutilisateur qui a actuellement
ouvert une session. Il y a des extensions CSE pour chaque catgorie majeure de paramtre de
stratgie. Par exemple, il y a une extension CSE de scurit qui applique des modifications de scurit,
une extension CSE qui excute les scripts de dmarrage et douverture de session, une extension CSE
qui installe les logiciels, et une extension CSE qui effectue des modifications aux cls et aux valeurs
de Registre. Chaque version de Windows a ajout des extensions CSE pour tendre ltendue
fonctionnelle de la stratgie de groupe, et il y a plusieurs dizaines dextensions CSE dans Windows.
Lun des concepts les plus importants dont il faut se souvenir au sujet de la stratgie de groupe est
quelle est trs pilote par le client. Le client de stratgie de groupe extrait les objets de stratgie de
groupe du domaine, dclenchant ainsi les extensions CSE qui doivent sappliquer les paramtres
localement. La stratgie de groupe nest pas une technologie Push.
En fait, vous pouvez configurer le comportement des extensions CSE laide de la stratgie de groupe.
La plupart des extensions CSE appliqueront des paramtres dans un objet de stratgie de groupe
uniquement si cet objet de stratgie de groupe a chang. Ce comportement amliore le traitement de
la stratgie globale, en liminant les applications redondantes des mmes paramtres. La plupart des
stratgies sont appliques de telle manire que les utilisateurs standards ne puissent pas modifier le
paramtre sur leur ordinateur ; ils seront toujours sujets la configuration applique par la stratgie de
groupe. Cependant, les utilisateurs standard peuvent modifier certains paramtres, et beaucoup deux
peuvent tre modifis si un utilisateur est un administrateur sur ce systme. Si les utilisateurs dans votre
environnement sont des administrateurs sur leurs ordinateurs, vous devez envisager de configurer les
extensions CSE pour rappliquer les paramtres de stratgie, mme si lobjet de stratgie de groupe na
pas chang. De cette faon, si un utilisateur administrateur modifie une configuration de sorte quelle
ne soit plus conforme avec la stratgie, cette configuration sera rinitialise son tat conforme la
prochaine actualisation de la stratgie de groupe.
Remarque : Vous pouvez configurer des extensions CSE pour rappliquer des paramtres
de stratgie lors de lactualisation en tche de fond suivante, mme si lobjet de stratgie de
groupe na pas chang. Vous pouvez faire cette opration en configurant un objet de stratgie
de groupe dont ltendue est applique aux ordinateurs, puis en dfinissant les paramtres dans
le nud Configuration de lordinateur\Stratgies\Modles dadministration\Systme\Stratgie
de groupe. Pour chaque extension CSE que vous souhaitez configurer, ouvrez son paramtre de
stratgie du traitement de la stratgie, tel que le traitement de la stratgie du Registre pour
lextension CSE du Registre. Cliquez sur Activ, et activez la case cocher Traiter mme si les
objets de stratgie de groupe nont pas chang.
5-8
Lextension de scurit CSE gre une exception importante aux paramtres de traitement de la stratgie
par dfaut. Les paramtres de scurit sont rappliqus toutes les 16 heures, mme si un objet de
stratgie de groupe na pas chang.
Remarque : Activez le paramtre de stratgie Toujours attendre le rseau lors du dmarrage
de lordinateur et de louverture de session pour tous les clients Windows. Sans ce paramtre, les
clients Windows XP, Windows Vista, Windows 7 et Windows 8 excutent, par dfaut, uniquement des
actualisations en tche de fond. Cela signifie quun client peut dmarrer, et un utilisateur pourrait ensuite
se connecter sans recevoir les dernires stratgies du domaine. Le paramtre est situ dans Configuration
de lordinateur\Stratgies\Modles dadministration\Systme\Ouverture de session. Veillez lire le texte
explicatif du paramtre de stratgie.
Actualisation de la stratgie de groupe
Les paramtres de stratgie dans le nud Configuration de lordinateur sont appliqus au dmarrage
du systme, puis toutes les 90 120 minutes. Les paramtres de stratgie de configuration utilisateur sont
appliqus louverture de session, puis toutes les 90 120 minutes. Lapplication des stratgies est
appele actualisation de la stratgie de groupe .
Remarque : Vous pouvez galement forcer lactualisation dune stratgie laide de la
commande GPUpdate.
5-9
Dmonstration : Procdure de cration dun objet de stratgie de groupe

et configurer ses paramtres
Les paramtres de stratgie de groupe, galement appels stratgies , sont contenus dans un objet
de stratgie de groupe, et vous pouvez les afficher et les modifier laide de lditeur de gestion des
stratgies de groupe. Cette dmonstration traite plus en dtail les catgories de paramtres disponibles
dans un objet de stratgie de groupe.
Configuration ordinateur et configuration utilisateur
Il y a deux grandes subdivisions des paramtres de la stratgie : les paramtre de lordinateur, qui sont
contenus dans le nud Configuration ordinateur, et les paramtres utilisateurs, qui sont contenus dans
le nud Configuration utilisateur :
le nud Configuration ordinateur contient les paramtres qui sont appliqus aux ordinateurs,
indpendamment de celui qui y ouvre une session. Les paramtres de lordinateur sont appliqus
lorsque le systme dexploitation dmarre, pendant les actualisations en tche de fond, et ensuite
toutes les 90 120 minutes.
Le nud Configuration utilisateur contient les paramtres qui sont appliqus quand un utilisateur
ouvre une session dans lordinateur, pendant les actualisations en tche de fond, et ensuite toutes les
90 120 minutes.
Dans les nuds Configuration ordinateur et Configuration utilisateur, il y a les nuds Stratgies et
Prfrences. Les stratgies sont des paramtres qui sont configurs et se comportent de manire similaire
aux paramtres de stratgie dans les systmes dexploitation Windows plus anciens. Les prfrences ont
t prsentes dans Windows Server 2008.
Dans les nuds Stratgies de la configuration ordinateur et de la configuration utilisateur, il y a une
hirarchie des dossiers qui contiennent des paramtres de stratgie. Puisquil y a des milliers de
paramtres, leur examen individuel dpasse le cadre de ce cours. Cependant, il est intressant de dfinir
les grandes catgories des paramtres dans les dossiers.
Nud des paramtres du logiciel
Le nud Paramtres du logiciel est le premier nud. Il contient uniquement lextension dinstallation
du logiciel, qui vous aide spcifier comment les applications sont installes et gres au sein de votre
organisation.
Nud des paramtres de Windows

Dans chacun des deux nuds Configuration ordinateur et Configuration utilisateur, le nud
Stratgies contient un nud Paramtres Windows, qui comprend les nuds Scripts, Paramtres
de scurit, et QoS base sur la stratgie.
Remarque : Il contient galement le dossier de stratgie de rsolution de noms, qui
contient des paramtres pour configurer Windows 8 DirectAccess, lequel est prsent dans un
module ultrieur.
Nud de scripts
5-10 Implmentation dune infrastructure de stratgie de groupe
Lextension de scripts vous permet de spcifier deux types de scripts : dmarrage/arrt (dans le nud
Configuration ordinateur) et ouverture/fermeture de session (dans le nud Configuration utilisateur).
Les scripts dmarrage/arrt fonctionnent au dmarrage ou larrt de lordinateur. Les scripts
ouverture/fermeture de session fonctionnent quand un utilisateur ouvre ou ferme une session. Quand
vous attribuez plusieurs scripts ouverture/fermeture de session ou dmarrage/arrt un utilisateur ou
un ordinateur, lextension CSE de scripts excute les scripts de haut en bas. Vous pouvez dterminer
lordre dexcution de plusieurs scripts dans la bote de dialogue Proprits. Lorsquun ordinateur est
arrt, lextension CSE traite dabord les scripts de fermeture de session, ensuite les scripts darrt. Par
dfaut, le dlai de traitement des scripts est de 10 minutes. Si les scripts de fermeture de session et darrt
ont besoin de plus de 10 minutes pour tre traits, vous devez rgler la valeur du dlai avec un paramtre
de stratgie. Vous pouvez vous servir de nimporte quel langage de script ActiveX pour crire les scripts.
Microsoft Visual Basic Scripting Edition (VBScript), Microsoft JScript, Perl et les fichiers de commandes
par lot Microsoft MS-DOS (.bat et .cmd) sont certaines des possibilits. Les scripts douverture de session
sur un rpertoire rseau partag dans une autre fort sont pris en charge pour louverture de session
rseau dans les forts. Windows 7 et Windows 8 prennent galement tous deux en charge les scripts
Windows PowerShell.
Nud des paramtres de scurit

Le nud Paramtres de scurit permet un administrateur de scurit de configurer la scurit
laide des objets de stratgie de groupe. Cela peut tre fait par la suite, ou plutt, laide dun modle
de scurit pour dfinir la scurit des systmes.
Nud de qualit de service (QoS) base sur la stratgie
Ce nud de qualit de service (QoS), appel nud Qualit de service (QoS) base sur la stratgie,
dfinit les stratgies qui grent le trafic rseau. Par exemple, vous pouvez souhaiter vrifier que les
utilisateurs du service financier ont la priorit pour excuter une application rseau critique au cours de la
priode de dclaration financire de fin danne. Le nud Qualit de service (QoS) base sur la
stratgie vous permet de le faire.
Dans le nud Configuration utilisateur uniquement, le dossier des paramtres Windows contient les
nuds supplmentaires Services dinstallation distance, Redirection de dossiers et Maintenance
Internet Explorer. Les stratgies de services dinstallation distance (RIS) contrlent le comportement
dune installation du systme dexploitation distante. La redirection de dossiers vous permet de rediriger
les donnes dutilisateur et les dossiers de paramtres tels que AppData, Bureau, Documents, Images,
Musique, et Favoris de leur emplacement de profil utilisateur par dfaut un autre emplacement sur le
rseau, o ils peuvent tre grs de manire centralise. La maintenance Internet Explorer vous permet
dadministrer et de personnaliser Windows Internet Explorer.
Nud de modles dadministration

Dans les nuds Configuration ordinateur et Configuration utilisateur, le nud Modles
dadministration contient les paramtres de stratgie de groupe bass sur le registre. Il y a des milliers
de tels paramtres disponibles pour configurer lenvironnement utilisateur et ordinateur. En tant
quadministrateur, vous pouvez passer normment de temps manipuler ces paramtres. Pour vous
aider, une description de chaque paramtre de stratgie est disponible dans deux emplacements :
Dans longlet Expliquer dans la bote de dialogue Proprits du paramtre. En outre, longlet
Paramtres de la bote de dialogue Proprits de chaque paramtre rpertorie galement le
systme dexploitation ou le logiciel requis pour le paramtre.
Dans longlet tendu de lditeur de gestion des stratgies de groupe. Longlet tendu apparat sur
la partie droite infrieure du volet dinformations, et donne une description de chaque paramtre
slectionn dans une colonne entre larborescence de la console et le volet de paramtres. Le systme
dexploitation ou le logiciel requis pour chaque paramtre est galement rpertori.
Demonstration
5-11
1.
ouvrir la console Gestion des stratgies de groupe ;
2.
crer un objet de stratgie de groupe appel Bureau dans le conteneur Stratgie de groupe ;
3.
dans la configuration ordinateur, empcher le dernier nom de connexion de safficher, puis empcher
Windows Installer de sexcuter ;
4.
dans la configuration utilisateur, supprimer le lien Rechercher du menu Accueil, puis masquer longlet
de paramtres daffichage.
Utiliser la console GPMC pour crer un nouvel objet de stratgie de groupe
1.
Connectez-vous LON-DC1 en tant quadministrateur.
2.
Ouvrez la console Gestion des stratgies de groupe.
3.
Crez un nouvel objet de stratgie de groupe appel Bureau .
Configurer les paramtres de stratgie de groupe

1.
Ouvrez la nouvelle stratgie Bureau pour sa modification.
2.
Dans la configuration ordinateur, empchez le dernier nom de connexion de safficher, puis

empchez Windows Installer de sexcuter.
3.
Dans la configuration utilisateur, supprimez le lien Rechercher du menu Accueil, puis masquez
longlet de paramtres daffichage.
4.
Fermez toutes les fentres.
Leon 2
Implmentation et administration des objets de stratgie

de groupe
Dans cette leon, vous examinerez des objets de stratgie de groupe plus en dtails, et apprendrez
comment crer, lier, modifier, grer et administrer de tels objets et leurs paramtres.
Dcrire les objets de stratgie de groupe bass sur un domaine.
Expliquer comment crer, lier, et modifier des objets de stratgie de groupe.
Expliquer le stockage dobjet de stratgie de groupe.
dcrire les objets de stratgie de groupe Starter.
Excuter des tches courantes de gestion des objets de stratgie de groupe.
Expliquer comment dlguer ladministration des objets de stratgie de groupe.
Dcrire comment utiliser Windows PowerShell pour grer des objets de stratgie de groupe.
Objets de stratgie de groupe bass sur un domaine.

Les objets de stratgie de groupe bass sur un
domaine sont crs dans AD DS et enregistrs
sur des contrleurs de domaine. Vous pouvez les
utiliser pour grer la configuration de manire
centralise pour les utilisateurs et les ordinateurs
du domaine. Le reste de ce cours se rapporte
aux objets de stratgie de groupe bass sur un
domaine plutt quaux objets de stratgie de
groupe locaux, sauf indication contraire.
Quand vous installez AD DS, deux objets de
stratgie de groupe par dfaut sont crs :
Stratgie de contrleurs de domaine par dfaut et
stratgie de domaine par dfaut.
Stratgie de domaine par dfaut
Cet objet de stratgie de groupe est li au domaine et na ni groupe de scurit, ni filtre WMI. Par
consquent, il affecte tous les utilisateurs et ordinateurs du domaine, y compris les ordinateurs qui sont
des contrleurs de domaine. Cet objet de stratgie de groupe contient des paramtres de stratgie qui
spcifient les stratgies de mot de passe, de verrouillage de compte et de protocole Kerberos version 5.
Vous ne devez pas ajouter de paramtres de stratgie indpendants cet objet de stratgie de groupe.
Si vous devez configurer dautres paramtres appliquer largement votre domaine, crez des objets de
stratgie de groupe supplmentaires qui sont lis au domaine.
Stratgie des contrleurs de domaine par dfaut
5-13
Cet objet de stratgie de groupe est li lunit dorganisation des contrleurs de domaine. Puisque les
comptes dordinateur des contrleurs de domaine sont maintenus exclusivement dans lunit
dorganisation des contrleurs de domaine, et que dautres comptes dordinateur doivent tre maintenus
dans dautres units dorganisation, cet objet de stratgie de groupe affecte uniquement les contrleurs
de domaine. Vous devez modifier lobjet de stratgie de groupe des contrleurs de domaine par dfaut
pour implmenter vos stratgies daudit et pour attribuer les droits dutilisateur requis sur les contrleurs
de domaine.
Remarque : Les ordinateurs Windows ont galement des objets de stratgie
de groupe locaux, qui sont utiliss quand les ordinateurs ne sont pas connects aux
environnements de domaine. Windows Vista, Windows 7, Windows 8, Windows Server 2008,
Windows Server 2008 R2, et Windows Server 2012 prennent en charge la notion de plusieurs
objets de stratgie de groupe locaux. Lobjet de stratgie de groupe dordinateur local est
identique celui des versions Windows prcdentes. Dans le nud Configuration ordinateur,
vous pouvez configurer tous les paramtres relatifs lordinateur. Dans le nud Configuration
utilisateur, vous pouvez configurer les paramtres que vous souhaitez appliquer tous les
utilisateurs sur lordinateur. Les paramtres utilisateur dans lobjet de stratgie de groupe de
lordinateur local peuvent tre modifis par les paramtres utilisateurs dans deux nouveaux
objets de stratgie de groupe locaux : administrateurs et non-administrateurs. Ces deux objets de
stratgie de groupe appliquent des paramtres utilisateurs aux utilisateurs connects selon quils
sont membres du groupe dadministrateurs locaux, auquel cas ils utilisent lobjet de stratgie de
groupe administrateurs, ou pas membres du groupe dadministrateurs et utilisent, dans ce cas,
lobjet de stratgie de groupe non administrateurs. Vous pouvez affiner davantage les
paramtres utilisateur avec un objet de stratgie de groupe local qui sapplique un compte
utilisateur spcifique. Les objets de stratgie de groupe locaux spcifiques lutilisateur sont
associs aux comptes dutilisateurs locaux et non ceux du domaine.
Il est important de comprendre que le paramtre de lobjet de stratgie de groupe bas sur un
domaine est combin avec ceux appliqus en utilisant les objets de stratgie de groupe locaux,
mais comme les objets de stratgie de groupe bass sur un domaine sappliquent en dernier,
ils ont la priorit sur les paramtres de lobjet de stratgie de groupe local.
Stockage de lobjet de stratgie de groupe

Les paramtres de stratgie de groupe sont
prsents sous forme dobjets de stratgie de
groupe dans les outils dinterface utilisateur
AD DS, mais un objet de stratgie de groupe
reprsente en ralit deux composants : un
conteneur de stratgie de groupe et un modle
de stratgie de groupe.
Le conteneur de stratgie de groupe est un objet AD DS enregistr dans le conteneur dobjets de

stratgie de groupe au sein du contexte dattribution de noms de domaine du rpertoire. Comme tous les
objets AD DS, chaque conteneur de stratgie de groupe comprend un attribut didentificateur global
universel (GUID) qui identifie de faon distincte lobjet dans AD DS. Le conteneur de stratgie de groupe
dfinit des attributs de base de lobjet de stratgie de groupe, mais il ne contient aucun de ces
paramtres. Les paramtres sont contenus dans le modle de stratgie de groupe, une collection de
fichiers enregistrs dans le volume systme (SYSVOL) de chaque contrleur de domaine dans le chemin
daccs %SystemRoot%\SYSVOL\Domaine\Stratgies\GPOGUID, o GPOGUID est lidentificateur
GUID du conteneur de stratgie de groupe. Quand vous apportez des modifications aux paramtres dun
objet de stratgie de groupe, celles-ci sont enregistres dans le modle de stratgie de groupe du serveur
o lobjet de stratgie de groupe a t ouvert.
Par dfaut, lors de lactualisation de la stratgie de groupe, les extensions CSE appliquent des paramtres
dans un objet de stratgie de groupe uniquement si celui-ci a t mis jour.
Le client de stratgie de groupe peut identifier un objet de stratgie de groupe mis jour par son numro
de version. Chaque objet de stratgie de groupe a un numro de version qui est incrment chaque fois
quune modification est faite. Le numro de version est enregistr comme attribut de conteneur de
stratgie de groupe et dans un fichier texte, Group Policy template.ini, dans le dossier Modle de stratgie
de groupe. Le client de stratgie de groupe connat le numro de version de chaque objet de stratgie de
groupe quil a prcdemment appliqu. Si, pendant lactualisation de la stratgie de groupe, le client de
stratgie de groupe dcouvre que le numro de version du conteneur de la stratgie de groupe a t
modifi, les extensions CSE seront informes que lobjet de la stratgie de groupe est mis jour.
Rplication GPO
Le conteneur de la stratgie de groupe et le modle de la stratgie de groupe sont tous les deux rpliqus
entre tous les contrleurs de domaine dans AD DS. Cependant, diffrents mcanismes de rplication sont
utiliss pour ces deux lments.
Le conteneur de la stratgie de groupe dans AD DS est rpliqu par lagent de duplication dannuaire
(DRA). Lagent de rcupration de donnes utilise une topologie gnre par le vrificateur de cohrence
des connaissances (KCC), que vous pouvez dfinir ou raffiner manuellement. Le rsultat est que le
conteneur de la stratgie de groupe est rpliqu en quelconques secondes tous les contrleurs de
domaine dans un site et est rpliqu entre les sites selon votre configuration de rplication intersite.
Le modle de la stratgie de groupe dans le volume SYSVOL est rpliqu laide de lune des
deux technologies suivantes : Le service de rplication de fichiers (FRS) est utilis pour rpliquer
le volume SYSVOL dans les domaines excutant Windows Server 2008, Windows Server 2008 R2,
Windows Server 2003, et Windows 2000. Si tous les contrleurs de domaine excutent
Windows Server 2008 ou une version ultrieure, vous pouvez configurer la rplication du volume SYSVOL
laide de la rplication DFS, qui est un mcanisme beaucoup plus efficace et plus fiable.
Puisque le conteneur de la stratgie de groupe et le modle de la stratgie de groupe sont rpliqus
sparment, il est possible quils deviennent hors de synchronisation pendant une courte priode.
En gnral, quand cela se produit, le conteneur de la stratgie de groupe rpliquera dabord sur un
contrleur de domaine. Les systmes qui ont obtenu leur liste trie dobjets de stratgie de groupe
partir de ce contrleur de domaine identifieront le nouveau conteneur de stratgie de groupe, tenteront
de tlcharger le modle de stratgie de groupe et remarqueront que les numros de version ne sont
pas identiques. Une erreur de traitement de stratgie sera enregistre dans les journaux des vnements.
Si linverse se produit, et lobjet de stratgie de groupe rplique sur un contrleur de domaine avant le
conteneur de stratgie de groupe, les clients obtenant leur liste trie dobjets de stratgie de groupe de
ce contrleur de domaine ne seront pas aviss du nouvel objet de stratgie de groupe jusqu ce que le
conteneur de stratgie de groupe ait t rpliqu.
Objets de stratgie de groupe Starter
5-15
Un objet de stratgie de groupe Starter est utilis

comme modle, partir duquel dautres objets de
stratgie de groupe sont crs dans la console
GPMC. Les objets de stratgie de groupe Starter
ne peuvent contenir que des paramtres de
modle dadministration. Vous pouvez utiliser un
objet de stratgie de groupe Starter pour fournir
un point de dpart pour de nouveaux objets de
stratgie de groupe crs dans votre domaine.
Lobjet de stratgie de groupe Starter peut dj
contenir des paramtres spcifiques qui sont des
bonnes pratiques recommandes pour votre
environnement. Les objets de stratgie de groupe Starter peuvent tre exports vers et imports depuis
des fichiers .cab pour rendre la distribution vers dautres environnements simple et efficace.
La console GPMC enregistre les objets de stratgie de groupe Starter dans un dossier nomm
StarterGPOs situ dans le volume SYSVOL.
Les objets de stratgie de groupe Starter prconfigurs de Microsoft sont disponibles pour des systmes
dexploitation client Windows. Ces objets de stratgie de groupe Starter contiennent les paramtres
du modle dadministration, qui refltent les bonnes pratiques Microsoft recommandes pour la
configuration de lenvironnement client.
Tches courantes de gestion des objets de stratgie de groupe

Comme les donnes critiques et les ressources
AD DS connexes, vous devez sauvegarder les
objets de stratgie de groupe pour protger
lintgrit dAD DS et des objets de stratgie de
groupe. La console GPMC offre non seulement
les options de base de sauvegarde et de
restauration, mais galement le contrle
supplmentaire des objets de stratgie de groupe
des fins administratives. Les options de gestion
des objets de stratgie de groupe comprennent
les suivantes :
Sauvegarde des objets de stratgie de groupe
Vous pouvez sauvegarder des objets de stratgie de groupe individuellement ou collectivement avec la
console GPMC. Vous devez indiquer uniquement un emplacement de sauvegarde, qui peut tre nimporte
quel dossier local ou partag valide. Vous devez avoir lautorisation de lecture de lobjet de stratgie de
groupe pour le sauvegarder. Chaque fois que vous effectuez une sauvegarde, une nouvelle version de
sauvegarde de lobjet de stratgie de groupe est cre, ce qui fournit un enregistrement historique.
Restauration des objets de stratgie de groupe sauvegards
Vous pouvez restaurer nimporte quelle version dun objet de stratgie de groupe. Si lune devient
corrompue ou si vous la supprimez, vous pouvez alors restaurer lune des versions historiques de cet objet
de stratgie de groupe. Linterface de restauration vous offre la capacit dafficher les paramtres
enregistrs dans la version sauvegarde avant de la restaurer.
Importation de paramtres des objets de stratgie de groupe partir dun objet

de stratgie de groupe sauvegard
Vous pouvez importer les paramtres de stratgie dun objet de stratgie de groupe dans un autre.
Limportation dun objet de stratgie de groupe vous permet de transfrer des paramtres partir dun
objet de stratgie de groupe sauvegard vers un objet de stratgie de groupe existant. Limportation
dun objet de stratgie de groupe transfre uniquement les paramtres de lobjet de stratgie de groupe.
Le processus dimportation nimporte pas les liaisons de lobjet de stratgie de groupe. Les entits de
scurit dfinies dans la source peuvent devoir tre migres la cible.
Remarque : Il nest pas possible de fusionner les paramtres imports avec les paramtres
actuels de lobjet de stratgie de groupe cible. Les paramtres imports remplaceront tous les
paramtres existants.
Copie des objets de stratgie de groupe
Vous pouvez copier les objets de stratgie de groupe laide de la console GPMC, dans le mme domaine
et entre les domaines. Une opration de copie copie un objet de stratgie de groupe dynamique existant
dans le domaine de destination souhait. Un nouvel objet de stratgie de groupe est toujours cr
pendant ce processus. Le nouvel objet de stratgie de groupe est nomm copie dOldGPOName . Par
exemple, si vous avez copi un objet de stratgie de groupe nomm Bureau , la nouvelle version sera
appele Copie de Bureau . Une fois le fichier copi et coll dans le conteneur des objets de stratgie de
groupe, vous pouvez renommer la stratgie. Le domaine de destination peut tre nimporte quel domaine
approuv o vous avez les droits de crer de nouveaux objets de stratgie de groupe. Lors de la copie
entre domaines, les entits de scurit dfinies dans la source peuvent devoir tre migres la cible.
Remarque : Il nest pas possible de copier les paramtres partir de plusieurs objets de
stratgie de groupe dans un seul objet de stratgie de groupe.
Tables de migration
Lors de limportant des objets de stratgie de groupe ou leur copie entre les domaines, vous pouvez
utiliser des tables de migration pour modifier les rfrences dans lobjet de stratgie de groupe qui
doivent tre rgles pour le nouvel emplacement. Par exemple, vous pouvez devoir remplacer le chemin
daccs de la convention daffectation des noms (UNC) pour la redirection des dossiers par un chemin
UNC adapt au nouveau groupe dutilisateurs auquel lobjet de stratgie de groupe sera appliqu. Vous
pouvez crer des tables de migration avant ce processus ou les crer pendant lopration dimportation
ou de copie entre domaines.
Dlgation de ladministration des stratgies de groupe

La dlgation des tches lies aux objets de
stratgie de groupe vous permet de distribuer
la charge de travail administrative travers
lentreprise. Vous pouvez charger un groupe en
crant et en modifiant des objets de stratgie de
groupe, alors quun autre groupe assure les
fonctions de rapport et danalyse. Un troisime
groupe pourrait tre charg de la cration des
filtres WMI.
Vous pouvez dlguer les tches de stratgie de
groupe suivantes indpendamment :
5-17
Cration dobjets de stratgie de groupe
Modification dobjets de stratgie de groupe
Gestion des liaisons de stratgies de groupe pour un site, un domaine ou une unit dorganisation
Excution des analyses de modlisation de stratgie de groupe dans un domaine ou une unit
dorganisation donn
Lecture des donnes des rsultats de stratgie de groupe pour des objets dans un domaine
ou une unit dorganisation donn
Cration de filtres WMI dans un domaine
Le groupe Propritaires crateurs de la stratgie de groupe laisse ses membres crer de nouveaux objets
de stratgie de groupe, et modifie ou supprime les objets de stratgie de groupe quils ont crs.
Autorisations de stratgie de groupe par dfaut

Par dfaut, lutilisateur et les groupes suivants ont le contrle total de la gestion dobjet de stratgie
de groupe :
Admins du domaine
Administrateurs de lentreprise
Propritaire crateur
Systme local
Le groupe Utilisateur authentifi dispose des autorisations Appliquer la stratgie de groupe et Lire.
Cration dobjets de stratgie de groupe
Par dfaut, seuls les administrateurs du domaine, les administrateurs de lentreprise et les propritaires
crateurs de la stratgie de groupe peuvent crer de nouveaux objets de stratgie de groupe. Vous
pouvez utiliser deux mthodes pour accorder ce droit un groupe ou un utilisateur :
Ajouter lutilisateur ou le groupe au groupe de propritaires crateurs de la stratgie de groupe.
Accorder explicitement au groupe ou lutilisateur lautorisation de crer des objets de stratgie de

groupe laide de la console GPMC.
Modification dobjets de stratgie de groupe
Pour modifier un objet de stratgie de groupe, lutilisateur doit y avoir laccs aussi bien en lecture quen
criture. Vous pouvez accorder cette autorisation laide de la console GPMC.
Gestion des liaisons des objets de stratgie de groupe
La capacit de lier des objets de stratgie de groupe un conteneur est une autorisation qui est
spcifique ce conteneur. Dans la console GPMC, vous pouvez grer cette autorisation laide de longlet
Dlgation du conteneur. Vous pouvez galement la dlguer via lAssistant Dlgation de contrle dans
les utilisateurs et les ordinateurs Active Directory.
Modlisation et rsultats de stratgie de groupe

Vous pouvez dlguer la capacit dutiliser les outils de cration de rapports de la mme faon
via la console GPMC ou lAssistant Dlgation de contrle dans les utilisateurs et les ordinateurs
Active Directory.
Cration des filtres WMI

Vous pouvez dlguer la capacit de crer et de grer les filtres WMI de la mme faon via la console
GPMC ou lAssistant Dlgation de contrle dans les utilisateurs et les ordinateurs Active Directory.
Gestion dobjets de stratgie de groupe avec Windows PowerShell

En plus dutiliser la console Gestion des stratgies
de groupe et lditeur de gestion des stratgies
de groupe, vous pouvez galement excuter des
tches dadministration courantes des objets de
stratgie de groupe laide de Windows
PowerShell.
Le tableau suivant prsente certaines des tches
dadministration les plus courantes, qui sont
possibles avec Windows PowerShell.
Nom de lapplet
de commande
Description
New-GPO
Cre un nouvel objet de stratgie de groupe
New-GPLink
Cre un nouvelle liaison de lobjet de stratgie de groupe pour lobjet

de stratgie de groupe spcifi
Backup-GPO
Sauvegarde les objets de stratgie de groupe spcifis
Restore-GPO
Restaure les objets de stratgie de groupe spcifis
Copy-GPO
Copie un objet de stratgie de groupe
(suite)
Nom de lapplet
de commande
Description
5-19
Get-GPO
Obtient les objets de stratgie de groupe spcifis
Import-GPO
Importe les paramtres sauvegards dans un objet de stratgie de groupe

spcifi
Set-GPInheritance
Accorde les autorisations spcifies un utilisateur ou un groupe de

scurit pour les objets de stratgie de groupe spcifis
Par exemple, la commande suivante cre un nouvel objet de stratgie de groupe intitul Ventes :
New-GPO -Name Sales -comment "Voici lobjet de stratgie de groupe Ventes"
Le code suivant importe les paramtres des objets Stratgie de groupe Ventes enregistrs dans le dossier
C:\Sauvegardes dans lobjet de stratgie de groupe NewSales :
import-gpo -BackupGpoName Sales -TargetName NewSales -chemin c:\sauvegardes
Leon 3
tendue de la stratgie de groupe et traitement

Un objet de stratgie de groupe est, par lui-mme, une collection dinstructions de configuration qui
seront traites par les extensions CSE des ordinateurs. Jusqu ce que lobjet de stratgie de groupe soit
dfini en tendue, il napplique aucun utilisateur, ni ordinateur. Ltendue de lobjet de stratgie de
groupe dtermine les extensions CSE dont les ordinateurs recevront et traiteront lobjet de stratgie
de groupe, et seuls les ordinateurs ou les utilisateurs au sein de ltendue dun objet de la stratgie de
groupe appliqueront les paramtres dans cet objet de stratgie de groupe. Dans cette leon, vous
apprendrez grer ltendue dun objet de stratgie de groupe. Les mcanismes suivants sont utiliss
pour dfinir ltendue dun objet de stratgie de groupe :
La liaison de lobjet de stratgie de groupe un site, un domaine ou une unit dorganisation,

et si cette liaison est active ou non
Loption Appliquer dun objet de stratgie de groupe
Loption Bloquer lhritage sur une unit dorganisation
Filtrage du groupe de scurit
Filtrage WMI
Activation ou dsactivation du nud de stratgie
Ciblage des prfrences
Traitement de stratgie par boucle de rappel
Vous devez pouvoir dfinir les utilisateurs ou les ordinateurs auxquels vous envisagez de dployer ces
configurations. En consquence, vous devez matriser lart de dfinir en tendue les objets de stratgie de
groupe. Dans cette leon, vous apprendrez chacun des mcanismes avec lesquels vous pouvez dfinir
ltendue dun objet de stratgie de groupe et, dans ce processus, vous matriserez les concepts de
lapplication, de lhritage et de la priorit de la stratgie de groupe.
Dcrire les liaisons de lobjet de stratgie de groupe.
Expliquer le traitement dobjet de stratgie de groupe.
Dcrire lhritage et la priorit de lobjet de stratgie de groupe.
Utiliser les filtres de scurit pour filtrer ltendue de lobjet de stratgie de groupe.
Expliquer comment utiliser les filtres WMI pour filtrer ltendue de lobjet de stratgie de groupe.
Dcrire comment activer et dsactiver des objets de stratgie de groupe.
Expliquer comment et quand utiliser le traitement par boucle de rappel.
Expliquer les considrations pour les ordinateurs qui sont dconnects ou qui sont connects
par des liaisons lentes.
Expliquer quand les paramtres de stratgie de groupe entrent en vigueur.
Liaisons des objets de stratgie de groupe

Vous pouvez lier un objet de stratgie de groupe
un ou plusieurs sites, domaines ou units
dorganisation AD DS. Une fois que vous avez li
un objet de stratgie de groupe, les utilisateurs
ou les ordinateurs dans ce conteneur sont dans
ltendue de lobjet de stratgie de groupe, y
compris les ordinateurs et les utilisateurs dans les
units dorganisation enfants.
Liez un objet de stratgie de groupe

Pour lier un objet de stratgie de groupe, soit :
Cliquez avec le bouton droit sur le domaine

ou lunit dorganisation dans larborescence de la console GPMC, puis cliquez sur Lier en tant
quobjet de stratgie de groupe existant.
Si vous navez pas encore cr un objet de stratgie de groupe, cliquez sur Crer un objet de
stratgie de groupe dans ce {domaine | unit dorganisation | site} et le lier ici.
Vous pouvez choisir les mmes commandes pour lier un objet de stratgie de groupe un site, mais
par dfaut, vos sites AD DS ne sont pas visibles dans la console GPMC. Pour montrer des sites dans la
console GPMC, cliquez avec le bouton droit sur Sites dans larborescence de la console GPMC, puis
cliquez sur Montrer les sites.
Remarque : Un objet de stratgie de groupe li un site affecte tous les ordinateurs dans
ce site, abstraction faite du domaine auquel les ordinateurs appartiennent, tant que tous ces
ordinateurs appartiennent la mme fort Active Directory. Par consquent, quand vous liez un
objet de stratgie de groupe un site, cet objet de stratgie de groupe peut tre appliqu
plusieurs domaines dans une fort. Les objets de stratgie de groupe lis aux sites sont
enregistrs sur des contrleurs de domaine dans le domaine o vous crez lobjet de stratgie de
groupe. Par consquent, les contrleurs de domaine pour ce domaine doivent tre accessibles
pour que les objets de stratgie de groupe lis aux sites soient appliqus correctement. Si vous
implmentez des stratgies lies aux sites, vous devez examiner lapplication de la stratgie au
moment de la planification de votre infrastructure rseau. Vous pouvez soit placer un contrleur
de domaine du domaine de lobjet de stratgie de groupe dans le site auquel la stratgie est lie,
soit vrifier quune connectivit WAN fournit laccessibilit un contrleur de domaine dans le
domaine de lobjet de stratgie de groupe.
Quand vous liez un objet de stratgie de groupe un conteneur, vous dfinissez ltendue initiale de
lobjet de stratgie de groupe. Slectionnez un objet de stratgie de groupe, puis cliquez sur longlet
tendue pour identifier les conteneurs auxquels lobjet de stratgie de groupe est li. Dans le volet
dinformations de la console GPMC, les liaisons de lobjet de stratgie de groupe sont affichs dans la
premire section de longlet tendue.
Lincidence des liaisons de lobjet de stratgie de groupe est que le client de stratgie de groupe
tlcharge lobjet de stratgie de groupe si les objets de lordinateur ou de lutilisateur tombent dans
ltendue de la liaison. Lobjet de stratgie de groupe ne sera tlcharg que sil est nouveau ou mis
jour. Le client de la stratgie de groupe met lobjet de stratgie de groupe en cache pour rendre
lactualisation de la stratgie plus efficace.
5-21
Lier un objet de stratgie de groupe plusieurs units dorganisation

Vous pouvez lier un objet de stratgie de groupe plus dun site ou dune unit dorganisation. Il est
courant, par exemple, dappliquer la configuration aux ordinateurs dans plusieurs units dorganisation.
Vous pouvez dfinir la configuration dans un objet de stratgie de groupe unique, puis lier cet objet de
stratgie de groupe chaque unit dorganisation. Si vous modifiez par la suite les paramtres dans
lobjet de stratgie de groupe, vos modifications sappliqueront toutes les units dorganisation
auxquelles lobjet de stratgie de groupe est li.
Supprimer ou dsactiver une liaison de lobjet de stratgie de groupe

Une fois que vous avez li un objet de stratgie de groupe, la liaison de lobjet de stratgie de groupe
apparat dans la console GPMC sous le site, le domaine ou lunit dorganisation. Licne de la liaison
de lobjet de stratgie de groupe comporte une petite flche de raccourci. Quand vous cliquez avec le
bouton droit sur la liaison de lobjet de stratgie de groupe, un menu contextuel apparat :
Pour supprimer une liaison de lobjet de stratgie de groupe, cliquez avec le bouton droit sur la
liaison de lobjet de stratgie de groupe dans larborescence de la console GPMC, puis cliquez sur
Supprimer.
La suppression dune liaison de lobjet de stratgie de groupe ne supprime pas lobjet de stratgie de
groupe lui-mme, qui reste dans son conteneur. Cependant, la suppression de la liaison modifie ltendue
de lobjet de stratgie de groupe, de sorte quil ne sapplique plus aux ordinateurs et aux utilisateurs au
sein de lobjet du conteneur li prcdemment.
Vous pouvez galement modifier une liaison de lobjet de stratgie de groupe en la dsactivant :
Pour dsactiver une liaison de lobjet de stratgie de groupe, cliquez avec le bouton droit sur la
liaison de lobjet de stratgie de groupe dans larborescence de la console GPMC, puis dsactivez
loption Liaison active.
La dsactivation de la liaison modifie galement ltendue de lobjet de stratgie de groupe de sorte

quelle ne sapplique plus aux ordinateurs et aux utilisateurs au sein de ce conteneur. Cependant, la liaison
demeure de sorte que vous puissiez lactiver nouveau plus facilement.
Dmonstration : Procdure de liaison des objets de stratgie de groupe

crer deux objets de stratgie de groupe ;
lier le premier objet de stratgie de groupe au domaine ;
lier le deuxime objet de stratgie de groupe lunit dorganisation informatique ;
dsactiver la liaison du premier objet de stratgie de groupe ;
supprimer le deuxime objet de stratgie de groupe ;
activer de nouveau la liaison du premier objet de stratgie de groupe.
Crer et modifier deux objets de stratgie de groupe
1.
ouvrir la console Gestion des stratgies de groupe ;
2.
Crez deux nouveaux objets de stratgie de groupe appels Supprimer la commande Excuter
et Ne pas supprimer la commande Excuter.
3.
Modifiez les paramtres des deux objets de stratgie de groupe.
Liez les objets de stratgie de groupe diffrents emplacements
5-23
1.
Liez lobjet de stratgie de groupe Supprimer la commande Excuter au domaine. Lobjet de stratgie
de groupe Supprimer la commande Excuter est maintenant joint au domaine Adatum.com.
2.
Liez lobjet de stratgie de groupe Ne pas supprimer la commande Excuter lunit dorganisation
informatique. Lobjet de stratgie de groupe Ne pas supprimer la commande Excuter est maintenant
joint lunit dorganisation informatique.
3.
Affichez lhritage de lobjet de stratgie de groupe sur lunit dorganisation informatique. Longlet
Hritage de la stratgie de groupe montre lordre de priorit des objets de stratgie de groupe.
Dsactiver une liaison dobjet de stratgie de groupe

1.
Dsactivez lobjet de stratgie de groupe Supprimer la commande Excuter sur le domaine

Adatum.com.
2.
Actualisez le volet Hritage de stratgie de groupe pour lunit dorganisation informatique, puis
notez les rsultats dans le volet droit. Lobjet de stratgie de groupe Supprimer la commande
Excuter nest plus list.
Supprimer une liaison dobjet de stratgie de groupe

1.
Slectionnez lunit dorganisation relative Informatique, puis supprimez la liaison de lobjet de

stratgie de groupe Ne pas supprimer la commande Excuter. Vrifiez la suppression de lobjet de
stratgie de groupe Ne pas supprimer la commande Excuter et labsence de lobjet de stratgie
de groupe Supprimer la commande Excuter.
2.
Activez lobjet de stratgie de groupe Supprimer la commande Excuter sur le domaine Adatum.com.
Actualisez la fentre Hritage de stratgie de groupe pour lunit dorganisation Informatique, puis
notez les rsultats dans le volet droit.
Ordre de traitement de la stratgie de groupe

Tous les objets de stratgie de groupe qui
sappliquent un utilisateur, un ordinateur ou
tous les deux ne sappliquent pas immdiatement.
Les objets de stratgie de groupe sont appliqus
dans un ordre particulier. Cet ordre signifie que les
paramtres traits en premier peuvent tre
remplacs par les paramtres conflictuels traits
plus tard.
La stratgie de groupe suit lordre de traitement hirarchique suivant :
1.
Stratgies de groupe locales. Chaque ordinateur excutant Windows 2000 ou version ultrieure
a au moins une stratgie de groupe locale. Les stratgies locales sont appliques en premier lieu.
2.
Stratgies de groupe de site. Les stratgies lies aux sites sont traites en second lieu. Sil y a plusieurs
stratgies de site, elles sont traites de faon synchrone dans lordre de prfrence rpertori.
3.
Stratgies de groupe du domaine. Les stratgies lies aux domaines sont traites en troisime lieu.
Sil y a plusieurs stratgies de domaine, elles sont traites de faon synchrone dans lordre de
prfrence rpertori.
4.
Stratgies de groupe de lunit dorganisation. Les stratgies lies aux units dorganisation de
haut niveau sont traites en quatrime lieu. Sil y a plusieurs stratgies dunits dorganisation
de haut niveau, elles sont traites de faon synchrone dans lordre de prfrence rpertori.
5.
Stratgies de groupe dunit dorganisation enfant. Les stratgies lies aux units dorganisation
enfants de haut niveau sont traites en cinquime lieu. Sil y a plusieurs stratgies dunit
dorganisation enfant, elles sont traites de faon synchrone dans lordre de prfrence rpertori.
Quand il y a plusieurs niveaux dunits dorganisation enfants, les stratgies des units dorganisation
de niveau suprieur sont appliques en premier lieu et les stratgies des units dorganisation de
niveau infrieur sont appliques ensuite.
Dans lapplication Stratgie de groupe, la rgle gnrale est que la dernire stratgie applique prvaut.
Par exemple, une stratgie qui restreint laccs au panneau de configuration appliqu au niveau du
domaine pourrait tre inverse par une stratgie applique au niveau de lunit dorganisation pour les
objets contenus dans cette unit dorganisation particulire.
Si vous liez plusieurs objets de stratgie de groupe une unit dorganisation, leur traitement a lieu
dans lordre que ladministrateur spcifie sur longlet Objets de stratgie de groupe lis de lunit
dorganisation dans la console GPMC.
Par dfaut, le traitement est activ pour toutes les liaisons de lobjet de stratgie de groupe. Vous pouvez
dsactiver la liaison de lobjet de stratgie de groupe dun conteneur pour bloquer compltement
lapplication dun objet de stratgie de groupe pour un site, un domaine ou une unit dorganisation
donn. Notez que si lobjet de stratgie de groupe est li dautres conteneurs, ils continueront le
traiter si leurs liaisons sont actives.
Vous pouvez galement dsactiver la configuration utilisateur ou ordinateur dun objet de stratgie de
groupe particulier indpendant de lutilisateur ou de lordinateur. Si une section dune stratgie est
connue comme tant vide, la dsactivation de lautre ct acclre le traitement de la stratgie. Par
exemple, si vous avez une stratgie qui fournit uniquement la configuration du bureau utilisateur, vous
pourriez dsactiver le ct ordinateur de la stratgie.
5-25
Configuration de lhritage et de la priorit de lobjet de stratgie de groupe

Vous pouvez configurer un paramtre de stratgie
dans plus dun objet de stratgie de groupe, ce
qui engendre des conflits des objets de stratgie
de groupe les uns avec les autres. Par exemple,
vous pouvez activer un paramtre de stratgie
dans un objet de stratgie de groupe, le
dsactiver dans un autre objet de stratgie de
groupe et ne pas le configurer dans un troisime
objet de stratgie de groupe. Dans ce cas, la
priorit des objets de stratgie de groupe
dtermine le paramtre de stratgie que le client
applique. Un objet de stratgie de groupe de
priorit suprieure lemporte sur un objet de stratgie de groupe de priorit infrieure. La priorit est
indique sous forme de nombre dans la console GPMC. Plus le nombre est petit, cest--dire plus il est
proche de 1, plus la priorit est leve. Par consquent, un objet de stratgie de groupe ayant une
priorit de 1 lemportera sur les autres objets de stratgie de groupe. Slectionnez le conteneur AD DS
appropri, puis cliquez sur longlet Hritage de stratgie de groupe pour afficher la priorit de chaque
objet de stratgie de groupe.
Quand un paramtre de stratgie est activ ou dsactiv dans un objet de stratgie de groupe ayant
une priorit plus leve, le paramtre configur entre en vigueur. Cependant, souvenez-vous que les
paramtres de stratgie sont dfinis ltat Non configur , par dfaut. Si un paramtre de stratgie
nest pas configur dans un objet de stratgie de groupe ayant une priorit plus leve, le paramtre de
stratgie (activ ou dsactiv) dans un objet de stratgie de groupe ayant une priorit infrieure entrera
en vigueur.
Vous pouvez lier plus dun objet de stratgie de groupe un objet de conteneur AD DS. Lordre des
liaisons des objets de stratgie de groupe dtermine la priorit des objets de stratgie de groupe dans un
tel scnario. Les objets de stratgie de groupe ayant un ordre de liaison suprieur ont la priorit sur les
objets de stratgie de groupe ayant un ordre de liaison infrieur. Quand vous slectionnez une unit
dorganisation dans la console GPMC, longlet Objets de stratgie de groupe lis montre lordre des
liaisons des objets de stratgie de groupe lis cette unit dorganisation.
Le comportement par dfaut de la stratgie de groupe est que les objets de stratgie de groupe lis dans
un conteneur de niveau suprieur sont hrits par les conteneurs de niveau infrieur. Quand un
ordinateur dmarre ou un utilisateur ouvre une session, le client de la stratgie de groupe examine
lemplacement de lobjet de lordinateur ou de lutilisateur dans AD DS, et value les objets de stratgie
de groupe ayant ltendue qui comprend lordinateur ou lutilisateur. Puis, les extensions CSE appliquent
les paramtres de stratgie de ces objets de stratgie de groupe. Les stratgies sont appliques
squentiellement, en commenant par celles qui sont lies au site, suivie de celles lies au domaine, puis
celles lies aux units dorganisation, en partant de lunit dorganisation de niveau suprieur jusqu celle
o existe lobjet utilisateur ou ordinateur. Cest une application superpose des paramtres ; ainsi un objet
de stratgie de groupe appliqu plus tard dans le processus, parce quil a une priorit suprieure,
lemporte sur les paramtres appliqus plus tt dans le processus.
Lapplication squentielle des objets de stratgie de groupe cre un effet appel hritage de stratgie.
Les stratgies sont hrites, de sorte que lensemble rsultant des stratgies de groupe pour un utilisateur
ou un ordinateur soit leffet cumulatif des stratgies de site, de domaine et de lunit dorganisation.
Par dfaut, les objets de stratgie de groupe hrits ont une priorit infrieure celle des objets de
stratgie de groupe lis directement au conteneur. Par exemple, vous pourriez configurer un paramtre
de stratgie pour dsactiver lutilisation des outils de modification du registre pour tous les utilisateurs
dans le domaine, en configurant le paramtre de stratgie dans un objet de stratgie de groupe li
au domaine. Cet objet de stratgie de groupe et son paramtre de stratgie sont hrits par tous les
utilisateurs dans le domaine. Cependant, si vous souhaitez que les administrateurs puissent utiliser des
outils de modification du registre, vous liez un objet de stratgie de groupe lunit dorganisation qui
contient les comptes des administrateurs, puis vous configurez le paramtre de stratgie pour permettre
lutilisation des outils de modification du registre. Puisque lobjet de stratgie de groupe li lunit
dorganisation des administrateurs a une priorit suprieure celle de lobjet de stratgie de groupe
hrit, les administrateurs pourront utiliser les outils de modification du registre.
Priorit de plusieurs objets de stratgie de groupe lis

Si plusieurs objets de stratgie de groupe sont lis un objet de conteneur AD DS, lordre des liaisons
des objets dtermine leur priorit.
Pour modifier la priorit dune liaison de lobjet de stratgie de groupe :
1.
Slectionnez lobjet de conteneur AD DS dans larborescence de la console GPMC.
2.
Cliquez sur longlet Objets de stratgie de groupe lis dans le volet dinformations.
3.
Slectionnez lobjet de stratgie de groupe.
4.
Utilisez les flches Haut, Bas, Aller au dbut, et Aller la fin pour modifier lordre des liaisons de
lobjet de stratgie de groupe slectionn.
Bloquer lhritage
Vous pouvez configurer un domaine ou une unit dorganisation pour empcher lhritage des
paramtres de stratgie. Cette opration est appele blocage de lhritage . Pour slectionner le
blocage de lhritage, cliquez avec le bouton droit sur le domaine ou lunit dorganisation dans
larborescence de la console GPMC, puis slectionnez Bloquer lhritage.
Loption Bloquer lhritage est une proprit dun domaine ou dune unit dorganisation ; ainsi, elle
bloque tous les paramtres de la stratgie de groupe des objets de stratgie de groupe lis aux parents
dans la hirarchie de stratgie de groupe. Par exemple, quand vous bloquez lhritage sur une unit
dorganisation, lapplication de lobjet de stratgie de groupe commence avec tous les objets de stratgie
de groupe lis directement cette unit dorganisation. Par consquent, les objets de stratgie de groupe
lis aux units dorganisation, domaines ou sites de niveau suprieur ne sappliqueront pas.
Vous devez utiliser loption Bloquer lhritage avec modration parce que le blocage de lhritage rend
plus difficile lvaluation de la priorit et de lhritage de la stratgie de groupe. Avec le filtrage du groupe
de scurit, vous pouvez soigneusement limiter en tendue un objet de stratgie de groupe de sorte quil
ne sapplique quaux bons utilisateurs et ordinateurs en premier lieu, rendant inutile lutilisation de
loption Bloquer lhritage.
Appliquer une liaison dobjet de stratgie de groupe
5-27
En outre, vous pouvez dfinir une liaison dobjet de stratgie de groupe ltat Appliqu. Pour appliquer
une liaison dobjet de stratgie de groupe, cliquez avec le bouton droit sur celle-ci dans larborescence de
la console, puis slectionnez Appliqu dans le menu contextuel.
Quand vous dfinissez une liaison de lobjet de stratgie de groupe ltat Appliqu, lobjet de stratgie
de groupe prend le niveau de priorit le plus lev ; les paramtres de stratgie dans cet objet de
stratgie de groupe prvaudront sur tous les paramtres de stratgie conflictuels dans dautres objets de
stratgie de groupe. En outre, une liaison applique sappliquera aux conteneurs enfants mme lorsque
ces conteneurs sont dfinis sur Bloquer lhritage. Loption Appliqu entrane lapplication de la stratgie
tous les objets dans son tendue. Loption Appliqu amne les stratgies remplacer toutes les stratgies
conflictuelles et sappliqueront indpendamment du fait quune option Bloquer lhritage soit dfinie.
Lapplication est utile quand vous devez configurer un objet de stratgie de groupe qui dfinit une
configuration exige par vos stratgies dentreprise en matire de scurit informatique et dutilisation.
Par consquent, vous souhaitez vrifier que dautres objets de stratgie de groupe ne remplacent pas ces
paramtres. Vous pouvez le faire en appliquant la liaison de lobjet de stratgie de groupe.
valuation de la priorit
Pour faciliter lvaluation de la priorit de lobjet de stratgie de groupe, vous pouvez simplement
slectionner une unit dorganisation (ou un domaine), puis cliquez sur longlet Hritage de stratgie
de groupe. Cet onglet affichera la priorit rsultante des objets de stratgie de groupe, compte tenu de
la liaison de lobjet de stratgie de groupe, de lordre des liaisons, du blocage de lhritage et de
lapplication de la liaison. Cet onglet ne tient compte ni des stratgies lies un site, ni de la scurit
de lobjet de stratgie de groupe, ni du filtrage WMI.
Utilisation du filtrage de scurit pour modifier ltendue de groupe
Bien que vous puissiez utiliser les options

Application et Bloquer lhritage pour contrler
lapplication des objets de stratgie de groupe aux
objets du conteneur, vous pourriez devoir
appliquer des objets de stratgie de groupe
uniquement certains groupes dutilisateurs ou
dordinateurs plutt qu tous les utilisateurs ou
les ordinateurs dans ltendue de lobjet de
stratgie de groupe. Bien que vous ne puissiez pas
directement lier un objet de stratgie de groupe
un groupe de scurit, il y a une faon dappliquer
des objets de stratgie de groupe des groupes
de scurit spcifiques. Les stratgies dans un objet de stratgie de groupe sappliquent uniquement aux
utilisateurs qui ont les autorisations Autoriser lecture et Autoriser application de la stratgie de groupe
lobjet de stratgie de groupe.
Chaque objet de stratgie de groupe a une liste de contrle daccs qui dfinit les autorisations de lobjet de
stratgie de groupe. Deux autorisations, Autoriser lecture et Autoriser application de la stratgie de groupe,
sont requises pour quun objet de stratgie de groupe sapplique un utilisateur ou un ordinateur. Par
exemple, si un objet de stratgie de groupe est limit en tendue un ordinateur par sa liaison de lunit
dorganisation de lordinateur, mais que lordinateur na pas les autorisations Lire et Appliquer la stratgie
de groupe, il ne tlchargera pas et nappliquera pas lobjet de stratgie de groupe. Par consquent, en
dfinissant les autorisations appropries pour les groupes de scurit, vous pouvez filtrer un objet de stratgie
de groupe pour quil sapplique uniquement aux ordinateurs et utilisateurs spcifis.
Par dfaut, les utilisateurs authentifis ont lautorisation Appliquer la stratgie de groupe - Autoriser
sur chaque nouvel objet de stratgie de groupe. Cela signifie que par dfaut, tous les utilisateurs et
ordinateurs sont affects par les objets de stratgie de groupe dfinis pour leur domaine, site, ou unit
dorganisation, indpendamment des autres groupes dont ils pourraient tre membres. Par consquent, il
y a deux faons de filtrer ltendue de lobjet de stratgie de groupe :
Supprimez lautorisation Appliquer la stratgie de groupe (dfinie actuellement sur Autoriser)

pour le groupe dutilisateurs authentifis, mais ne dfinissez pas cette autorisation sur Refuser. Puis,
dterminez les groupes auxquels lobjet de stratgie de groupe devrait tre appliqu et dfinissez
les autorisations Lire et Appliquer la stratgie de groupe pour ces groupes sur Autoriser.
Dterminez les groupes auxquels lobjet de stratgie de groupe ne devrait tre appliqu et dfinissez
lautorisation Appliquer la stratgie de groupe pour ces groupes sur Refuser. Si vous refusez
lautorisation Appliquer stratgie de groupe un objet de stratgie de groupe, lutilisateur ou
lordinateur nappliquera pas les paramtres dans lobjet de stratgie de groupe, mme si lutilisateur
ou lordinateur est membre dun autre groupe auquel lautorisation Appliquer la stratgie de groupe
est accorde.
Filtrage dun objet de stratgie de groupe appliquer des groupes spcifiques

Pour appliquer un objet de stratgie de groupe un groupe de scurit spcifique :
1.
Slectionnez lobjet de stratgie de groupe dans le conteneur dobjets de stratgie de groupe dans
larborescence de la console.
2.
Dans la section Filtrage de scurit, slectionnez le groupe Utilisateurs authentifis, puis cliquez
sur Supprimer.
Remarque : Vous ne pouvez pas filtrer des objets de stratgie de groupe avec des groupes
de scurit locaux du domaine.
3.
Cliquez sur OK pour confirmer la modification.
4.
Cliquez sur Ajouter.
5.
Slectionnez le groupe auquel vous souhaitez appliquer la stratgie, puis cliquez sur OK.
Filtrage dun objet de stratgie de groupe exclure des groupes spcifiques
Longlet tendue dun objet de stratgie de groupe ne vous permet pas dexclure des groupes
spcifiques. Pour exclure un groupe, cest--dire que vous lui refuser lautorisation Appliquer la stratgie
de groupe, vous devez utiliser longlet Dlgation.
Pour refuser un groupe lautorisation Appliquer la stratgie de groupe :
1.
Slectionnez lobjet de stratgie de groupe dans le conteneur dobjets de stratgie de groupe dans
2.
Cliquez sur longlet Dlgation.
3.
Cliquez sur le bouton Avanc. La bote de dialogue Paramtres de scurit saffiche.
4.
Cliquez sur le bouton Ajouter.
5.
Slectionnez le groupe que vous souhaitez exclure de lobjet de stratgie de groupe. Souvenez-vous
ce groupe doit tre un groupe global. Ltendue de lobjet de stratgie de groupe ne peut pas tre
filtre par des groupes locaux de domaine.
5-29
6.
Cliquez sur OK. Le groupe que vous avez slectionn dispose de lautorisation Autoriser la lecture
par dfaut.
7.
Dsactivez la case cocher de lautorisation Autoriser la lecture.
8.
Activez la case cocher Refuser Appliquer la stratgie de groupe.
9.
Cliquez sur OK. Vous tes prvenu que les autorisations Refuser remplacent les autres autorisations.
Puisque les autorisations Refuser remplacent les autorisations Autoriser, nous recommandons que
vous les utilisez avec modration. Microsoft Windows vous rappelle cette bonne pratique par un
message davertissement. Le processus dexclusion des groupes avec lautorisation Refuser Appliquer
la stratgie de groupe est bien plus laborieux que le processus dinclusion des groupes dans la section
Filtrage de scurit de longlet tendue.
10. Confirmez que vous souhaitez continuer.

Remarque : Les refus ne sont pas exposs sur longlet tendue. Malheureusement, quand
vous excluez un groupe, lexclusion nest pas montre dans la section Filtrage de scurit de
longlet tendue. Cest pourtant une raison de plus dutiliser les refus avec modration.
Dfinition des filtres WMI

WMI est une technologie dinfrastructure de
gestion qui permet aux administrateurs de
surveiller et de contrler des objets grs dans
le rseau. Une requte WMI est capable de filtrer
des systmes selon des caractristiques, y compris
la mmoire vive (RAM), la vitesse du processeur,
la capacit de disque, ladresse IP, la version du
systme dexploitation et le niveau de service
pack, les applications installes et les proprits
dimprimante. Puisque WMI expose presque
chaque proprit de chaque objet dans un
ordinateur, la liste dattributs que vous pouvez
utiliser dans une requte WMI est pratiquement illimite. Les requtes WMI sont crites laide du
langage de requte WMI (WQL).
Vous pouvez utiliser une requte WMI pour crer un filtre WMI, avec lequel vous pouvez filtrer un objet
de stratgie de groupe. Vous pouvez utiliser la stratgie de groupe pour dployer les applications
logicielles et les services packs. Vous pouvez crer un objet de stratgie de groupe pour dployer une
application, puis utiliser un filtre WMI pour spcifier que la stratgie doit sappliquer uniquement aux
ordinateurs ayant certains systmes dexploitation et service packs, par exemple Windows XP Service
Pack 3 (SP3). La requte WMI permettant didentifier de tels systmes est la suivante :
Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP Professional"
AND CSDVersion="Service Pack 3"
Quand le client de la stratgie de groupe value des objets de stratgie de groupe quil a tlchargs
pour dterminer lesquels doivent tre remis aux extensions CSE pour traitement, il effectue la requte
par rapport au systme local. Si le systme rpond aux critres de la requte, le rsultat de requte est
un Vrai logique et les extensions CSE traitent lobjet de stratgie de groupe.
WMI expose les espaces de noms, o rsident les classes qui peuvent tre interroges. Beaucoup de
classes utiles, notamment Win32_Operating System, se trouvent dans une classe appele racine\CIMv2.
Pour crer un filtre WMI :
1.
Cliquez avec le bouton droit sur le nud Filtres WMI dans larborescence de la console GPMC,
puis cliquez sur Nouveau. Saisissez un nom et une description du filtre, puis cliquez sur le bouton
Ajouter.
2.
Dans la zone Espace de noms, saisissez lespace de noms de votre requte.
3.
Dans la zone Requte, saisissez la requte.
4.
Cliquez sur OK.
Pour filtrer un objet de stratgie de groupe avec un filtre WMI :

1.
Slectionnez lobjet de stratgie de groupe ou la liaison de lobjet de stratgie de groupe dans

2.
Cliquez sur longlet tendue.
3.
Cliquez sur la liste droulante WMI, puis slectionnez Filtre WMI.
Vous pouvez filtrer un objet de stratgie de groupe avec un seul filtre WM, mais vous pouvez crer un
filtre WMI avec une requte complexe qui utilise plusieurs critres. Vous pouvez lier un filtre WMI unique
un ou plusieurs objets de stratgie de groupe. Longlet Gnral dun filtre WMI affiche les objets de
stratgie de groupe qui utilisent le filtre WMI :
Il y a trois avertissements importants concernant les filtres WMI :
Dabord, la syntaxe WQL des requtes WMI peut tre dlicate matriser. Vous pouvez souvent
trouver des exemples sur Internet quand vous effectuez une recherche laide des mots cls filtre
WMI et requte WMI, ainsi quavec une description de la requte que vous souhaitez crer.
En second lieu, les filtres WMI sont chers en termes de performance de traitement de stratgie de
groupe. Puisque le client de stratgie de groupe doit effectuer la requte WMI chaque intervalle
de traitement de stratgie, il y a une lgre incidence sur les performances systme toutes les 90
120 minutes. Avec les performances des ordinateurs daujourdhui, cette incidence peut tre
imperceptible. Cependant, vous devez tester les effets dun filtre WMI avant de le dployer grande
chelle dans votre environnement de production.
Remarque : Notez que la requte WMI est traite uniquement une fois, mme si vous
lutilisez pour filtrer ltendue de plusieurs objets de stratgie de groupe.
Troisimement, les filtres WMI ne sont pas traits par les ordinateurs excutant le systme
dexploitation Microsoft Windows 2000 Server. Si un objet de stratgie de groupe est filtr avec
un filtre WMI, un systme Windows 2000 Server ignore le filtre, puis traite lobjet de stratgie
de groupe comme si les rsultats du filtre taient vrais.
Dmonstration : Procdure de filtrage des stratgies

5-31
crer un objet de stratgie de groupe qui supprime le lien menu Aide du menu Accueil, puis liez-le
lunit dorganisation Informatique ;
utiliser le filtrage de scurit pour exempter un utilisateur de lobjet de stratgie de groupe ;
tester lapplication de la stratgie de groupe.
Crez un nouvel objet de stratgie de groupe et liez-le une unit dorganisation
Informatique.
1.
Ouvrez la console Gestion des stratgies de groupe sur LON-DC1.
2.
Crez un nouvel objet de stratgie de groupe appel Supprimer le menu Aide, puis liez-le lunit
dorganisation IT.
3.
Modifiez les paramtres de lobjet de stratgie de groupe pour supprimer le menu Aide du menu
Accueil.
Filtrer lapplication de la stratgie de groupe en utilisant le filtrage des groupes

de scurit
1.
Supprimez lentre Utilisateurs authentifis de la liste Filtrage de scurit pour lobjet de stratgie
de groupe Supprimer le menu Aide dans lunit dorganisation Informatique.
2.
Ajoutez lutilisateur Ed Meadows la liste Filtrage de scurit. Maintenant, seul Ed Meadows a

lautorisation dappliquer la stratgie.
Filtrer lapplication de la stratgie de groupe en utilisant le filtrage WMI

1.
Crez un filtre WMI appel filtre XP.
2.
Ajoutez la requte suivante au filtre :

Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP
Professional"
3.
Enregistrez la requte sous le nom Filtre XP.
4.
Crez un nouvel objet de stratgie de groupe appel Mises jour logicielles pour XP, et liez-le
ensuite lunit dorganisation Informatique.
5.
Modifiez les proprits de la stratgie pour utiliser le filtre XP.
6.
Fermez la console Gestion des stratgies de groupe.
Activer ou dsactiver les objets de stratgie de groupe et les nuds

dobjet de stratgie de groupe
Vous pouvez empcher le traitement des
paramtres dans les nuds Configuration
ordinateur ou Configuration utilisateur
pendant lactualisation de la stratgie en
modifiant ltat de lobjet de stratgie de groupe.
Pour activer ou dsactiver les nuds dun objet
de stratgie de groupe, slectionnez lobjet de
stratgie de groupe ou la liaison de lobjet
de stratgie de groupe dans larborescence de la
console, cliquez sur longlet Dtails illustr, puis
slectionnez lun des lments suivants de la liste
droulante tat GPO :
Activ. Les paramtres de configuration ordinateur et les paramtres de configuration utilisateur

seront traits par les extensions CSE pendant lactualisation de la stratgie.
Tous les paramtres dsactivs. Les extensions CSE ne traiteront pas lobjet de stratgie de groupe
pendant lactualisation de la stratgie.
Paramtres de configuration ordinateur dsactivs. Pendant lactualisation de la stratgie

dordinateur, les paramtres de configuration de lordinateur dans lobjet de stratgie de groupe
ne seront pas appliqus.
Paramtres de configuration utilisateurs dsactivs. Pendant lactualisation de la stratgie utilisateur,

les paramtres de configuration utilisateur de lobjet de stratgie de groupe ne seront pas appliqus.
Vous pouvez configurer ltat de lobjet de stratgie de groupe pour optimiser le traitement de stratgie.
Par exemple, si un objet de stratgie de groupe contient uniquement des paramtres utilisateurs, alors la
dfinition de loption tat GPO sur dsactiver les paramtres de lordinateur empche le client de stratgie
de groupe de tenter de traiter lobjet de stratgie de groupe pendant lactualisation de la stratgie
dordinateur. Puisque lobjet de stratgie de groupe ne contient aucun paramtre de lordinateur, il nest
pas ncessaire de traiter lobjet de stratgie de groupe, et vous pouvez conomiser ainsi quelques cycles
de processeur.
Remarque : Vous pouvez dfinir une configuration qui doit entrer en vigueur en cas
durgence, dincident de scurit ou dautres incidents dans un objet de stratgie de groupe,
puis lier lobjet de stratgie de groupe de sorte quil soit limit en tendue aux utilisateurs et
ordinateurs appropris. Puis, dsactivez lobjet de stratgie de groupe. Si vous avez besoin de la
configuration soit dploye, activez lobjet de stratgie de groupe.
Traitement de stratgie par boucle de rappel
5-33
Par dfaut, les paramtres dun utilisateur

proviennent des objets de stratgie de groupe
limits en tendue lobjet utilisateur dans AD DS.
Indpendamment de lordinateur o lutilisateur
ouvre une session, lensemble rsultant des
stratgies qui dterminent lenvironnement
dutilisateur est identique. Il y a cependant des
situations o vous pouvez souhaiter configurer un
utilisateur diffremment, selon lordinateur utilis.
Par exemple, vous pouvez souhaiter verrouiller et
standardiser des bureaux dutilisateur quand les
utilisateurs se connectent aux ordinateurs dans
des environnements attentivement grs, tels que les salles de confrence, les zones daccueil, les
laboratoires, les classes, et les bornes. Cela est galement important pour les scnarios dinfrastructure de
bureau virtuel (VDI), y compris les ordinateurs virtuels distants et les services de bureau distance (RDS).
Imaginez un scnario o vous souhaitez appliquer une apparence dentreprise standard au bureau
Windows sur tous les ordinateurs des salles de confrence et autres zones publiques de votre site.
Comment envisagez-vous de grer de manire centralise cette configuration laide de la stratgie de
groupe ? Les paramtres de stratgie qui configurent lapparence de bureau sont situs dans le nud
Configuration utilisateur dun objet de stratgie de groupe. Par consquent, les paramtres sappliquent
par dfaut aux utilisateurs, indpendamment de lordinateur o ils se connectent. Le traitement de
stratgie par dfaut ne vous permet pas de limiter en tendue les paramtres utilisateurs appliquer aux
ordinateurs, indpendamment de ceux o lutilisateur ouvre une session. Cest alors que le traitement de
stratgie par boucle peut tre utile.
Le traitement de stratgie par boucle de rappel modifie lalgorithme par dfaut que le client de
stratgie de groupe utilise pour obtenir la liste trie des objets de stratgie de groupe appliquer
une configuration utilisateur. Au lieu que la configuration utilisateur soit dtermine par le nud
Configuration utilisateur des objets de stratgie de groupe limits en tendue lobjet utilisateur,
la configuration utilisateur peut tre dtermine par les stratgies du nud Configuration utilisateur
des objets de stratgie de groupe limits en tendue lobjet ordinateur.
Le paramtre de stratgie Configurer le mode de traitement par boucle de la stratgie de groupe

utilisateur, situ dans le dossier Configuration ordinateur\Stratgies\Modles
dadministration\Systme\Stratgie de groupe dans lditeur de gestion des stratgies de groupe,
peut tre, comme tous les paramtres de stratgie, dfini sur Non configur, Activ ou Dsactiv.
Lorsquelle est active, la stratgie peut spcifier le mode Remplacer ou Fusionner:
Remplacer. Dans ce cas, la liste dobjet de stratgie de groupe pour lutilisateur est remplace
entirement par la liste dobjet de stratgie de groupe dj obtenue pour lordinateur au dmarrage
de lordinateur. Les paramtres contenus dans les stratgies de configuration utilisateur des objets de
stratgie de groupe de lordinateur sont appliqus lutilisateur. Le mode Remplacer est utile dans
une situation de classe o les utilisateurs doivent recevoir une configuration standard plutt que la
configuration applique ces utilisateurs dans un environnement moins gr.
Fusionner. Dans ce cas, la liste dobjet de stratgie de groupe pour lordinateur obtenue au
dmarrage de lordinateur est ajoute la liste des objets de stratgie de groupe obtenue pour
lutilisateur au moment de la connexion. Puisque la liste dobjet de stratgie de groupe obtenue pour
lordinateur est applique ultrieurement, les paramtres dans les objets de stratgie de groupe sur la
liste de lordinateur ont la priorit en cas de conflit avec des paramtres de la liste utilisateur. Ce
mode est utile pour appliquer les paramtres supplmentaires aux configurations typiques des
utilisateurs. Par exemple, vous pouvez permettre un utilisateur de recevoir la configuration classique
de lutilisateur lors de louverture de session sur un ordinateur situ dans une salle de confrence ou
une zone daccueil, mais vous remplacez le papier peint par une image bitmap standard et dsactivez
lutilisation de certains priphriques ou applications.
Remarque : Notez que, lorsque vous combinez le traitement par boucle de rappel au
filtrage de groupe de scurit, lapplication des paramtres utilisateur pendant lactualisation de
la stratgie utilise les informations didentification de lordinateur pour dterminer les objets de
stratgie de groupe appliquer dans le cadre du traitement par boucle de rappel. Cependant,
lutilisateur connect doit galement possder lautorisation Appliquer la stratgie de groupe
pour que lobjet de stratgie de groupe soit appliqu avec succs. Notez galement que
lindicateur de traitement par boucle de rappel est configur par session plutt que par objet
de stratgie de groupe.
Considrations pour les liaisons lentes et les systmes dconnects

Certains paramtres que vous pouvez configurer
avec la stratgie de groupe peuvent tre affects
par la vitesse de la liaison entre lordinateur de
lutilisateur et votre rseau de domaine. Par
exemple, le dploiement du logiciel laide des
objets de stratgie de groupe nest pas adapt
aux liaisons plus lentes. En outre, il est important
de prendre en compte leffet des stratgies de
groupe sur les ordinateurs dconnects du
rseau de domaine.
Liaisons lentes
5-35
Le client de stratgie de groupe traite la question des liaisons lentes en dtectant la vitesse de connexion
au domaine et en dterminant si la connexion doit tre considre comme une liaison lente. Cette
dtermination est alors utilise par chaque extension CSE afin de dcider dappliquer ou non les
paramtres. Lextension logicielle, par exemple, est configure pour ignorer le traitement de stratgie,
de sorte que le logiciel nest pas install si une liaison lente est dtecte.
Remarque : Par dfaut, une liaison est considre lente selle a un dbit infrieur
500 kilobits par seconde (Kbits/s). Cependant, vous pouvez configurer ce seuil un dbit diffrent.
Si la stratgie de groupe dtecte une liaison lente, elle paramtre un indicateur pour signaler la liaison aux
extensions CSE. Ces dernires peuvent alors dterminer sil est ncessaire de traiter les paramtres de stratgie
de groupe applicables. Le tableau suivant dcrit le comportement par dfaut des extensions ct client.
Extension ct client
Traitement des liaisons lentes
Modification possible ?
Traitement de la stratgie du Registre
Actif
Non
Maintenance Internet Explorer
Inactif
Oui
Stratgie dinstallation de logiciels
Inactif
Oui
Stratgie de redirection de dossiers
Inactif
Oui
Stratgie de scripts
Inactif
Oui
Stratgie de scurit
Actif
Non
Stratgie IPsec (Internet Protocol

Security)
Inactif
Oui
Stratgie sans fil
Inactif
Oui
Stratgie de rcupration du systme

de fichiers EFS
Actif
Oui
Stratgie de quota de disque
Inactif
Oui
Ordinateurs dconnects
Si un utilisateur travaille sans tre connect au rseau, les paramtres prcdemment appliqus par la
stratgie de groupe demeurent en vigueur. De cette manire, lexprience dun utilisateur est identique,
indpendamment de sa connexion au rseau. Il existe des exceptions la rgle, dont notamment le fait
que les scripts de dmarrage, douverture de session, de fermeture de session et darrt ne sexcutent pas
si lutilisateur est dconnect.
Si un utilisateur distant se connecte au rseau, le client de stratgie de groupe sort de veille et dtermine
si une fentre dactualisation de stratgie de groupe a t manque. Si tel est le cas, il excute une
actualisation de stratgie de groupe pour obtenir les derniers objets de stratgie de groupe du domaine.
Encore une fois, les extensions CSE dterminent, selon leurs paramtres de traitement de stratgie, si les
paramtres de ces objets de stratgie de groupe sont appliqus.
Remarque : Ce processus ne sapplique pas aux systmes Windows XP ou Windows
Server 2003. Il sapplique uniquement Windows Vista, Windows Server 2008, Windows
Server 2008 R2, Windows 7, Windows 8 et Windows Server 2012.
Identification du moment o les paramtres entrent en vigueur

Plusieurs processus doivent tre effectus avant
que les paramtres de stratgie de groupe ne
soient rellement appliqus un utilisateur ou
un ordinateur. Cette rubrique prsente ces
processus.
La rplication de lobjet de stratgie

de groupe doit avoir lieu
Avant quun objet de stratgie de groupe ne
puisse entrer en vigueur, le conteneur Stratgie de
groupe dans Active Directory doit tre rpliqu
sur le contrleur de domaine partir duquel le
client de stratgie de groupe obtient sa liste trie
dobjets de stratgie de groupe. En outre, le modle de stratgie de groupe du volume SYSVOL doit
rpliquer sur le mme contrleur de domaine.
Les modifications apportes au groupe doivent tre incorpores
5-37
Enfin, si vous avez ajout un nouveau groupe ou avez modifi lappartenance dun groupe utilis pour
filtrer lobjet de stratgie de groupe, cette modification doit galement tre rplique. En outre, la
modification doit tre dans le jeton de scurit de lordinateur et de lutilisateur, ce qui ncessite un
redmarrage (pour que lordinateur mette jour son appartenance de groupe) ou une fermeture de
session, puis une ouverture de session (pour que lutilisateur mette jour son appartenance de groupe).
Lactualisation de la stratgie de groupe de lutilisateur ou de lordinateur doit

avoir lieu
Lactualisation a lieu au dmarrage (pour les paramtres de lordinateur), louverture de session
(pour les paramtres de lutilisateur) et toutes les 90 120 minutes ensuite, par dfaut.
Remarque : Gardez lesprit que lincidence pratique de lintervalle dactualisation
de la stratgie de groupe est la suivante : lorsque vous apportez une modification votre
environnement, lentre en vigueur de la modification prend, en moyenne, deux fois moins de
temps, soit 45 60 minutes.
Par dfaut, les clients Windows XP, Windows Vista, Windows 7, et Windows 8 excutent uniquement des
actualisations en tche de fond au dmarrage et louverture de session, ce qui signifie quun client peut
dmarrer et quun utilisateur peut se connecter sans recevoir les dernires stratgies du domaine. Nous
vous recommandons fortement de modifier ce comportement par dfaut de sorte que les modifications
de stratgie soient implmentes de faon gre et prvisible. Activez le paramtre de stratgie Toujours
attendre le rseau lors du dmarrage de lordinateur et de louverture de session pour tous les
clients Windows. Le paramtre est situ dans Configuration de lordinateur\Stratgies\Modles
dadministration\Systme\Ouverture de session. Veillez lire le texte explicatif du paramtre de
stratgie. Notez que cette modification naffecte pas la dure de dmarrage ou douverture de session
pour les ordinateurs qui ne sont pas connects un rseau. Si lordinateur dtecte quil est dconnect,
il nattend pas un rseau.
Ouverture de session ou redmarrage
Bien que la plupart des paramtres soient appliqus pendant une actualisation de stratgie en arrireplan, certaines extensions CSE nappliquent pas le paramtre jusqu lvnement suivant de dmarrage
ou douverture de session. Par exemple, les stratgies de script de dmarrage et douverture de session
nouvellement ajoutes ne fonctionnent pas tant que lordinateur na pas t redmarr ou quune
nouvelle session na pas t ouverte. Linstallation logicielle a lieu au dmarrage suivant si le logiciel est
attribu dans les paramtres de lordinateur. Les modifications des stratgies de redirection de dossiers
entrent pas en vigueur louverture de session suivante.
Actualiser manuellement la stratgie de groupe
Lorsque vous exprimentez avec le traitement de stratgie de groupe dpannage de la stratgie de

groupe, vous pouvez avoir besoin dinitialiser une actualisation de stratgie de groupe manuelle de sorte
ne pas avoir attendre lactualisation en tche de fond suivante. Vous pouvez utiliser la commande
GPUpdate pour initier une actualisation de la stratgie de groupe. Utilise seule, cette commande
dclenche un traitement identique une actualisation de stratgie de groupe en tche de fond. La
stratgie dordinateur et la stratgie dutilisateur sont toutes deux actualises. Utilisez le paramtre
/target:computer ou /target:user pour limiter lactualisation aux paramtres de lordinateur ou de
lutilisateur, respectivement. Pendant lactualisation en tche de fond, par dfaut, des paramtres sont
appliqus uniquement si lobjet de stratgie de groupe a t mis jour. Le commutateur /force fait en
sorte que le systme rapplique tous les paramtres de lensemble des objets de stratgie de groupe
limits en tendue lutilisateur ou lordinateur. Certains paramtres de stratgie requirent une
fermeture de session ou un redmarrage avant dentrer rellement en vigueur. Les commutateurs /logoff
et /boot de GPUpdate causent une fermeture de session ou un redmarrage, respectivement. Vous
pouvez utiliser ces commutateurs lorsque vous appliquez des paramtres qui ncessitent une fermeture
de session ou un redmarrage.
Par exemple, la commande qui provoque une actualisation totale de lapplication, et, sil y a lieu, le
redmarrage et louverture de session pour appliquer des paramtres de stratgie mis jour est :
gpupdate /force /logoff /boot
La plupart des extensions CSE ne rappliquent pas les paramtres si lobjet

de stratgie de groupe na pas chang
Gardez lesprit que la plupart des extensions CSE appliquent les paramtres dun objet de stratgie de
groupe uniquement si celui-ci a chang. Cela signifie que, si un utilisateur peut modifier un paramtre
spcifi initialement par la stratgie de groupe, le paramtre ne sera pas ramen en conformit aux
paramtres spcifis par lobjet de stratgie de groupe tant que lobjet de stratgie de groupe na pas
chang. Heureusement, la plupart des paramtres de stratgie ne peuvent pas tre modifis par un
utilisateur sans privilges. Cependant, si un utilisateur est un administrateur de son ordinateur, ou si le
paramtre de stratgie affecte une partie du registre ou du systme que lutilisateur lautorisation de
modifier, cela peut devenir un rel problme.
Vous pouvez demander chaque extension CSE de rappliquer les paramtres des objets de stratgie de
groupe, mme si ceux-ci nont pas t modifis. Le comportement de traitement de chaque extension CSE
peut tre configur dans les paramtres de stratgie figurant sous Configuration de lordinateur\Modles
dadministration\Systme\Stratgie de groupe.
Leon 4
5-39
Dpanner lapplication des objets de stratgie de groupe
Avec linteraction de nombreux paramtres dans plusieurs objets de stratgie de groupe limits en
tendue laide dun large choix de mthodes, lapplication de stratgie de groupe peut tre complexe
analyser et comprendre. Par consquent, vous devez tre quip pour valuer et dpanner efficacement
votre implmentation de stratgie de groupe, identifier les problmes potentiels avant quils surgissent et
rsoudre les difficults imprvues. Windows Server fournit des outils indispensables la prise en charge
de la stratgie de groupe. Dans cette leon, vous explorerez lutilisation de ces outils dans des scnarios
de dpannage et de support technique proactifs et ractifs.
Dcrire comment actualiser les objets de stratgie de groupe sur un ordinateur client.
Analyser lensemble des objets de stratgie de groupe et des paramtres de stratgie appliqus
un utilisateur ou un ordinateur.
Gnrer des rapports de jeu de stratgie rsultant (RSoP) pour contribuer lanalyse des paramtres
de lobjet de stratgie de groupe.
Modliser proactivement lincidence des modifications de la stratgie de groupe ou Active Directory

sur le RSOP.
Localiser les journaux des vnements contenant les vnements relatifs la stratgie de groupe.
Actualisation des objets de stratgie de groupe

Les paramtres de configuration de lordinateur
sont appliqus au dmarrage, puis actualiss
intervalles rguliers. Tous les scripts de dmarrage
sont excuts au dmarrage de lordinateur.
Lintervalle par dfaut est de 90 minutes, mais il
est configurable. Lexception lintervalle dfini
concerne les contrleurs de domaine, dont les
paramtres sont actualiss toutes les cinq minutes.
Les paramtres utilisateur sont appliqus
louverture de session et actualiss intervalles
rguliers er configurables ; la valeur par dfaut est
galement de 90 minutes. Tous les scripts
douverture de session sont excuts louverture de la session.
Remarque : Divers paramtres utilisateur requirent deux ouvertures de session avant
que lutilisateur peroive leffet de lobjet de stratgie de groupe. Cela est d au fait que les
utilisateurs ouvrant une session sur le mme ordinateur utilisent des informations didentification
mises en cache pour acclrer les ouvertures de session. Cela signifie que, bien que les
paramtres de stratgie soient fournis lordinateur, lutilisateur est dj connect et les
paramtres nentreront donc pas en vigueur avant louverture de session suivante. Le paramtre
de redirection de dossier en est un exemple.
Vous pouvez modifier l'intervalle d'actualisation en configurant un paramtre de stratgie de groupe.

Pour les paramtres de l'ordinateur, le paramtre d'intervalle d'actualisation se trouve dans le nud
Configuration de l'ordinateur\Stratgies\Modles d'administration\Systme\Stratgie de groupe.
Pour les paramtres utilisateurs, l'intervalle d'actualisation se trouve dans les paramtres correspondants
sous la Configuration utilisateur. Les paramtres de scurit constituent une exception l'intervalle
d'actualisation. La section paramtres de scurit de la stratgie de groupe est actualise au moins toutes
les 16 heures, indpendamment de l'intervalle dfini pour l'intervalle d'actualisation.
Vous pouvez galement actualiser la stratgie de groupe manuellement. L'utilitaire de ligne de

commande Gpupdate actualise et fournit toutes les nouvelles configurations de stratgie de groupe.
La commande Gpupdate /force actualise tous les paramtres de stratgie de groupe. Il existe galement
un nouvel applet de commande Windows PowerShell Invoke-Gpupdate, qui remplit la mme fonction.
L'Actualisation des stratgies distance est une nouvelle fonctionnalit de Windows Server 2012. Cette
fonctionnalit permet aux administrateurs d'utiliser la console GPMC pour cibler une unit d'organisation
et forcer l'actualisation de la stratgie de groupe sur tous ses ordinateurs et utilisateurs actuellement
connects. Pour ce faire, cliquez avec le bouton droit sur n'importe quelle unit d'organisation, puis
cliquez sur Mise jour de la stratgie de groupe. La mise jour se produit dans un dlai de 10 minutes.
Remarque : Parfois, l'chec de l'application d'un objet de stratgie de groupe rsulte des
problmes au niveau de la technologie sous-jacente responsable de la rplication d'AD DS et du
volume SYSVOL. Dans Windows Server 2012, vous pouvez afficher l'tat de rplication l'aide de
Gestion des stratgies de groupe, en slectionnant le nud Domaine, en cliquant sur l'onglet
tat, puis en cliquant sur Dtecter.
Jeu de stratgie rsultant

Lhritage des stratgies de groupe, les filtres et
les exceptions sont complexes, et il est souvent
difficile de dterminer les paramtres de stratgie
appliquer.
RSoP est leffet net des objets de stratgie
de groupe appliqus un utilisateur ou un
ordinateur, compte tenu des liaisons de lobjet de
stratgie de groupe, des exceptions, telles que
Appliqu et Bloquer lhritage, et lapplication de
la scurit et des filtres WMI.
RSoP constitue galement une collection doutils

qui vous permettent dvaluer, de modliser et de
dpanner lapplication des paramtres de stratgie de groupe. RSoP peut interroger un ordinateur local
ou distant, puis gnrer un rapport sur les paramtres prcis appliqus lordinateur et aux utilisateurs
connects lordinateur. RSoP peut galement modliser les paramtres de stratgie prvus pour tre
appliqus un utilisateur ou un ordinateur dans divers scnarios, notamment le dplacement de lobjet
entre des units dorganisation ou des sites, ou la modification de lappartenance de groupe de lobjet.
Avec ces fonctions, RSoP peut vous aider grer et dpanner les stratgies conflictuelles.
Windows Server 2012 fournit les outils suivants pour effectuer des analyses RSoP :
LAssistant Rsultats de stratgie de groupe
LAssistant Modlisation de stratgie de groupe
GPResult.exe
Gnrer des rapports RSoP

Pour vous aider analyser leffet cumulatif des
objets de stratgie de groupe et des paramtres
de stratgie sur un utilisateur ou un ordinateur
dans votre organisation, la console GPMC
comprend lAssistant Rsultats de stratgie de
groupe. Si vous souhaitez comprendre exactement
quels paramtres de stratgie sont appliqu un
utilisateur ou un ordinateur, et pour quelles
raisons, lAssistant Rsultats de stratgie de groupe
est loutil utiliser.
Gnrer des rapports RSoP avec lAssistant Rsultats de stratgie de groupe
5-41
LAssistant Rsultats de stratgie de groupe peut atteindre le fournisseur WMI sur un ordinateur local ou
distant qui excute Windows Vista ou une version plus rcente. Le fournisseur WMI peut signaler tout ce
quil y savoir sur la manire dont la stratgie de groupe a t applique au systme. Il sait quel
moment le traitement a eu lieu, quels objets de stratgie de groupe ont t appliqus, quels objets de
stratgie de groupe nont pas t appliqus et pourquoi, les erreurs rencontres, et les paramtres de
stratgie prcis qui ont pris la priorit ainsi que leur objet de stratgie de groupe source.
Il existe plusieurs exigences pour lexcution de lAssistant Rsultats de stratgie de groupe, notamment :
Lordinateur cible doit tre en ligne.
Vous devez possder des informations didentification de ladministrateur sur lordinateur cible.
Lordinateur cible doit excuter Windows XP ou une version plus rcente. LAssistant Rsultats de
stratgie de groupe ne peut pas accder aux systmes Windows 2000.
Vous devez pouvoir accder WMI sur lordinateur cible. Cela signifie que lordinateur doit tre en
ligne, connect au rseau et accessible par les ports 135 et 445.
Remarque : Lexcution de lanalyse de RSoP laide de lAssistant Rsultats de stratgie

de groupe nest quun exemple dadministration distance. Pour excuter ladministration
distance, vous devez configurer des rgles de trafic entrant pour le pare-feu utilis par vos
clients et serveurs.
Le service WMI doit tre dmarr sur lordinateur cible.
Si vous souhaitez analyser RSoP pour un utilisateur, cet utilisateur doit stre connect au moins une
fois lordinateur. Il nest cependant pas ncessaire que lutilisateur soit actuellement connect.
Une fois que vous avez vrifi que les exigences sont satisfaites, vous tes prt excuter une analyse
de RSoP.
Pour excuter un rapport RSoP, cliquez avec le bouton droit sur Rsultats de stratgie de groupe dans
larborescence de la console GPMC, puis cliquez sur Assistant Rsultats de stratgie de groupe.
LAssistant vous invite slectionner un ordinateur. Il se connecte alors au fournisseur WMI sur cet
ordinateur, et fournit une liste des utilisateurs qui y sont connects. Vous pouvez alors slectionner lun
des utilisateurs, ou vous pouvez ignorer lanalyse RSoP pour les stratgies de configuration utilisateur.
LAssistant gnre un rapport RSoP dtaill au format DHTML. Si la configuration de scurit renforce
dInternet Explorer est dfinie, vous tes invit autoriser la console afficher le contenu dynamique.
Vous pouvez dvelopper ou rduire chaque section du rapport en cliquant sur le lien Afficher ou
Masquer, ou en double-cliquant sur le titre de la section.
Le rapport est affich sur trois onglets :
Rsum. Longlet Rsum affiche ltat de traitement de la stratgie de groupe lors de la dernire
actualisation. Vous pouvez identifier les informations recueillies sur le systme, les objets de stratgie
de groupe appliqus et refuss, lappartenance au groupe de scurit qui pourrait avoir affect des
objets de stratgie de groupe filtrs avec les groupes de scurit, les filtres WMI analyss, et ltat des
extensions CSE.
Paramtres. Longlet Paramtres affiche les paramtres de jeu de stratgie rsultant appliqus
lordinateur ou lutilisateur. Cet onglet vous montre exactement ce qui est arriv lutilisateur suite
aux effets de votre implmentation de stratgie de groupe. Vous pouvez apprendre normment
dinformations grce longlet Paramtres, mme si certaines donnes ne sont pas prises en compte,
notamment les paramtres IPsec, sans fil et de stratgie de quota de disque.
vnements de stratgie. Longlet vnements de stratgie affiche des vnements de stratgie de

groupe partir des journaux dvnements de lordinateur cible.
Aprs avoir gnr un rapport RSoP laide de lAssistant Rsultats de stratgie de groupe, vous pouvez
cliquer avec le bouton droit sur ce rapport pour excuter de nouveau la requte, imprimer le rapport ou
enregistrer le rapport comme fichier XML ou fichier HTML qui conserve le dveloppement et la rduction
dynamiques des sections. Vous pouvez ouvrir les deux types de fichier avec Internet Explorer ; le rapport
RSoP est donc portable hors de la console GPMC.
Si vous cliquez avec le bouton droit le nud du rapport lui-mme, dans le dossier Rsultats de stratgie
de groupe dans larborescence de la console, vous pouvez alors basculer vers Affichage avanc. Dans
Affichage avanc, RSoP est affich laide du composant logiciel enfichable RSoP qui indique tous les
paramtres appliqus, notamment les stratgies IPsec, sans fil et de quota de disque.
Gnrer les rapports RSoP avec GPResult.exe
La commande GPResult.exe est la version ligne de commande de lAssistant Rsultats de stratgie de

groupe. GPResult puise dans le mme fournisseur WMI que lAssistant, gnre les mmes informations et
vous permet, au demeurant, de crer les mmes rapports graphiques. GPResult fonctionne uniquement
sur Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008
et Windows Server 2012.
Remarque : Windows 2000 comprend une commande GPResult.exe, qui gnre un
rapport limit du traitement de la stratgie de groupe. Cependant, elle nest pas aussi
sophistique que la commande incluse dans les versions Windows rcentes.
Lorsque vous excutez la commande GPResult, vous tes susceptible dutiliser les options suivantes :
/scomputername
5-43
Cette option spcifie le nom ou ladresse IP dun systme distant. Si vous utilisez un point (.) comme nom
dordinateur ou nincluez pas loption /s, lanalyse RSoP est excute sur lordinateur local :
/scope [user | computer]
Cette commande affiche lanalyse RSoP des paramtres utilisateur ou ordinateur. Si vous omettez loption
/scope, lanalyse RSoP comprend les paramtres utilisateur et ordinateur :
/userusername
Cette commande spcifie le nom de lutilisateur dont vous souhaitez afficher les donnes RSoP.
/r
Cette option affiche un rsum des donnes RSoP :

/v
Cette option affiche les donnes RSoP dtailles, qui prsentent les informations les plus significatives :
/z
Cela affiche les donnes trs dtailles, notamment les dtails de tous les paramtres de stratgie
appliqus au systme. Vous navez gnralement pas besoin de toutes ces informations pour le
dpannage typique de la stratgie de groupe :
/udomain\user/ppassword
Cette commande fournit les informations didentification qui se trouvent dans le groupe Administrateurs
dun systme distant. Sans ces informations didentification, GPResult sexcute laide des informations
didentification avec lesquelles vous tes connect :
[/x | /h] filename
Cette option enregistre les rapports sous format XML ou HTML. Ces options sont disponibles dans le
Service Pack 1 de Windows Vista (SP1) et versions plus rcentes, Windows Server 2008 et versions plus
rcentes, Windows 7, et Windows 8.
Dpannage de la stratgie de groupe avec lAssistant Rsultats de stratgie

de groupe ou GPResult.exe
En tant quadministrateur, vous tes susceptible de rencontrer des scnarios qui requirent le dpannage
des stratgies de groupe. Vous pouvoir avoir diagnostiquer et rsoudre des problmes, notamment :
Les objets de stratgie de groupe ne sont pas appliqus du tout.
Le jeu de stratgies rsultant pour un ordinateur ou un utilisateur nest pas ce qui a t prvu.
LAssistant Rsultats de stratgie de groupe et GPResult.exe offrent souvent lanalyse la plus prcieuse
des problmes de traitement et dapplication des stratgies de groupe. Souvenez-vous que ces outils
examinent le fournisseur WMI RSoP pour fournir un rapport exact des vnements dun systme.
Lexamen du rapport RSoP vous indique souvent les objets de stratgie de groupe limits en tendue
de manire incorrecte ou les erreurs de traitement de la stratgie qui ont empch lapplication des
paramtres de lobjet de stratgie de groupe.
Dmonstration : Procdure dexcution de lanalyse de scnarios avec

lAssistant Modlisation de stratgie de groupe
Si vous dplacez un ordinateur ou un utilisateur entre les sites, les domaines ou les units dorganisation,
ou si modifiez son appartenance de groupe de scurit, les objets de stratgie de groupe limits en
tendue cet utilisateur ou ordinateur seront modifis. Par consquent, le RSoP pour lordinateur ou
lutilisateur sera diffrent. Le RSoP changera galement si la liaison est lente ou si le traitement par boucle
de rappel a lieu, ou sil y a une modification dune caractristique systme cible par un filtre WMI.
Avant dapporter lune de ces modifications, vous devez valuer limpact potentiel dun utilisateur ou un
ordinateur sur le RSoP. LAssistant Rsultats de stratgie de groupe peut excuter lanalyse RSoP
uniquement sur ce qui sest produit rellement. Pour prdire lavenir et effectuer les analyses de scnarios,
vous pouvez utiliser lAssistant Modlisation de stratgie de groupe.
Pour effectuer une modlisation de stratgie de groupe, cliquez avec le bouton droit sur le nud
Modlisation de stratgie de groupe dans larborescence de la console GPMC, cliquez sur lAssistant
Modlisation de stratgie de groupe, puis suivez les tapes indiques dans lAssistant.
La modlisation est effectue laide dune simulation sur un contrleur de domaine ; vous tes ainsi
dabord invit slectionner un contrleur de domaine. Vous navez pas besoin dtre connect
localement au contrleur de domaine, mais la requte de modlisation sera effectue sur le contrleur
de domaine. Vous tes alors invit spcifier les paramtres de la simulation, notamment :
Slectionner un objet utilisateur ou ordinateur valuer, ou spcifier lunit dorganisation, le site

ou le domaine valuer.
Indiquer si le traitement de liaison lente doit tre simul.
Spcifier si vous souhaitez simuler le traitement par boucle de rappel et, si oui, slectionner le mode
Remplacer ou Fusionner.
Slectionner un site simuler.
Slectionner les groupes de scurit pour lutilisateur et pour lordinateur.
Slectionner les filtres WMI appliquer dans la simulation du traitement de stratgie utilisateur
et ordinateur.
Une fois que vous avez spcifi les paramtres de la simulation, un rapport trs similaire celui des
rsultats de stratgie de groupe prsent prcdemment est gnr. Longlet Rsum montre une vue
densemble des objets de stratgie de groupe qui seront traits, et longlet Paramtres dtaille les
paramtres de stratgie qui seront appliqus lutilisateur ou lordinateur. Ce rapport peut lui aussi tre
enregistr en cliquant dessus avec le bouton droit, puis en slectionnant Enregistrer le rapport.
Demonstration
excuter GPResult.exe partir de linvite de commandes ;
excuter GPResult.exe partir de linvite de commandes, puis exporter les rsultats vers un
fichier HTML ;
ouvrir la console GPMC ;
excuter lAssistant Cration de rapport de stratgie de groupe, puis afficher les rsultats ;
excuter lAssistant Modlisation de stratgie de groupe, puis afficher les rsultats.
Utiliser GPResult.exe pour crer un rapport
1.
Sur lordinateur LON-DC1, ouvrez une invite de commandes.
2.
Excutez les commandes suivantes :

Gpresult /t
Gpresult /h results.html
3.
Ouvrez le rapport results.html dans Internet Explorer, puis examinez le rapport.
5-45
Crer un rapport laide de lAssistant Cration de rapport de stratgie de groupe

1.
Fermez linvite de commandes, puis ouvrez la console Gestion des stratgies de groupe.
2.
Dans le nud Rsultats de stratgie de groupe, lancez lAssistant Rsultats de stratgie de groupe.
3.
Remplissez lAssistant laide des valeurs par dfaut.
4.
Examinez le rapport, puis enregistrez-le au bureau.
Crer un rapport laide de lAssistant Modlisation de stratgie de groupe

1.
partir du nud Modlisation de stratgie de groupe, lancez lAssistant Modlisation de

stratgie de groupe.
2.
Spcifiez lutilisateur du rapport comme Ed Meadows et le conteneur dordinateur comme lunit

dorganisation informatique.
3.
Renseignez lAssistant en utilisant les valeurs par dfaut, puis examinez le rapport.
4.
Fermez la console Gestion des stratgies de groupe.
Examiner les journaux des vnements de stratgie

Windows Vista, Windows 7, Windows 8, Windows
Server 2008 et Windows Server 2012 amliorent
votre capacit dpanner la stratgie de groupe,
non seulement grce aux outils RSoP, mais
galement grce la journalisation amliore des
vnements de stratgie de groupe, notamment :
Le journal systme, o vous trouverez des

informations de haut niveau sur la stratgie
de groupe, y compris les erreurs cres par le
client de stratgie de groupe lorsquil ne peut
pas se connecter un contrleur de domaine
ou localiser des objets de stratgie de groupe.
Le journal des applications, qui capture des vnements enregistrs par les extensions CSE.
Le journal des oprations de stratgie de groupe, qui fournit des informations dtailles sur le
traitement de stratgie de groupe.
Pour rechercher des journaux de stratgie de groupe, ouvrez le composant logiciel enfichable
Observateur dvnements ou la console. Les journaux systme et dapplications se trouvent dans le nud
Journaux Windows. Le journal des oprations de stratgie de groupe se trouve dans
Journaux des applications et services\Microsoft \Windows\GroupPolicy\Oprations.
Atelier pratique : Implmentation dune infrastructure

de stratgie de groupe
Scnario
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour assister le
bureau de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Vous avez t invit utiliser la stratgie de groupe pour implmenter des paramtres de scurit
standardiss afin de verrouiller des crans dordinateur lorsque les utilisateurs laissent des ordinateurs
sans surveillance pendant 10 minutes ou plus. Vous devez galement configurer un paramtre de
stratgie qui empche laccs certains programmes sur les stations de travail locales.
Aprs un certain temps, il vous a t signal quune application critique choue au dmarrage de
lconomiseur dcran, et un ingnieur vous a demand dempcher que le paramtre ne sapplique
lquipe dingnieurs de recherche qui utilise lapplication quotidiennement. Vous avez t invit
galement configurer des ordinateurs de la salle de confrence de sorte quils utilisent un dlai
dexpiration de 45 minutes.
Aprs la cration des stratgies, vous devez valuer le jeu de stratgies rsultant pour les utilisateurs dans
votre environnement afin de vrifier que linfrastructure de stratgie de groupe est optimise et que
toutes les stratgies sont appliques comme prvu.
Objectifs
Crer et configurer un objet de stratgie de groupe.
grer ltendue de la stratgie de groupe ;
Rsoudre les problmes lis lapplication de la stratgie de groupe.
Grer les objets de stratgie de groupe.

22411B-LON-DC1
22411B-LON-CL1
Nom dutilisateur
Mot de passe
Pa$$w0rd

6-1
Module 6
Gestion des bureaux des utilisateurs avec la stratgie
de groupe
Table des matires :
6-1
Leon 1 : Implmentation des modles dadministration
6-2
Leon 2 : Configuration de la redirection de dossiers et des scripts
6-12
Leon 3 : Configuration des prfrences de stratgies de groupe
6-20
Leon 4 : Gestion des logiciels laide de la stratgie de groupe
6-39

6-46
6-53
laide des objets de stratgie de groupe, vous pouvez mettre en place des environnements de bureau
au sein de votre organisation en utilisant les modles dadministration, la redirection des dossiers, les
prfrences de stratgie de groupe et, le cas chant, utiliser le dploiement de logiciel afin dinstaller
et de mettre jour des programmes dapplication. Il est important de savoir utiliser ces diverses
fonctionnalits dobjet de stratgie de groupe de sorte que vous puissiez configurer les paramtres
des ordinateurs de vos utilisateurs correctement.
Objectifs
Dcrire et implmenter des modles dadministration.
Configurer la redirection de dossiers et les scripts laide des objets de stratgie de groupe.
Configurer les prfrences des objets de stratgie de groupe.
Dployer le logiciel laide des objets de stratgie de groupe.
Gestion des bureaux des utilisateurs avec la stratgie de groupe
Leon 1
Implmentation des modles dadministration

Les fichiers de modle dadministration fournissent la majorit des paramtres dobjet de stratgie
de groupe disponibles, qui modifient les cls de Registre spcifiques. Lutilisation des modles
dadministration est parfois dsign sous le nom de stratgie base sur le Registre. Pour de nombreuses
applications, lutilisation de la stratgie base sur le Registre que les fichiers de modle dadministration
fournissent est la voie la plus simple et la plus efficace de prendre en charge la gestion centralise des
paramtres de stratgie. Dans cette leon, vous allez apprendre configurer des modles
dadministration.
Dcrire des modles dadministration de stratgie de groupe.
Dcrire les fichiers ADM et ADMX, ou les modles dadministration.
Dcrire le magasin central.
Dcrire les scnarios dexemple dutilisation des modles dadministration.
Expliquer comment configurer les paramtres des modles dadministration.
Que sont les modles d'administration ?

Les modles d'administration vous offrent la
possibilit de contrler la fois l'environnement
du systme d'exploitation et l'exprience de
l'utilisateur. Il existe deux ensembles de modles
d'administration : l'un pour les utilisateurs et l'un
pour les ordinateurs.
Grce aux sections ddies aux modles
d'administration de l'objet de stratgie de
groupe, vous pouvez dployer des centaines
de modifications au Registre. Les modles
d'administration possdent les caractristiques
suivantes :
6-2
Ils sont organiss en sous-dossiers qui traitent des zones spcifiques de lenvironnement, telles que le
rseau, le systme et les composants Windows.
Les paramtres de la section informatique modifient la ruche HKEY_LOCAL_MACHINE dans le Registre

et les paramtres de la section utilisateur modifient la ruche HKEY_CURRENT_USER dans le Registre.
Quelques paramtres existent la fois pour lutilisateur et lordinateur. Par exemple, il existe un
paramtre empchant lexcution de Windows Messenger la fois dans le modle Utilisateur et dans
le modle Ordinateur. En cas de paramtres contradictoires, le paramtre de lordinateur est
prioritaire.
Quelques paramtres sont disponibles seulement pour certaines versions du systme dexploitation
Windows. Par exemple, un certain nombre de nouveaux paramtres peuvent seulement tre
appliqus Windows 7 et aux versions plus rcentes du systme dexploitation Windows. Doublecliquer sur un paramtre permet dafficher les versions prises en charge pour ce paramtre.
Que sont les fichiers ADM et ADMX ?

Fichiers ADM
En gnral, les fichiers ADM sont utiliss pour
dfinir les paramtres quun administrateur peut
configurer grce la stratgie de groupe. Chaque
systme dexploitation Windows et Service Pack
successif comprend une version plus rcente de
ces fichiers. Les fichiers ADM utilisent leur propre
langage de balisage. Par consquent, il est difficile
de personnaliser les fichiers ADM. Les modles
ADM sont situs dans le dossier
%SystemRoot%\Inf.
6-3
Lun des inconvnients majeurs des fichiers ADM est quils sont copis dans chaque objet de stratgie de
groupe cr et consomment environ 3 mgaoctets de (Mo) despace. Ceci peut augmenter normment
la taille du dossier du volume systme (SYSVOL) et accrotre le trafic de rplication.
Fichiers ADMX
Windows Vista et Windows Server 2008 ont prsent un nouveau format daffichage des paramtres de
stratgie bass sur le Registre. Ces paramtres sont dfinis laide dun format de fichier XML bas sur
des normes appel fichier ADMX. Ces nouveaux fichiers remplacent les fichiers ADM.
Les outils de stratgie de groupe sur Windows Vista et les systmes dexploitation les plus rcents, ainsi
que sur Windows Server 2008, continuent identifier les fichiers ADM personnaliss qui se trouvent dans
votre environnement existant, mais ignorent nimporte quel fichier ADM remplac par un fichier ADMX.
la diffrence des fichiers ADM, les fichiers ADMX ne sont pas enregistrs dans un objet de stratgie de
groupe. Lditeur dobjet de stratgie de groupe lit et affiche automatiquement les paramtres du
magasin local de fichiers ADMX. Par dfaut, les fichiers ADMX sont enregistrs dans le dossier
Windows\PolicyDefinitions, mais ils peuvent tre enregistrs dans un emplacement central.
Les fichiers ADMX sont indpendants de la langue. Les descriptions en langage simple des paramtres ne
font pas partie des fichiers ADMX. Elles sont enregistres dans des fichiers ADML spcifiques chaque
langue. Ceci signifie que les administrateurs qui parlent diverses langues, tels que langlais et lespagnol,
peuvent examiner le mme objet de stratgie de groupe et voir les descriptions de stratgie dans leur
propre langue, en utilisant leurs propres fichiers ADML correspondant chaque langue. Les fichiers ADML
sont stocks dans un sous-dossier du dossier PolicyDefinitions. Par dfaut, seuls les fichiers de langue
ADML pour la langue du systme dexploitation install sont ajouts.
Migrer les modles dadministration classiques vers ADMX
Loutil de migration ADMX est un composant logiciel enfichable pour Microsoft Management Console
(MMC) qui simplifie le processus de conversion de vos modles ADM existants de stratgie de groupe vers
le nouveau format ADMX et qui fournit une interface utilisateur graphique pour crer et modifier des
modles dadministration. Vous pouvez tlcharger loutil de migration ADMX partir du site Web de
Microsoft, la page http://go.microsoft.com/fwlink/?linkID=270013
Le magasin central
Pour des entreprises bases sur un domaine, vous
pouvez crer un emplacement de magasin central
pour les fichiers ADMX, accessible tout personne
possdant lautorisation de crer ou de modifier
lobjet de stratgie de groupe. Lditeur dobjet
de stratgie de groupe sur Windows Vista et
Windows Server 2008 (ou les versions plus
rcentes) lit et affiche automatiquement des
paramtres de stratgie de modle
dadministration partir des fichiers ADMX que
le magasin central met en cache, et ignore alors
ceux enregistrs localement. Si le contrleur de
domaine est indisponible, le magasin local est utilis.
6-4
Vous devez crer le magasin central, puis le mettre jour manuellement sur un contrleur de domaine.
Lutilisation des fichiers ADMX dpend du systme dexploitation de lordinateur sur lequel vous crez ou
modifier lobjet de stratgie de groupe. Par consquent, le contrleur de domaine peut tre un serveur
dot de Windows 2000 ou une version plus rcente. Le service de rplication de fichiers (FRS) ne
rpliquera pas le contrleur de domaine vers dautres contrleurs de ce domaine. Selon votre systme
dexploitation serveur et votre configuration, vous pouvez utiliser le service FRS ou la rplication de
systme de fichiers (DFS-R) pour rpliquer les donnes.
Pour crer un magasin central pour des fichiers .admx et .adml, crez un dossier nomm PolicyDefinitions
lemplacement suivant : \\FQDN\SYSVOL\NDC\stratgies
Par exemple, pour crer un magasin central pour le domaine Test.Microsoft.com, crez un dossier
PolicyDefinitions lemplacement suivant : \\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\Stratgies
Un utilisateur doit copier tous les fichiers et sous-dossiers du dossier PolicyDefinitions. Le dossier
PolicyDefinitions dun ordinateur bas sur Windows 7 se trouve dans le dossier Windows. Le dossier
PolicyDefinitions enregistre tous les fichiers .admx et fichiers .adml pour toutes les langues autorises sur
lordinateur client.
Remarque : Vous devez mettre le dossier PolicyDefinitions jour pour chaque Service Pack
et pour tout autre logiciel supplmentaire, tel que les fichiers ADMX de Microsoft Office 2010.
Discussion : Utilisations pratiques des modles dadministration

Passez quelques minutes examiner les modles
dadministration et envisagez les diffrentes
utilisations de certains dentre eux dans votre
organisation.
Soyez prpar partager des informations sur
lutilisation actuelle des objets de stratgie de
groupe et des scripts douverture de session faite
par votre organisation, telles que :
Comment fournissez-vous actuellement la

scurit de bureau ?
Combien daccs administratifs les utilisateurs

possdent-ils pour leurs systmes ?
Quels paramtres de stratgie de groupe trouverez-vous utiles dans votre organisation ?
Dmonstration : Configuration des paramtres laide de modles

dadministration
6-5
Les outils de modification de stratgie de groupe dans Windows Server 2012 fournissent plusieurs
fonctionnalits qui facilitent la configuration et la gestion des objets de stratgie de groupe. Dans cette
dmonstration, vous allez passer en revue ces options.
Filtrer les paramtres de stratgie pour les modles dadministration
Un inconvnient prsent dans les outils de modification de stratgie de groupe des versions prcdentes
de Windows est limpossibilit de rechercher un paramtre de stratgie spcifique. Avec des milliers de
stratgies possibles, il peut tre difficile de localiser exactement le paramtre que vous souhaitez
configurer. Lditeur de gestion des stratgies de groupe dans Windows Server 2012 rsout ce problme
pour les paramtres de modle dadministration. Vous pouvez dsormais crer des filtres pour localiser les
paramtres de stratgie spcifiques.
Pour crer un filtre :
1.
Cliquez avec le bouton droit sur Modles dadministration, puis cliquez sur Options de filtre.
2.
Pour localiser une stratgie spcifique, activez la case cocher Activer les filtres par mots cls,
saisissez les mots cls, puis slectionnez les champs dans lesquels effectuer la recherche.
Vous pouvez galement filtrer les paramtres de stratgie de groupe qui sappliquent des versions de
Windows spcifiques, Windows Internet Explorer et dautres composants Windows.
Malheureusement, le filtre sapplique uniquement aux paramtres des nuds des modles
dadministration.
Critres de filtrage bass sur des commentaires
6-6
Vous pouvez galement rechercher et filtrer en fonction des commentaires sur le paramtre de stratgie.
Windows Server 2012 vous permet dajouter des commentaires aux paramtres de stratgie dans le nud
des modles dadministration. Pour cela, double-cliquez sur un paramtre de stratgie, puis cliquez sur
longlet Commentaire.
Ajouter des commentaires des paramtres de stratgie configurs est considr comme une pratique
dexcellence. Vous devez documenter la justification pour un paramtre et son effet dsir. Vous devez
galement ajouter les commentaires lobjet de stratgie de groupe lui-mme. Windows Server 2012
vous permet de joindre des commentaires un objet de stratgie de groupe. Dans lditeur de gestion
des stratgies de groupe, dans larborescence de la console, cliquez avec le bouton droit sur le nud
racine, cliquez sur Proprits, puis cliquez sur longlet Commentaire.
Procdure de copie des paramtres dobjet de stratgie de groupe
Les objets de stratgie de groupe Starter ne peuvent contenir que des paramtres de stratgie de
modles dadministration. Cependant, en plus dutiliser des objets de stratgie de groupe Starter, il existe
deux autres moyens de copier des paramtres dun objet de stratgie de groupe dans un nouvel objet :
Vous pouvez copier et coller des objets de stratgie de groupe entiers dans le conteneur dobjets
de stratgie de groupe du GPMC, afin davoir un nouvel objet de stratgie de groupe possdant
tous les paramtres de lobjet de stratgie de groupe source.
Pour transfrer des paramtres entre les objets de stratgie de groupe dans diffrents domaines ou
forts, cliquez avec le bouton droit sur un objet de stratgie de groupe, puis cliquez sur Sauvegarde.
Dans le domaine cible, crez un nouvel objet de stratgie de groupe, cliquez avec le bouton droit sur
lobjet de stratgie de groupe, puis cliquez sur Importer des paramtres. Vous pourrez importer les
paramtres de lobjet de stratgie de groupe sauvegard.
Documentation supplmentaire : Recherche de stratgie de groupe

http://go.microsoft.com/fwlink/?linkID=270014
Filtrer les paramtres de stratgie du modle dadministration.
Appliquer des commentaires aux paramtres de stratgie des modles dadministration.
Ajouter des commentaires aux paramtres de stratgie des modles dadministration.
Crer un nouvel objet de stratgie de groupe en copiant un objet de stratgie de groupe existant.
Crer un nouvel objet de stratgie de groupe en important les paramtres auparavant exports
depuis un autre objet de stratgie de groupe.
Filtrer les paramtres de stratgie du modle dadministration
1.
Sur LON-DC1, ouvrez la console de gestion des stratgies de groupe .
2.
Crez un nouvel objet de stratgie de groupe (GPO) appel GPO1.
3.
Ouvrez GPO1 pour modification.
4.
Localisez le nud Configuration utilisateur, Stratgies, Modles dadministration.
5.
Filtrez les paramtres pour afficher uniquement ceux qui contiennent les mots cls cran de veille.
6.
Filtrez les paramtres pour afficher uniquement des valeurs configures.
Ajouter des commentaires un paramtre de stratgie

1.
Localisez la valeur de Personnalisation dans Configuration utilisateur\Stratgies\ Modles

dadministration\Panneau de configuration.
2.
Ajoutez un commentaire aux deux paramtres Le mot de passe protge lcran de veille et
Activer lcran de veille.
Ajouter des commentaires un objet de stratgie de groupe (GPO)
Ouvrez le nud racine de la stratgie GPO1, puis ajoutez un commentaire longlet Commentaire.
Crer un nouvel objet de stratgie de groupe en copiant un objet de stratgie

de groupe existant
6-7
Copiez GPO1, et collez-le dans le dossier dobjets de stratgie de groupe.
Crer un nouvel objet de stratgie de groupe en important les paramtres

auparavant exports depuis un autre objet
1.
Sauvegardez GPO1.
2.
Crez un nouvel objet de stratgie de groupe appel ADATUM Import.
3.
Importez les paramtres de la sauvegarde de GPO1 dans lobjet de stratgie de groupe

ADATUM Import.
Leon 2
Configuration de la redirection de dossiers et des scripts

Dans Windows Server 2012, les objets de stratgie de groupe vous permettent de dployer des scripts
sur des utilisateurs et des ordinateurs. Vous pouvez galement rediriger les dossiers qui sont compris
dans le profil dutilisateur vers un serveur central. Ces fonctionnalits vous permettent de configurer
les paramtres de bureau des utilisateurs plus facilement et de crer un environnement de bureau
standardis qui rpond vos besoins dorganisation o vous le souhaitez.
Dcrire la redirection de dossiers.
Expliquer les paramtres disponibles pour configurer la redirection de dossiers :
Dcrire les paramtres de scurit pour les dossiers redirigs.
Expliquer comment configurer la redirection de dossiers.
Dcrire les paramtres de stratgie de groupe pour appliquer des scripts.
Expliquer comment configurer les scripts laide des stratgies de groupe.
Qu'est-ce que la redirection de dossiers ?

Vous pouvez utiliser la fonctionnalit de
redirection de dossiers pour grer les donnes
de faon efficace et, ventuellement, sauvegarder
des donnes. En redirigeant des dossiers, vous
pouvez garantir un accs utilisateur aux donnes,
indpendamment des ordinateurs auxquels les
utilisateurs se connectent. La redirection de
dossiers possde les caractristiques suivantes :
6-8
Lorsque vous redirigez des dossiers, vous

modifiez lemplacement de stockage des
dossiers, depuis le disque dur local de
lordinateur de lutilisateur vers un dossier
partag sur un serveur de fichiers rseau.
Une fois redirig vers un serveur de fichiers, un dossier apparat encore lutilisateur comme sil tait
stock sur le disque dur local.
Vous pouvez utiliser la technologie des fichiers hors connexion en mme temps que la redirection
pour synchroniser des donnes dans le dossier redirig vers le disque dur local de lutilisateur. Ceci
garantit aux utilisateurs un accs leurs donnes si une panne de rseau se produit ou si lutilisateur
travaille hors connexion.
Avantages de la redirection de dossiers

Il y a beaucoup davantages la redirection de dossier, notamment :
6-9
Les utilisateurs qui se connectent plusieurs ordinateurs peuvent accder leurs donnes tant quils
peuvent accder au partage rseau.
Les dossiers en mode hors connexion permettent aux utilisateurs daccder leurs donnes mme
sils se dconnectent du rseau local (LAN).
Les donnes qui sont enregistres sur des serveurs en partages rseau sont sauvegardes.
La taille de profil itinrant peut tre rduite considrablement grce la redirection des donnes
du profil.
Paramtres de configuration de la redirection de dossiers

Dans un objet de stratgie de groupe, les
paramtres suivants sont disponibles pour
configurer la redirection de dossiers :
Aucun. Aucun constitue la valeur par dfaut.

La redirection de dossiers nest pas active.
De base. La redirection de base est

utilise pour :
o
Les utilisateurs qui doivent rediriger leurs

dossiers vers un espace commun.
Les utilisateurs qui ont besoin de

conserver leurs donnes prives.
Avance. La redirection avance vous permet de spcifier des emplacements rseau diffrents pour
diffrents groupes de scurit Active Directory.
Suivre le dossier Documents. Loption Suivre la redirection du dossier Documents est disponible
uniquement pour les dossiers Images, Musique et Vidos. Ce paramtre transforme le dossier
concern en sous-dossier du dossier Documents.
Emplacements du dossier cible pour les paramtres De base et Avanc
Si vous choisissez De base ou Avanc, vous pouvez choisir les emplacements de dossier cible suivants :
Crer un dossier pour chaque utilisateur sous le chemin daccs racine. Cette option cre un dossier
sous la forme \\serveur\partage\nom de compte dutilisateur\nom du dossier. Par exemple, si vous
souhaitez enregistrer les paramtres de bureau de vos utilisateurs dans un dossier partag appel
Documents sur un serveur appel LON-DC1, vous pouvez dfinir le chemin daccs de racine \\londc1\Documents.
Chaque utilisateur possde un chemin daccs unique pour que le dossier redirig vrifie que les
donnes demeurent prives. Par dfaut, cet utilisateur possde les droits daccs exclusifs ce dossier.
Dans le cas du dossier Documents, le contenu du dossier actuel est dplac vers le nouvel emplacement.
Rediriger vers lemplacement suivant. Cette option utilise un chemin daccs prcis pour
lemplacement de redirection. Avec cette option, plusieurs utilisateurs partagent le mme chemin
daccs pour le dossier redirig. Par dfaut, cet utilisateur possde les droits daccs exclusifs ce
dossier. Dans le cas du dossier Documents, le contenu du dossier actuel est dplac vers le nouvel
emplacement.
6-10 Gestion des bureaux des utilisateurs avec la stratgie de groupe
Rediriger vers lemplacement du profil utilisateur local. Cette option dplace lemplacement du dossier
vers le profil dutilisateur local sous le dossier Utilisateurs.
Rediriger vers le rpertoire daccueil de lutilisateur. Cette option est disponible uniquement dans le
dossier Documents.
Remarque : Aprs la cration et lapplication initiales dun objet de stratgie de groupe qui
fournit des paramtres de redirection de dossier, les utilisateurs doivent ouvrir deux sessions
avant que la redirection nentre en vigueur. Les utilisateurs doivent suivre cette procdure car ils
se connecteront avec des informations didentification mises en cache.
Question : Les utilisateurs du mme service se connectent souvent diffrents ordinateurs.
Ils ont besoin dun accs leur dossier Documents. Ils ont galement besoin de conserver
des donnes prives. Quel paramtre de redirection de dossiers choisiriez-vous ?
Paramtres de scurit pour les dossiers redirigs

Vous devez crer et configurer les autorisations
manuellement sur un dossier rseau partag afin
de stocker les dossiers redirigs. Cependant, la
redirection de dossiers peut galement crer les
dossiers redirigs de lutilisateur.
Les autorisations daccs au dossier sont traites
comme suit :
Lorsque vous utilisez cette option, les

autorisations daccs au sous-dossier
appropries sont automatiquement dfinies.
Si vous crez des dossiers manuellement, vous

devrez connatre les autorisations appropries. Cette diapositive illustre ces autorisations.
Dmonstration : Configuration de la redirection de dossiers

Crer un dossier partag.
Crer un objet de stratgie de groupe pour rediriger le dossier Documents.
Tester la redirection de dossiers.
Crer un dossier partag
1.
Sur LON-DC1, crez un dossier nomm C:\Redirect.
2.
Partagez le dossier avec Tout le monde avec lautorisation de lecture/criture.
Crer un objet de stratgie de groupe pour rediriger le dossier Documents
6-11
1.
Ouvrez la console Gestion des stratgies de groupe. Crez un objet de stratgie de groupe nomm
Redirection des dossiers, puis liez-le au domaine Adatum.
2.
Modifiez lobjet de stratgie de groupe Redirection des dossiers .
3.
Configurez les proprits du dossier Documents afin quil utilise le paramtre Dossier de redirection
De base de tout le monde vers le mme emplacement.
4.
Vrifiez que lemplacement du dossier cible est dfini sur Crer un dossier pour chaque
utilisateur sous le chemin daccs racine.
5.
Prcisez le chemin daccs de la racine : \\LON-DC1\Redirect.
6.
Tester la redirection de dossiers

1.
Ouvrez une session sur LON-CL1 en tant que ADATUM\Administrateur avec le mot de passe
Pa$$w0rd.
2.
Vrifiez les proprits du dossier Documents. Le chemin daccs sera \\LON-DC1\Redirect.
3.
Dconnectez-vous de LON-CL1.
Paramtres de stratgie de groupe pour appliquer des scripts

Vous pouvez utiliser des scripts de stratgie de
groupe pour effectuer un certain nombre de
tches. Vous pouvez avoir besoin deffectuer
certaines actions chaque fois quun ordinateur
dmarre ou sarrte, ou bien quand les utilisateurs
se connectent ou se dconnectent. Par exemple,
vous pouvez utiliser les scripts pour :
Nettoyer les bureaux lorsque les utilisateurs

ferment leurs sessions et arrtent leurs
ordinateurs.
Supprimer le contenu des rpertoires

temporaires.
Mapper les lecteurs ou les imprimantes.
Dfinir des variables denvironnement.
Les scripts qui sont attribus lordinateur sexcutent dans le contexte de scurit du compte Systme
local. Les scripts qui sont attribus lutilisateur qui ouvre une session sexcutent dans le contexte de
scurit de cet utilisateur.
Dautres paramtres de stratgie de groupe contrlent certains aspects du fonctionnement des scripts.
Par exemple, si plusieurs scripts sont attribus, vous pouvez contrler sils sexcutent de manire
synchrone ou asynchrone.
Vous pouvez crire des scripts en nimporte quelle langue de script que le client Windows peut
interprter, telle que VBScript et Jscript, ou bien via une commande ou un lot de fichiers.
Remarque : Dans Windows Server 2008 R2 et Windows Server 2012, linterface
utilisateur (UI) dans lditeur de stratgie de groupe pour les scripts douverture de session, de
fermeture de session, de dmarrage et darrt fournit un onglet supplmentaire pour les scripts
Windows PowerShell. Vous pouvez dployer votre script Windows PowerShell en lajoutant
cet onglet. Windows Server 2008 R2, Windows Server 2012, Windows 7 ou Windows 8 peuvent
excuter des scripts Windows PowerShell via la stratgie de groupe.
Les scripts sont stocks dans les dossiers partags sur le rseau. Vous devez vrifier que le client a accs
cet emplacement rseau. Si les clients ne peuvent pas accder lemplacement rseau, les scripts ne
fonctionnent pas. Bien que nimporte quel emplacement rseau enregistre des scripts, prenez lhabitude
dutiliser le partage Netlogon parce que tous les utilisateurs et ordinateurs qui sont authentifis pour les
services AD DS ont accs cet emplacement.
Pour la plupart de ces paramtres, utiliser les prfrences de stratgie de groupe est une meilleure
alternative que la configuration dans les images systme Windows ou lutilisation des scripts douverture de
session. Les prfrences de stratgie de groupe seront voques plus en dtail plus tard dans ce module.
Dmonstration : Configuration des scripts avec des objets de stratgie

de groupe
Crez un script douverture de session pour mapper un lecteur rseau.
Crer et lier un objet de stratgie de groupe pour utiliser le script et enregistrer le script dans le
partage Netlogon.
Vous connecter au client pour tester les rsultats.
Crer un script douverture de session pour mapper un lecteur rseau
1.
Sur LON-DC1, lancez le Bloc-notes, puis saisissez la commande suivante :

Net use t: \\LON-dc1\Redirect
2.
Enregistrez le fichier comme Map.bat.
3.
Copiez le fichier dans le bloc-notes.
Crer et lier un objet de stratgie de groupe pour utiliser le script et enregistrer

le script dans le partage Netlogon
6-13
1.
Utilisez la console de gestion des stratgies de groupe pour crer un nouvel objet de stratgie de
groupe nomm Drivemap, puis liez-le au domaine Adatum.com.
2.
Modifiez lobjet de stratgie de groupe pour configurer un script douverture de session utilisateur.
3.
Collez le script Map.bat dans le partage Netlogon.
4.
Ajoutez le script Map.bat aux scripts douverture de session.
Vous connecter au client pour tester les rsultats

1.
Sur la machine LON-CL1, connectez-vous en tant que ADATUM\Administrateur avec le mot de

passe Pa$$word.
2.
Vrifiez que le lecteur est mapp.
3.
Dconnectez-vous de LON-CL1.
Leon 3
Configuration des prfrences de stratgies de groupe
Dans les versions prcdentes de Windows Server, vous ne pouviez pas utiliser les stratgies de groupe
pour contrler les paramtres courants qui affectent lutilisateur et lenvironnement informatique, tels que
des lecteurs mapps. En gnral, ces paramtres taient livrs par des scripts douverture de session ou
des solutions de cration dimages.
Cependant, Windows Server 2012 comprend les prfrences de stratgie de groupe intgres la
console GPMC, qui activent des paramtres tels que des lecteurs mapps livrer via la stratgie de
groupe. En outre, vous pouvez configurer des prfrences en installant les outils dadministration
de serveur distant (RSAT) sur un ordinateur qui excute Windows 7 ou Windows 8. Cela vous permet de
fournir de nombreux paramtres courants grce la stratgie de groupe.
Dcrire les prfrences de stratgie de groupe.
Identifier les diffrences entre les paramtres de stratgie de groupe et les prfrences.
Dcrire les fonctionnalits des prfrences de stratgie de groupe.
Expliquer comment configurer les paramtres laide des prfrences.
Que sont les prfrences de stratgie de groupe ?

Les extensions de prfrence de stratgie de
groupe comprennent plus de 20 extensions de
stratgie de groupe qui dveloppent la plage
des paramtres configurables dans un objet de
stratgie de groupe. Vous pouvez maintenant
utiliser les prfrences pour appliquer un certain
nombre de paramtres qui devaient par le pass
tre appliqus par des scripts, tels que des
mappages lecteur.
Les prfrences de stratgie de groupe sont prises
en charge en mode natif sur Windows Server 2008
et les versions plus rcentes, ainsi que sur le
Service Pack 2 de Windows Vista (SP2) et les versions plus rcentes. Vous pouvez tlcharger et installer
des extensions ct client (CSE) des prfrences de stratgie de groupe pour Windows Server 2003,
Windows XP Service Pack 3 (SP3) et le Service Pack 1 de Windows Vista (SP1), afin de fournir la prise
en charge des prfrences sur ces systmes.
Les exemples des nouvelles extensions des prfrences de stratgie de groupe comprennent :
Les options des dossiers
Le mappage de lecteurs
Imprimantes
La planification des tches
Services
Menu Accueil
6-15
La configuration des prfrences de stratgie de groupe ne requiert aucun outil spcial ou installation
de logiciel. Elles font partie, en mode natif, de la GPMC dans Windows Server 2008 (et les versions plus
rcentes) et sont appliqus de la mme manire que des paramtres de stratgie de groupe, par dfaut.
Les prfrences possdent deux sections distinctes : les paramtres Windows et les paramtres du
panneau de configuration.
Quand vous configurez une nouvelle prfrence, vous pouvez excuter les quatre actions de base suivantes :
Crer. Crer un nouveau paramtre de prfrence pour lutilisateur ou lordinateur.
Supprimer. Supprimer un paramtre de prfrence existant pour lutilisateur ou lordinateur.
Remplacer. Supprimer et recrer un paramtre de prfrence pour lutilisateur ou lordinateur.

Les prfrences de stratgie de groupe remplacent alors tous les paramtres et fichiers existants
associs llment de prfrence.
Mettre jour. Modifier un paramtre de prfrence existant pour lutilisateur ou lordinateur.
Comparaison des prfrences de stratgie de groupe et des paramtres

dobjet de stratgie de groupe
Les prfrences sont semblables aux stratgies car
elles appliquent des configurations lutilisateur
ou lordinateur. Cependant, il existe plusieurs
diffrences dans la manire dont vous pouvez les
configurer et les appliquer. Lune de ces
diffrences rside dans le fait que les prfrences
ne sont pas appliques. Cependant, vous pouvez
configurer des prfrences rappliquer
automatiquement.
Voici une liste dautres diffrences entre les
paramtres de stratgie de groupe et les
prfrences :
Les paramtres de prfrence ne sont pas appliqus.
Les paramtres de stratgie de groupe dsactivent linterface utilisateur pour les paramtres que la
stratgie gre. Les prfrences nagissent pas ainsi.
Les paramtres de stratgie de groupe sont appliqus intervalles rguliers. Vous pouvez appliquer
des prfrences une fois seulement ou intervalles rguliers.
Lutilisateur final peut modifier nimporte quel paramtre de prfrence qui est appliqu par la
stratgie de groupe, mais les paramtres de stratgie empchent les utilisateurs de les modifier.
Dans certains cas, vous pouvez configurer les mmes paramtres via un paramtre de stratgie aussi
bien quun lment de prfrence. Si des paramtres de stratgie de groupe et de prfrence
contradictoires sont configurs et appliqus au mme objet, la valeur du paramtre de stratgie
sapplique toujours.
Fonctionnalits des prfrences de stratgie de groupe

Aprs avoir cr une prfrence de stratgie de
groupe, vous devez configurer ses proprits.
Diffrentes prfrences ncessiteront diffrentes
informations dentre. Par exemple, les
prfrences de raccourci ncessitent des chemins
daccs cibles, tandis que les variables
denvironnement ncessitent des types et des
valeurs variables. Les prfrences fournissent
galement un certain nombre de fonctionnalits
dans les proprits communes afin daider le
dploiement.
Onglet Proprits gnrales
Longlet Proprits gnrales est lendroit o des donnes de base sont fournies. La premire tape est
de prciser laction associe la prfrence : crer, supprimer, remplacer ou mettre jour. Diffrents
paramtres seront disponibles, selon laction initiale slectionne. Par exemple, si vous crez un mappage
de lecteur, vous devez fournir un chemin daccs UNC et une option pour la lettre de lecteur, que vous
souhaitez attribuer.
Onglet Proprits communes

Les proprits communes sont cohrentes pour toutes les prfrences. Vous pouvez utiliser longlet
Proprits communes pour contrler le comportement de la prfrence comme suit :
Arrter de traiter des lments dans cette extension si une erreur se produit. Si une erreur se produit
pendant le traitement dune prfrence, aucune autre prfrence dans cet objet de stratgie de
groupe ne sera traite.
Excuter dans le contexte de scurit de lutilisateur connect. Les prfrences peuvent sexcuter en
tant que le systme reconnat lutilisateur connect. Ce paramtre force le contexte de scurit de
lutilisateur connect.
Supprimer llment lorsquil nest plus appliqu. la diffrence des paramtres de stratgie, les
prfrences ne sont pas supprimes lorsque lobjet de stratgie de groupe qui les a livres est
supprim. Ce paramtre modifiera ce comportement.
Appliquer une fois et ne pas rappliquer. Normalement, les prfrences sont actualises au mme
intervalle que les paramtres de stratgie de groupe. Ce paramtre modifie ce comportement pour
appliquer le paramtre une seule fois louverture de session ou au dmarrage.
6-17
Utiliser le ciblage au niveau de llment. Lune des fonctionnalits les plus puissantes des prfrences
est le ciblage au niveau de llment. Vous pouvez utiliser cette fonctionnalit pour spcifier des
critres facilement, afin de pouvoir dterminer exactement quels utilisateurs ou ordinateurs recevront
une prfrence. Les critres comprennent, sans sy limiter :
o
Nom de lordinateur
Plage dadresses IP
Systme dexploitation
Groupe de scurit
Utilisateur
Requtes WMI (Windows Management Instrumentation)
Dmonstration : Configuration des prfrences de stratgies de groupe

Configurer un raccourci bureau avec des prfrences de stratgie de groupe.
Cibler la prfrence.
Configurer un nouveau dossier avec des prfrences de stratgie de groupe.
Cibler la prfrence.
Tester la prfrence.
Configurer un raccourci sur le bureau avec des prfrences de stratgie de groupe

1.
Sur la machine LON-DC1, ouvrez la console de gestion de stratgie de groupe puis

Default Domain Policy pour modification.
2.
Accdez Configuration ordinateur\Prfrences\Paramtres Windows\Raccourcis.
3.
Crez un nouveau raccourci vers le programme Notepad.exe.
Cibler la prfrence
Visez la prfrence pour lordinateur LON-CL1.
Configurer un nouveau dossier avec des prfrences de stratgie de groupe

1.
Accdez Configuration utilisateur\Prfrences\Paramtres Windows\Dossiers.
2.
Crez un dossier pour le dossier C:\Rapports.
Cibler la prfrence
Visez cette prfrence pour les ordinateurs qui excutent le systme dexploitation Windows 8.
Tester les prfrences

1.
Basculez vers la machine LON-CL1 et actualisez les stratgies de groupe en utilisant la commande
suivante linvite de commandes :
gpupdate /force
2.
Connectez-vous et vrifiez la prsence du dossier C:\Rapports et du raccourci vers le Bloc-notes sur

le Bureau.
Leon 4
Gestion des logiciels laide de la stratgie de groupe

Windows Server 2012 comporte une fonctionnalit appele Installation et maintenance du logiciel qui
utilise les services AD DS, la stratgie de groupe et le service Windows Installer pour installer, grer et
supprimer des logiciels sur les ordinateurs de votre organisation. Dans cette leon, vous allez apprendre
grer des logiciels avec des stratgies de groupe.
Dcrire la faon dont la distribution de logiciels grce la stratgie de groupe rpond au cycle de vie
de logiciel.
Dcrire la faon dont Windows Installer amliore la distribution de logiciels.
Dcrire la diffrence entre attribution et publication de logiciels.
Expliquer la faon de grer les mises jour de logiciel laide des stratgies de groupe.
De quelle faon la distribution de logiciels au moyen de la stratgie

de groupe rpond au cycle de vie de logiciel
Le cycle de vie des logiciels est compos de quatre
phases : prparation, dploiement, maintenance et
suppression. Vous pouvez utiliser la stratgie de
groupe pour grer toutes les phases, except la
prparation. Vous pouvez appliquer des
paramtres de stratgie de groupe des
utilisateurs ou des ordinateurs sur un site,
un domaine ou une unit dorganisation pour
automatiser linstallation, la mise niveau ou la
suppression de logiciels.
Lapplication de paramtres de stratgie de groupe
des logiciels vous permet de grer les diverses
phases du dploiement de logiciels sans dployer ceux-ci individuellement sur chaque ordinateur.
Comment Windows Installer amliore la distribution de logiciels

Windows Server 2012 utilise le service Windows
Installer pour permettre la stratgie de groupe
de dployer et de grer des logiciels. Ce
composant automatise linstallation et la
suppression dapplications en appliquant durant le
processus dinstallation un jeu de rgles de
configuration dfinies de faon centralise. Le
service Windows Installer installe les fichiers de
package Microsoft Installer (MSI). Les fichiers MSI
contiennent une base de donnes qui enregistre
toutes les instructions requises pour installer
lapplication. De petits applications peuvent tre
entirement enregistres en tant que fichiers MSI, tandis que des applications plus importantes
possderont beaucoup de fichiers sources associs rfrencs par MSI. Beaucoup de fournisseurs de
logiciels fournissent des fichiers MSI pour leurs applications.
Le service Windows Installer possde les caractristiques suivantes :
6-19
Ce service fonctionne avec des privilges levs, de sorte que le logiciel puisse tre install par
le service Windows Installer, peu importe lutilisateur connect au systme. Les utilisateurs ont
uniquement besoin de laccs au point de distribution de logiciels.
Les applications sont tolrantes aux pannes. Si une application est corrompue, le service Installer
dtectera et rinstallera ou rparera lapplication.
Windows Installer ne peut pas installer des fichiers .exe. Pour distribuer un package logiciel qui
sinstalle avec un fichier .exe, le fichier .exe doit tre converti en fichier .msi laide dun utilitaire tiers.
Question : Les utilisateurs ont-ils besoin de droits dadministration pour installer
manuellement les applications qui possdent des fichiers MSI ?
Question : Pouvez-vous nous citer quelques inconvnients du dploiement de logiciels par
la stratgie de groupe ?
Publication et attribution de logiciels

Il existe deux types de dploiement
disponibles pour livrer le logiciel aux clients.
Les administrateurs peuvent soit installer le
logiciel pour des utilisateurs ou des ordinateurs
lavance en attribuant le logiciel, soit donner aux
utilisateurs loption dinstaller le logiciel quand ils
en ont besoin en publiant le logiciel dans AD DS.
Les sections de configuration utilisateur et
ordinateur dun objet de stratgie de groupe
possdent une section de paramtres de logiciel.
Vous pouvez ajouter un logiciel un objet de
stratgie de groupe en ajoutant un nouveau
package au nud dinstallation de logiciel, puis en prcisant sil faut lattribuer ou le publier.
Vous pouvez galement choisir le dploiement avanc dun package. Utilisez cette option pour appliquer
un fichier de personnalisation un package pour un dploiement personnalis. Par exemple, dans le cas
o vous utilisez loutil de personnalisation Office pour crer un fichier de personnalisation de
configuration pour dployer Microsoft Office 2010.
Attribution de logiciel
Lattribution de logiciel possde les caractristiques suivantes :
Lorsque vous attribuez un logiciel un utilisateur, le menu Accueil de lutilisateur publie le logiciel
lorsquil se connecte. Linstallation ne commence pas tant que lutilisateur na pas double-cliqu sur
licne de lapplication ou sur un fichier qui lui est associ.
Les utilisateurs ne partagent pas des applications dployes. Lorsque vous attribuez le logiciel un
utilisateur, une application que vous installez pour un utilisateur au moyen de la stratgie de groupe
ne sera pas disponibles dautres utilisateurs.
En gnral, lorsque vous attribuez une application un ordinateur, elle sinstallera la prochaine fois
que lordinateur dmarrera. Lapplication sera la disposition de tous les utilisateurs de lordinateur.
Publication du logiciel
La publication de logiciel possde les caractristiques suivantes :
Le raccourci de Programmes dans le panneau de configuration affiche un programme publi

lutilisateur. Les utilisateurs peuvent installer lapplication laide de lapplet de programmes,
ou vous pouvez la configurer de sorte que lactivation du document installe lapplication.
Les applications que les utilisateurs nont pas lautorisation dinstaller ne sont pas publies pour eux.
Les applications ne peuvent pas tre publies pour des ordinateurs.
Remarque : Lorsque vous configurez la stratgie de groupe pour dployer des

applications, elles doivent tre mappes des chemins daccs UNC. Si vous utilisez des chemins
locaux, le dploiement chouera.
Administration des mises niveau de logiciels laide de la stratgie

de groupe
Les fournisseurs de logiciels publient des mises
jour de logiciels de temps en temps. Celles-ci
abordent habituellement des problmes mineurs,
tels quune mise jour ou des amliorations de
fonctionnalit, qui ne justifient pas une
rinstallation complte. Microsoft publie des
correctifs logiciels comme des fichiers .MSP.
6-21
Les mises jour majeures qui fournissent de

nouvelles fonctionnalits requirent la mise
niveau dun package logiciel vers une version plus
rcente. Vous pouvez utiliser longlet Mises
niveau pour mettre un package niveau laide
de lobjet de stratgie de groupe. Quand vous effectuerez des mises niveau laide de la stratgie de
groupe, vous remarquerez les caractristiques suivantes :
Vous pouvez redployer un package si le fichier Windows Installer dorigine a t modifi.
Les mises niveau supprimeront souvent lancienne version dune application et installeront une
version plus rcente, conservant habituellement les paramtres dapplication.
Vous pouvez supprimer des packages logiciels sils ont t livrs lorigine laide de la stratgie de
groupe. Cest utile si une application sectorielle (LOB) est remplace par une application diffrente. La
suppression peut tre obligatoire ou facultative.

Scnario
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs London pour
assister le sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
A. Datum vient juste douvrir une nouvelle filiale. Les utilisateurs dans ce bureau ont besoin dune
mthode automatise pour mapper des lecteurs aux ressources du serveur partages et vous dcidez
dutiliser les prfrences de stratgie de groupe. En outre, vous avez t invit crer un raccourci
lapplication Bloc-notes pour tous les utilisateurs qui appartiennent au groupe de scurit informatique.
Pour aider rduire des tailles de profil, vous avez t invit configurer la redirection de dossiers pour
rediriger plusieurs dossiers de profil vers le lecteur de base de chaque utilisateur.
Objectifs
Implmenter des paramtres laide des prfrences de stratgie de groupe.
Configurer la redirection de dossiers.

22411B-LON-DC1
22411B-LON-CL1
Nom dutilisateur
Mot de passe
Pa$$w0rd

7-1
Module 7
Configuration et rsolution des problmes daccs distance

Table des matires :
7-1
Leon 1 : Configuration de laccs rseau
7-2
Leon 2 : Configuration de laccs VPN
7-11
Leon 3 : Vue densemble des stratgies rseau
7-22
Leon 4 : Rsolution des problmes du service de routage

et daccs distance
7-29
7-36
Leon 5 : Configuration de DirectAccess
7-41
7-56
7-66
La plupart des organisations ont des utilisateurs qui travaillent distance, peut-tre depuis leur domicile
ou sur des sites client. Pour faciliter ces connexions distance, vous devez mettre en uvre des
technologies daccs distance pour prendre en charge cette main-duvre distribue. Vous devez vous
familiariser avec les technologies qui permettent aux utilisateurs distants de se connecter linfrastructure
rseau de votre organisation. Ces technologies comprennent les rseaux privs virtuels (VPN) et
DirectAccess, une fonctionnalit des systmes dexploitation Windows 7 et Windows 8. Il est important
que vous compreniez comment configurer et scuriser vos clients daccs distance laide des stratgies
rseau. Ce module dcrit ces technologies daccs distance.
Objectifs
configurer laccs rseau ;
crer et configurer une solution VPN ;
dcrire le rle des stratgies rseau ;
dpanner le service de routage et daccs distance ;
configurer DirectAccess.
Leon 1
Configuration de laccs rseau
7-2
Laccs rseau au sein du systme dexploitation Windows Server 2012 fournit les services requis
permettant aux utilisateurs distants de se connecter votre rseau. Pour prendre en charge les besoins de
votre organisation et de vos utilisateurs distants, il est important que vous puissiez installer et configurer
ces composants daccs rseau Windows Server 2012 avec succs.
dcrire les composants dune infrastructure de services daccs rseau ;
dcrire le rle Services de stratgie et daccs rseau ;
dcrire le service Routage et accs distant ;
expliquer ce que sont lautorisation et lauthentification de laccs rseau ;
expliquer les mthodes dauthentification utilises dans le cadre dun accs rseau ;
dcrire une infrastructure cl publique (PKI) ;
expliquer le mode dutilisation des serveurs DHCP (Dynamic Host Configuration Protocol) avec le
service Routage et accs distant.
Composants dune infrastructure de services daccs rseau

Linfrastructure sous-jacente dune infrastructure
de services daccs rseau complte dans
Windows Server 2012 inclut gnralement les
composants suivants :
Serveur de rseau priv virtuel (VPN). Fournit

la connectivit daccs distance en fonction
de diffrents protocoles de tunneling VPN sur
un rseau public, comme Internet.
Services de domaine Active Directory

(AD DS). Rpondent aux demandes
dauthentification lors des tentatives de
connexion des clients daccs distance.
Services de certificats Active Directory (AD CS). Vous pouvez utiliser des certificats numriques pour
fournir lauthentification dans des scnarios daccs distance. En dployant AD CS, vous pouvez
crer une infrastructure cl publique dans votre organisation afin de prendre en charge la
dlivrance, la gestion et la rvocation des certificats.
Serveur DHCP. Fournit une configuration IP aux connexions daccs distance entrantes acceptes
pour la connectivit rseau au rseau local de lentreprise.
Network Policy Server (NPS). Fournit des services dauthentification pour dautres composants
daccs rseau.
Composants de protection daccs rseau (NAP) :
7-3
Serveur de stratgie de contrle dintgrit NAP. value lintgrit du systme par rapport aux
stratgies de contrle dintgrit configures qui dcrivent des spcifications dintgrit et des
comportements de mise en uvre ; par exemple, les clients qui se connectent doivent tre en
conformit pour accder au rseau.
Autorit HRA (Health Registration Authority). Obtient des certificats dintgrit pour les clients
qui passent avec succs la vrification de la stratgie de contrle dintgrit.
Serveurs de mise jour. Proposent des services de mise jour aux clients qui ne rpondent pas
aux conditions dintgrit du rseau dentreprise. Les serveurs de mise jour sont des serveurs
spciaux sur un rseau limit.
Quest-ce que le rle Services de stratgie et daccs rseau ?

Le rle Services de stratgie et daccs rseau dans
Windows Server 2012 fournit les solutions de
connectivit rseau suivantes :
Applique les stratgies de contrle dintgrit.

tablit et applique automatiquement les
stratgies de contrle dintgrit. Ces
stratgies dfinissent les configurations
requises en matire de logiciels, de matriel
et de mise jour de scurit.
Fournit un accs sans fil et cbl scuris.

Lorsque vous dployez des points daccs sans
fil 802.1X, laccs sans fil scuris offre aux
utilisateurs sans fil une mthode dauthentification facile dployer reposant sur un certificat ou un
mot de passe scuris. Lorsque vous dployez des commutateurs dauthentification 802.1X, ces
derniers vous permettent de scuriser votre rseau cbl en veillant ce que les utilisateurs de
lintranet soient authentifis avant quils ne puissent se connecter au rseau ou obtenir une adresse IP
laide du protocole DHCP.
Centralise la gestion de la stratgie rseau avec un serveur et un proxy RADIUS (Remote

Authentication Dial-in User Service). Plutt que configurer la stratgie daccs rseau au
niveau de chaque serveur daccs rseau (tel que les points daccs sans fil, les commutateurs
dauthentification 802.1X, les serveurs VPN et les serveurs daccs distance), vous pouvez crer un
seul et mme emplacement des stratgies qui spcifient tous les aspects des demandes de connexion
rseau. Ces stratgies peuvent inclure qui est autoris se connecter, quel moment et quel niveau
de scurit doit tre utilis pour la connexion votre rseau.
Remarque : Les composants daccs distance constituent un rle serveur distinct dans
Quest-ce que le rle Accs distance ?

Le rle Accs distance permet de fournir aux
utilisateurs laccs distance au rseau de votre
organisation laide de lune des technologies
suivantes :
7-4
Accs VPN. Un VPN fournit une connexion

point point entre les composants dun
rseau priv via un rseau public, comme
Internet, par exemple. Les protocoles de
tunneling permettent un client VPN
dtablir et de grer une connexion au port
virtuel dcoute dun serveur VPN. Vous
pouvez galement connecter des succursales
votre rseau laide de solutions VPN, dployer des routeurs logiciels complets sur votre rseau
et partager des connexions Internet sur lintranet.
DirectAccess. DirectAccess active laccs distance transparent aux ressources intranet sans tablir
de connexion VPN au pralable. DirectAccess fournit une connectivit transparente linfrastructure
dapplications pour les utilisateurs internes et distants.
Vous pouvez dployer les technologies suivantes au cours de linstallation du rle Accs distance :
Service daccs distance (RAS) DirectAccess et VPN. Le service daccs distance DirectAccess
et VPN permet dactiver et de configurer :
o
des solutions DirectAccess pour votre organisation ;
des connexions VPN pour fournir aux utilisateurs finaux laccs distance au rseau de votre
organisation.
Service de routage. Il fournit un routeur logiciel complet ainsi quune plateforme ouverte pour le
routage et linterconnexion. Il offre des services de routage aux entreprises dans le rseau local
et les environnements de rseau tendu.
Lorsque vous choisissez le routage, la traduction dadresses rseau (NAT) est galement installe.
Lorsque vous dployez la traduction NAT, le serveur qui excute laccs distance est configur
pour partager une connexion Internet avec les ordinateurs dun rseau priv et pour traduire le
trafic entre son adresse publique et le rseau priv. Avec la traduction NAT, les ordinateurs du rseau
priv profitent dune certaine protection dans la mesure o le routeur sur lequel vous configurez la
traduction NAT ne transfre pas le trafic Internet dans le rseau priv, moins quun client du rseau
priv ne le demande ou que le trafic soit explicitement autoris.
Lorsque vous dployez une connexion VPN et la traduction NAT, vous configurez le serveur qui
excute laccs distance pour fournir la traduction NAT au rseau priv et accepter les connexions
VPN. Les ordinateurs sur Internet ne pourront pas dterminer les adresses IP des ordinateurs sur le
rseau priv. Toutefois, les clients VPN pourront se connecter aux ordinateurs sur le rseau priv
comme sils taient connects au mme rseau.
Authentification rseau et autorisation

Il est essentiel de bien saisir la diffrence
entre lauthentification et lautorisation pour
comprendre pourquoi les tentatives de
connexion sont acceptes ou refuses.
7-5
Lauthentification est la vrification des

informations didentification lors de la
tentative de connexion. Ce processus consiste
envoyer les informations didentification du
client daccs distance au serveur daccs
distance sous forme de texte en clair ou
sous forme chiffre laide dun protocole
dauthentification.
Lautorisation est la procdure par laquelle le serveur vrifie que la tentative de connexion est
autorise. La phase dautorisation ne se droule quen cas de russite de la phase dauthentification.
Pour quune tentative de connexion soit accepte, elle doit tre authentifie et autorise. Il est possible
quelle soit authentifie en utilisant des informations didentification valides, mais quelle ne soit pas
autorise ; dans ce cas, la tentative de connexion est refuse.
Si vous configurez un serveur daccs distance pour lauthentification Windows, les fonctionnalits de
scurit de Windows Server 2012 vrifient les informations dauthentification, tandis que les proprits de
numrotation du compte dutilisateur et les stratgies daccs distance stockes localement autorisent la
connexion. Si la tentative de connexion est la fois authentifie et autorise, elle est alors accepte.
Si vous configurez le serveur daccs distance pour lauthentification RADIUS, les informations
didentification de la tentative de connexion sont transmises au serveur RADIUS des fins
dauthentification et dautorisation. Si la tentative de connexion est la fois authentifie et autorise,
le serveur RADIUS renvoie un message dacceptation au serveur daccs distance et la tentative de
connexion est accepte. Si la tentative de connexion nest pas authentifie ou nest pas autorise, le
serveur RADIUS renvoie un message de refus au serveur daccs distance et la tentative de connexion
est refuse.
Mthodes dauthentification
Lauthentification des clients daccs constitue un
problme important en matire de scurit. En
rgle gnrale, les mthodes dauthentification
utilisent un protocole dauthentification qui est
ngoci lors de ltablissement de la connexion.
Les mthodes suivantes sont prises en charge par
le rle Accs distance.
PAP
Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en clair et est le moins
scuris des protocoles dauthentification. Il est gnralement ngoci si le client et le serveur daccs
distance ne parviennent pas ngocier une forme plus scurise de validation. Le protocole PAP, inclus
dans Microsoft Windows Server 2012, prend en charge des systmes dexploitation clients antrieurs ne
prenant en charge aucune autre mthode dauthentification.
CHAP
7-6
Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole dauthentification

par demande daccs/rponse qui utilise le schma de hachage MD5 standard pour chiffrer la rponse.
Plusieurs fournisseurs de clients et serveurs daccs rseau utilisent le protocole CHAP. Dans la mesure o
le protocole CHAP requiert lutilisation dun mot de passe chiffr rversible, vous devez envisager dutiliser
un autre protocole dauthentification, comme Microsoft Challenge Handshake Authentication Protocol
(MS-CHAP) version 2.
MS-CHAP V2
Le protocole MS-CHAP v2 est un processus dauthentification mutuelle par mot de passe chiffr sens
unique. Il fonctionne comme suit :
1.
Lauthentificateur (serveur daccs distance ou ordinateur qui excute NPS) envoie au client daccs
distance une demande daccs. Celle-ci se compose dun identificateur de session et dune chane
de demande daccs arbitraire.
2.
Le client daccs distance envoie une rponse qui contient un chiffrement sens unique de la
chane de demande daccs reue, la chane de demande daccs de lhomologue arbitraire,
lidentificateur de session et le mot de passe de lutilisateur.
3.
Lauthentificateur vrifie la rponse du client et renvoie une rponse contenant une indication de la
russite ou de lchec de la tentative de connexion et une rponse authentifie reposant sur la chane
de demande daccs envoye, la chane de demande daccs de lhomologue, la rponse chiffre du
client et le mot de passe de lutilisateur.
4.
Le client daccs distance vrifie la rponse dauthentification et utilise la connexion si celle-ci est
valide. Si la rponse dauthentification est incorrecte, le client daccs distance met fin la connexion.
EAP
Le protocole EAP (Extensible Authentication Protocol) est un mcanisme dauthentification
arbitraire qui permet dauthentifier une connexion daccs distance. Le client daccs distance
et lauthentificateur (le serveur daccs distance ou le serveur RADIUS) ngocient le modle
dauthentification exact utiliser. Le service Routage et accs distant inclut la prise en charge du
protocole EAP-TLS (EAP-Transport Layer Security) par dfaut. Vous pouvez de ce fait connecter dautres
modules EAP au serveur excutant le service Routage et accs distant de manire fournir dautres
mthodes EAP.
Autres options
Outre les mthodes dauthentification prcdemment mentionnes, il existe deux autres options que
vous pouvez activer lors de la slection dune mthode dauthentification :
7-7
Accs non authentifi. Il ne sagit pas dune mthode dauthentification proprement parler, mais
plutt de labsence dune mthode. Laccs non authentifi permet aux systmes distants de se
connecter sans authentification. Toutefois, cette option ne doit en aucun cas tre active dans un
environnement de production, car elle constitue un risque pour votre rseau. Nanmoins, elle peut
parfois savrer utile pour rsoudre les problmes dauthentification dans un environnement de test.
Certificat dordinateur pour IKEv2 (Internet Key Exchange version 2). Slectionnez cette option pour
utiliser la Reconnexion VPN.
Quest-ce quune infrastructure cl publique ?

Une infrastructure cl publique se compose de
plusieurs composants qui permettent de scuriser
les communications et transactions de lentreprise,
notamment celles utilises dans des scnarios
daccs distance. Diffrents composants
fonctionnent ensemble pour fournir une solution
PKI complte. Les composants PKI de Windows
Server 2012 sont les suivants :
Autorit de certification (CA). Lautorit de

certification met et gre les certificats
numriques pour les utilisateurs, les
ordinateurs et les services. En dployant
lautorit de certification, vous tablissez linfrastructure cl publique dans votre organisation.
Certificats numriques. Les certificats numriques sapparentent un passeport lectronique. Un

certificat numrique est utilis pour justifier lidentit de lutilisateur (ou de toute autre entit). Il
contient des informations didentification lectroniques associes une cl publique et une cl
prive, utilises pour authentifier des utilisateurs et dautres priphriques tels que des serveurs Web
et des serveurs de messagerie. Les certificats numriques garantissent galement quun logiciel ou du
code est excut partir dune source approuve. Ils contiennent diffrents champs, tels que Objet,
metteur et Nom commun. Ces champs sont utiliss pour dterminer lutilisation spcifique du
certificat. Par exemple, un certificat de serveur Web peut comporter le champ Nom commun de
web01.contoso.com, ce qui rendrait ce certificat valide uniquement pour ce serveur Web. Si une
tentative venait tre effectue pour utiliser ce certificat sur un serveur Web nomm
web02.contoso.com, lutilisateur de ce serveur recevrait alors un avertissement.
Modles de certificats. Ce composant dcrit le contenu ainsi que lobjectif dun certificat numrique.
Lors de la demande dun certificat auprs dune autorit de certification dentreprise AD CS, le
demandeur de certificat peut, en fonction de ses droits daccs, faire un choix parmi plusieurs types
de certificats bass sur des modles de certificats, tels que les modles Utilisateur et Signature du
code. Le modle de certificat enregistre les utilisateurs de bas niveau et les dcisions techniques
relatives au type de certificat dont ils ont besoin. En outre, il permet aux administrateurs didentifier
le demandeur et le type de certificat demand.
Listes de rvocation de certificats et rpondeurs en ligne.
7-8
Les listes de rvocation de certificats consistent en des listes compltes numriquement signes
de certificats rvoqus. Ces listes sont publies priodiquement et peuvent tre rcupres et
mises en cache par les clients, selon la dure de vie configure de la liste de rvocation de
certificats. Elles sont utilises pour vrifier ltat de la rvocation dun certificat.
Les rpondeurs en ligne font partie du service de rle OCSP (Online Certificate Status Protocol)
de Windows Server 2008 et Windows Server 2012. Un rpondeur en ligne peut recevoir une
demande de vrification de la rvocation dun certificat sans que le client ait besoin de
tlcharger la liste de rvocation de certificats complte. Cette opration acclre le processus
de vrification de la rvocation de certificats et rduit la bande passante rseau. Elle amliore
galement lvolutivit et la tolrance de panne en permettant la configuration de groupe
des rpondeurs en ligne.
Applications et services bass sur une cl publique. Il sagit des applications ou des services qui
prennent en charge le chiffrement par cl publique. En dautres termes, lapplication ou les services
doivent pouvoir prendre en charge les implmentations de cl publique pour en tirer profit.
Outils de gestion des certificats et des autorits de certification. Les outils de gestion fournissent les
outils bass sur linterface graphique utilisateur et sur la ligne de commande pour :
o
configurer les autorits de certification ;
rcuprer les cls prives archives ;
importer et exporter les certificats et les cls ;
publier les certificats des autorits de certification et les listes de rvocation de certificats ;
grer les certificats mis.
Accs aux informations de lautorit (AIA) et points de distribution de la liste de rvocation de certificats
(CDP). Les points daccs aux informations de lautorit dterminent lemplacement de recherche
et de validation des certificats des autorits de certification, et les emplacements de points de
distribution de la liste de rvocation de certificats dterminent les points de recherche des listes de
rvocation de certificats pendant le processus de validation du certificat. Dans la mesure o les listes
de rvocation de certificats peuvent devenir volumineuses (en fonction du nombre de certificats mis
et rvoqus par une autorit de certification), vous pouvez galement publier des listes de rvocation
de certificats temporaires plus limites appeles listes de rvocation de certificats delta. Les listes de
rvocation de certificats delta contiennent uniquement les certificats rvoqus depuis la publication
de la dernire liste CRL standard. Cela permet aux clients de rcuprer les listes de rvocation de
certificats delta plus petites et dtablir plus rapidement la liste complte des certificats rvoqus.
Les listes de rvocation de certificats delta permettent galement de publier plus frquemment les
donnes de rvocation, dans la mesure o leur transfert seffectue plus rapidement que celui des
listes CRL compltes.
Module de scurit matriel (HSM, Hardware security module). Un module de scurit matriel est
un priphrique matriel de chiffrement scuris facultatif qui acclre le traitement du chiffrement
en vue de grer les codes numriques. Ce matriel de stockage spcialis hautement scuris est
connect lautorit de certification afin de grer les certificats. En rgle gnrale, le module
de scurit matriel est physiquement raccord un ordinateur. Il consiste en un module
complmentaire facultatif de linfrastructure cl publique, et est plus frquemment utilis dans
les environnements de haute scurit dans lesquels les rpercussions seraient importantes si une cl
venait tre compromise.
Intgration du protocole DHCP au service Routage et accs distant

Vous pouvez dployer le rle DHCP avec le rle
Accs distance afin de fournir aux clients daccs
distance une adresse IP affecte de manire
dynamique pendant la connexion. Lorsque vous
utilisez ces deux services sur le mme serveur, les
informations fournies pendant la configuration
dynamique le sont dune manire diffrente par
rapport la configuration DHCP classique des
clients de rseau local.
Dans les environnements de rseau local,
les clients DHCP ngocient et reoivent les
informations de configuration suivantes, en
fonction uniquement des paramtres que vous configurez dans la console DHCP du serveur DHCP :
7-9
Une adresse IP alloue extraite du pool dadresses disponibles dune porte active sur le serveur
DHCP. Le serveur DHCP gre ladresse et la distribue directement au client DHCP sur le rseau local.
Des paramtres supplmentaires et dautres informations de configuration fournis par les options
DHCP affectes dans le bail dadresse. Les valeurs et la liste doptions correspondent aux types
doptions que vous configurez et que vous affectez sur le serveur DHCP.
Lorsquun serveur daccs distance propose une configuration dynamique pour les clients daccs
distance, il commence par excuter les tapes suivantes :
1.
Lorsque le serveur qui excute le service daccs distance dmarre avec loption Utiliser DHCP pour
attribuer des adresses TCP/IP distantes, il indique au client DHCP quil doit obtenir 10 adresses IP
auprs dun serveur DHCP.
2.
Le serveur daccs distance utilise la premire des 10 adresses IP obtenues auprs du serveur DHCP
pour linterface du serveur daccs distance.
3.
Les neuf adresses restantes sont alloues aux clients TCP/IP lorsquils tablissent une session sur le
serveur daccs distance.
Les adresses IP qui sont libres lorsque les clients daccs distance se dconnectent sont rutilises.
Lorsque les 10 adresses IP sont utilises, le serveur daccs distance en obtient 10 de plus auprs dun
serveur DHCP. Lorsque le service Routage et accs distant sarrte, toutes les adresses IP obtenues via
le serveur DHCP sont libres.
Lorsque le serveur daccs distance utilise ce type de mise en cache proactive des baux dadresses DHCP
pour les clients daccs distance, il enregistre les informations suivantes pour chaque rponse de bail
obtenue du serveur DHCP :
ladresse IP du serveur DHCP ;
ladresse IP alloue par le client (pour une distribution ultrieure au client du service de routage et
daccs distance) ;
lheure laquelle le bail a t obtenu ;
lheure laquelle le bail expire ;
la dure du bail.
7-10 Configuration et rsolution des problmes daccs distance
Toutes les autres informations renvoyes par le serveur DHCP relatives aux options DHCP comme les options
de serveur, de porte ou de rservation, sont ignores. Lorsque le client se connecte au serveur et demande
une adresse IP (autrement dit, lorsque Adresse IP attribue par serveur est slectionn), il utilise un bail
DHCP mis en cache pour fournir au client daccs distance une configuration dadresse IP dynamique.
Lorsque ladresse IP est fournie au client daccs distance, le client ne sait pas que cette adresse a t
obtenue via ce processus intermdiaire entre le serveur DHCP et le serveur daccs distance. Le serveur
daccs distance maintient le bail au nom du client. Par consquent, la seule information que le client
reoit du serveur DHCP est ladresse IP.
Dans les environnements daccs distance, les clients DHCP ngocient et reoivent la configuration
dynamique de la manire suivante, qui est lgrement diffrente :
Une adresse IP alloue provenant du cache dadresses de porte DHCP sur le serveur de routage et
daccs distance. Le serveur de routage et daccs distance obtient et renouvelle son pool
dadresses mis en cache sur le serveur DHCP.
Si le serveur DHCP fournit normalement les paramtres supplmentaires et les autres informations de
configuration fournis grce des options DHCP affectes dans le bail dadresse, ces informations sont
renvoyes au client daccs distance en fonction des proprits TCP/IP configures sur le serveur
daccs distance.
Remarque : Les serveurs DHCP qui excutent Windows Server 2012 fournissent une classe
dutilisateur prdfinie (la Classe de routage et daccs distant par dfaut) pour affecter des
options fournies uniquement aux clients de routage et daccs distance. Pour affecter ces
options, vous devez crer une stratgie DHCP avec la condition selon laquelle la classe
dutilisateur quivaut la classe de routage et daccs distant par dfaut. Configurez
ensuite les options requises.
Leon 2
Configuration de laccs VPN
7-11
Pour implmenter correctement et prendre en charge un environnement VPN au sein de votre

organisation, il est important de comprendre comment slectionner un protocole de tunneling appropri,
configurer lauthentification VPN et configurer le rle serveur Services de stratgie et daccs rseau pour
prendre en charge la configuration de votre choix.
dcrire ce quest une connexion VPN et la manire dont elle est utilise pour connecter des clients
de rseau distant ;
dcrire les protocoles de tunneling utiliss pour une connexion VPN ;
dcrire la reconnexion VPN ;
dcrire les conditions requises de la configuration lies une connexion VPN ;
expliquer comment configurer un accs VPN ;
dcrire les tches supplmentaires qui peuvent tre excutes lissue de la configuration dun
serveur VPN ;
dcrire les fonctionnalits et les avantages du Kit dadministration du Gestionnaire des connexions ;
expliquer comment crer un profil de connexion laide du Kit dadministration du Gestionnaire

des connexions.
Quest-ce quune connexion VPN ?

Pour muler une liaison point point, les donnes
sont encapsules (ou enrobes) et prfixes
laide dun en-tte qui contient les informations
de routage, lesquelles permettent aux donnes de
traverser le rseau partag ou public jusqu leur
destination finale.
Pour muler une liaison prive, les donnes
sont chiffres afin dassurer la confidentialit.
Les paquets qui sont intercepts sur le rseau
partag ou public sont indchiffrables sans cl de
chiffrement. La liaison dans laquelle les donnes
prives sont encapsules et chiffres est appele
connexion VPN.
Il existe deux types de connexions VPN :
accs distance ;
de site site.
VPN daccs distance
Les connexions VPN daccs distance permettent aux utilisateurs qui travaillent hors site (par exemple,
la maison, chez un client, ou partir dun point daccs sans fil public) daccder un serveur sur le rseau
priv de votre organisation en utilisant linfrastructure mise disposition par un rseau public, comme
Internet. Du ct de lutilisateur, la connexion VPN est une connexion point point entre lordinateur, le
client VPN et le serveur de votre organisation. Linfrastructure exacte du rseau partag ou public na pas
dimportance car cette connexion fonctionne logiquement comme si les donnes taient envoyes sur
une liaison prive ddie.
Connexion VPN de site site

Les connexions VPN de site site (galement appeles connexions VPN routeur routeur) permettent
votre organisation dutiliser des connexions routes entre des bureaux loigns les uns des autres
(ou avec dautres organisations) sur un rseau public tout en assurant la scurit des communications.
Une connexion VPN route sur Internet fonctionne logiquement comme une liaison de rseau tendue
ddie. Lorsque des rseaux se connectent via Internet, un routeur transmet les paquets un autre
routeur par lintermdiaire dune connexion VPN. Du ct des routeurs, la connexion VPN fonctionne
comme une liaison de couche de liaison de donnes.
Une connexion VPN de site site connecte deux segments dun rseau priv. Le serveur VPN fournit une
connexion route vers le rseau auquel le serveur VPN est rattach. Le routeur appelant (le client VPN)
sauthentifie auprs du routeur rpondant (le serveur VPN) et, rciproquement, le routeur rpondant
sauthentifie auprs du routeur appelant. Dans une connexion VPN de site site, les paquets envoys
par lun ou lautre des routeurs via la connexion VPN ne proviennent gnralement pas des routeurs.
Proprits des connexions VPN

Les connexions VPN qui utilisent le protocole PPTP (Point-to-Point Tunneling Protocol), le
protocole L2TP/IPsec (Layer Two Tunneling Protocol/Internet Protocol security) ou le protocole SSTP
(Secure Socket Tunneling Protocol), ont les proprits suivantes :
Encapsulation. Avec la technologie VPN, les donnes prives sont encapsules avec un en-tte
contenant les informations de routage permettant aux donnes dtre transmises sur le rseau
de transit.
Authentification. Lauthentification des connexions VPN prend les trois formes suivantes :
o
Authentification au niveau utilisateur laide de lauthentification PPP (Point-to-Point Protocol).

Pour tablir la connexion VPN, le serveur VPN authentifie le client VPN qui essaie de se
connecter laide dune mthode dauthentification PPP au niveau utilisateur et vrifie que le
client VPN possde lautorisation approprie. Si vous utilisez lauthentification mutuelle, le client
VPN authentifie galement le serveur VPN, ce qui permet dassurer une protection contre les
ordinateurs qui se font passer pour des serveurs VPN.
7-13
Authentification au niveau ordinateur laide du protocole IKE (Internet Key Exchange).

Pour tablir une association de scurit IPsec, le client VPN et le serveur VPN utilisent le
protocole IKE pour changer des certificats dordinateur ou une cl prpartage. Dans lun
ou lautre cas, le client et le serveur VPN sauthentifient lun lautre au niveau de lordinateur.
Nous recommandons lauthentification par certificat dordinateur car il sagit dune mthode
dauthentification beaucoup plus puissante. Lauthentification de niveau ordinateur est excute
uniquement pour les connexions L2TP/IPsec.
Authentification de lorigine des donnes et intgrit des donnes. Pour vrifier que les donnes
envoyes sur la connexion VPN proviennent bien de lautre extrmit de la connexion et quelles
nont pas t modifies pendant leur transit, les donnes contiennent une somme de contrle
de chiffrement base sur une cl de chiffrement connue uniquement de lexpditeur et du
destinataire. Lauthentification de lorigine des donnes et lintgrit des donnes sont
uniquement disponibles pour les connexions L2TP/IPsec.
Chiffrement des donnes. Pour assurer la confidentialit des donnes transmises sur le rseau de
transit partag ou public, lexpditeur chiffre les donnes et le destinataire les dchiffre. Les processus
de chiffrement et de dchiffrement reposent sur lexpditeur et sur le destinataire qui utilisent tous les
deux une cl de chiffrement commune.
Les paquets intercepts sur le rseau de transit sont inintelligibles pour quiconque ne possde pas
la cl de chiffrement commune. La longueur de la cl de chiffrement est un paramtre de scurit
important. Vous pouvez utiliser des techniques de calcul pour dterminer la cl de chiffrement.
Toutefois, plus cette cl est longue, plus la puissance et le temps de calcul ncessaires seront levs.
Par consquent, il est important dutiliser la plus grande taille de cl possible pour assurer la
confidentialit des donnes.
Protocoles de tunneling pour les connexions VPN

Les protocoles PPTP, L2TP et SSTP dpendent
largement des fonctionnalits spcifies lorigine
pour le protocole PPP. Le protocole PPP a t conu
pour envoyer des donnes via des connexions point
point daccs distance ou ddies. Dans le cadre
des paquets IP, le protocole PPP encapsule les
paquets IP dans des trames PPP, puis transmet les
paquets PPP encapsuls via une liaison point point.
Le protocole PPP a t dfini lorigine comme le
protocole utiliser entre un client daccs distance
et un serveur daccs rseau.
PPTP
Le protocole PPTP vous permet de chiffrer et dencapsuler dans un en-tte IP le trafic multiprotocole qui
est ensuite envoy sur un rseau IP ou sur un rseau IP public comme Internet. Vous pouvez utiliser le
protocole PPTP pour les connexions daccs distance et les connexions VPN de site site. Si vous utilisez
Internet comme rseau public VPN, le serveur PPTP est un serveur VPN PPTP avec une interface sur
Internet et une seconde interface sur le rseau intranet.
Encapsulation. Le protocole PPTP encapsule des trames PPP dans des datagrammes IP
en vue de la transmission sur le rseau. Le protocole PPTP utilise une connexion TCP
(Transmission Control Protocol) pour grer les tunnels et une version modifie du protocole GRE
(Generic Route Encapsulation) afin dencapsuler des trames PPP pour les donnes en tunnel.
Les charges utiles des trames PPP encapsules peuvent tre chiffres et/ou compresses.
Chiffrement. La trame PPP est chiffre avec le chiffrement Microsoft Point-to-Point (MPPE,
Microsoft Point-to-Point Encryption) laide des cls de chiffrement gnres par le processus
dauthentification MS-CHAPv2 ou EAP-TLS. Les clients VPN doivent utiliser le protocole
dauthentification MS-CHAPv2 ou EAP-TLS pour que les charges utiles des trames PPP soient
chiffres. Le protocole PPTP utilise le chiffrement PPP sous-jacent et de lencapsulation dune
trame PPP prcdemment chiffre.
L2TP
Le protocole L2TP vous permet de chiffrer le trafic multiprotocole qui doit tre envoy via tout support
prenant en charge la remise de datagramme point point, comme le trafic IP ou le mode de transfert
asynchrone. Le protocole L2TP est une combinaison des protocoles PPTP et L2F (Layer 2 Forwarding).
Il regroupe les meilleures fonctionnalits des deux.
la diffrence du protocole PPTP, limplmentation Microsoft du protocole L2TP nutilise pas le
chiffrement MPPE pour chiffrer les datagrammes PPP. Le protocole L2TP sappuie sur IPsec en mode
transport pour les services de chiffrement. La combinaison des protocoles L2TP et IPsec est appele
L2TP/IPsec.
Pour utiliser les protocoles L2TP et IPsec, le client et le serveur VPN doivent tous deux prendre en charge
les protocoles L2TP et IPsec. La prise en charge des clients pour le protocole L2TP est intgre dans les
clients daccs distance Windows XP, Windows Vista, Windows 7 et Windows 8. La prise en charge du
serveur VPN pour le protocole L2TP est intgre dans les produits des familles Windows Server 2012,
Windows Server 2008 et Windows Server 2003.
Encapsulation : lencapsulation pour les paquets L2TP/IPsec est forme de deux couches,
lencapsulation L2TP et lencapsulation IPsec. L2TP encapsule et chiffre les donnes de la
manire suivante :
o
Premire couche. La premire couche est lencapsulation L2TP. Une trame PPP (datagramme IP)
est encapsule avec un en-tte L2TP et un en-tte UDP (User Datagram Protocol).
Seconde couche. La seconde couche est lencapsulation IPsec. Le message L2TP rsultant est
encapsul avec un en-tte et un code de fin ESP (Encapsulating Security Payload) IPsec, un code
de fin dauthentification IPsec qui fournit lintgrit et lauthentification des messages, et un entte IP final. Len-tte IP contient les adresses IP source et de destination qui correspondent au
client et au serveur VPN.
Chiffrement : le message L2TP est chiffr avec lalgorithme AES (Advanced Encryption Standard)
ou 3DES (Triple Data Encryption Standard) en utilisant les cls de chiffrement gnres par le
processus de ngociation IKE.
SSTP
7-15
Le protocole SSTP est un nouveau protocole de tunneling qui utilise le protocole HTTPS (HTTP Secure)
sur le port TCP 443 pour faire transiter le trafic travers des pare-feux et des proxys Web qui peuvent
bloquer le trafic PPTP et L2TP/IPsec. Le protocole SSTP propose un mcanisme permettant dencapsuler
le trafic PPP sur le canal SSL (Secure Sockets Layer) du protocole HTTPS. Lutilisation du protocole PPP
permet la prise en charge de mthodes dauthentification fortes, telles quEAP-TLS. Le protocole SSL offre
une scurit de niveau du transport avec une ngociation des cls amliore, le chiffrement et le contrle
dintgrit.
Lorsquun client essaie dtablir une connexion VPN base sur le protocole SSTP, ce dernier commence
par tablir une couche HTTPS bidirectionnelle avec le serveur SSTP. Sur cette couche HTTPS, les paquets
du protocole sont transmis comme charge utile des donnes laide des mthodes suivantes
dencapsulation et de chiffrement :
Encapsulation. Le protocole SSTP encapsule des trames PPP dans des datagrammes IP en vue
de la transmission sur le rseau. Le protocole SSTP utilise une connexion TCP (sur le port 443)
pour la gestion des tunnels et comme trames de donnes PPP.
Chiffrement. Le message SSTP est chiffr avec le canal SSL du protocole HTTPS.
IKEv2
IKEv2 utilise le protocole Mode de tunnel IPsec sur port UDP 500. IKEv2 prend en charge la mobilit, ce
qui en fait le choix idal pour la main duvre mobile. Les connexions VPN bases sur IKEv2 permettent
aux utilisateurs de se dplacer plus facilement entre les zones daccs sans fil et les connexions cbles.
Lutilisation des protocoles IKEv2 et IPsec permet la prise en charge des mthodes de chiffrement et
dauthentification forte.
Encapsulation. Le protocole IKEv2 encapsule des datagrammes en utilisant les modes AH

(Authentication Header) ou ESP IPsec pour la transmission sur le rseau.
Chiffrement. Le message est chiffr avec un des protocoles suivants laide des cls de chiffrement
gnres partir du processus de ngociation IKEv2 : algorithmes de chiffrement AES 256, AES 192,
AES 128 et 3DES.
IKEv2 est pris en charge uniquement sur les ordinateurs avec les systmes dexploitation suivants :
Windows 7, Windows 8, Windows Server 2008 R2 et Windows Server 2012. IKEv2 est le protocole de
tunneling VPN par dfaut dans Windows 7 et Windows 8.
Quest-ce quune Reconnexion VPN ?

Dans les scnarios dentreprise dynamiques, les
utilisateurs doivent tre en mesure daccder en
toute scurit aux donnes, tout moment,
partout, et de manire continue, sans interruption.
Par exemple, les utilisateurs peuvent souhaiter
accder en toute scurit aux donnes figurant sur
le serveur de la socit, partir dune succursale
ou lors dun dplacement.
Pour rpondre cette exigence, vous pouvez configurer la fonctionnalit Reconnexion VPN disponible
dans Windows Server 2012, Windows Server 2008 R2, Windows 8 et Windows 7. Grce cette
fonctionnalit, les utilisateurs peuvent accder aux donnes de la socit laide dune connexion VPN,
qui se reconnectera automatiquement en cas dinterruption de la connectivit. La Reconnexion VPN
permet galement le dplacement entre diffrents rseaux.
La Reconnexion VPN utilise la technologie IKEv2 pour fournir une connectivit VPN transparente et
cohrente. Les utilisateurs qui se connectent via une large bande mobile sans fil tireront davantage parti
de cette fonctionnalit. Prenons lexemple dun utilisateur avec un ordinateur portable quip de
Windows 8. Lorsque ce dernier emprunte le train pour se rendre sur son lieu de travail, il se connecte
Internet via une carte large bande mobile sans fil, puis tablit une connexion VPN au rseau de
lentreprise. Quand le train passe dans un tunnel, la connexion Internet sinterrompt. Ds que le train sort
du tunnel, la carte large bande mobile sans fil se reconnecte automatiquement au rseau Internet. Avec
les versions prcdentes des systmes dexploitation serveur et client Windows, VPN ne se reconnectait
pas automatiquement. Cest pourquoi lutilisateur devait rpter le processus en plusieurs tapes de
connexion au VPN manuellement. Ctait long et frustrant pour les utilisateurs mobiles avec une
connectivit par intermittence.
Avec la Reconnexion VPN, Windows Server 2012 et Windows 8 rtablissent les connexions VPN actives de
manire automatique lorsque la connectivit Internet est rtablie. Mme si la reconnexion peut prendre
plusieurs secondes, les utilisateurs nont pas besoin de relancer manuellement la connexion, ou de
sauthentifier nouveau pour accder aux ressources du rseau.
Les conditions requises du systme pour utiliser la fonctionnalit Reconnexion VPN sont les suivantes :
Windows Server 2008 R2 ou Windows Server 2012 en tant que serveur VPN.
Client Windows 7, Windows 8, Windows Server 2008 R2 ou Windows Server 2012.
Infrastructure cl publique (PKI), car un certificat informatique est indispensable pour une
connexion distance avec la Reconnexion VPN. Vous pouvez utiliser les certificats mis par une
autorit de certification interne ou publique.
Configuration requise
Avant de dployer la solution VPN de votre
organisation, il convient de tenir compte des
configurations requises suivantes en matire de
configuration :
Votre serveur VPN a besoin de deux interfaces

rseau. Vous devez identifier quelle interface
rseau se connectera Internet et quelle
interface rseau se connectera au rseau
priv. Durant la configuration, vous serez
invit choisir linterface rseau qui assure la
connexion Internet. Si vous nindiquez pas
linterface approprie, le serveur VPN daccs
distance ne fonctionnera pas correctement.
7-17
Dterminez si les clients distants reoivent des adresses IP dun serveur DHCP situ sur votre rseau
priv ou du serveur VPN daccs distance en cours de configuration. Si le rseau priv comporte un
serveur DHCP, le serveur VPN daccs distance peut tout moment rserver simultanment dix
adresses auprs du serveur DHCP, puis les attribuer aux clients distants. Dans le cas contraire, le
serveur VPN daccs distance peut gnrer et attribuer automatiquement des adresses IP aux clients
distants. Si vous voulez que le serveur VPN daccs distance attribue des adresses IP dans une plage
dtermine, vous devez spcifier cette dernire.
Prcisez si les demandes de connexion des clients VPN doivent tre authentifies par un serveur
RADIUS ou par le serveur VPN daccs distance en cours de configuration. Lajout dun serveur
RADIUS est utile si vous envisagez dinstaller plusieurs serveurs VPN daccs distance, points daccs
sans fil ou autres clients RADIUS sur votre rseau priv.
Remarque : Pour activer une infrastructure RADIUS, installez le rle serveur Services de
stratgie et daccs rseau. Le NPS peut agir soit en tant que proxy RADIUS, soit en tant que
serveur RADIUS.
Dterminez si les clients VPN peuvent envoyer des messages DHCPINFORM au serveur DHCP sur
votre rseau priv. Si un serveur DHCP se trouve sur le mme sous-rseau que votre serveur VPN
daccs distance, les messages DHCPINFORM des clients VPN seront en mesure datteindre le
serveur DHCP une fois la connexion VPN tablie. Si un serveur DHCP se trouve sur un sous-rseau
diffrent de votre serveur VPN daccs distance, assurez-vous que le routeur entre les sous-rseaux
peut relayer des messages DHCP entre clients et le serveur. Si votre routeur excute Windows
Server 2008 R2 ou Windows Server 2012, vous pouvez configurer le service Agent relais DHCP sur le
routeur de sorte que les messages DHCPINFORM soient transfrs entre les sous-rseaux.
Veillez vous assurer que le responsable du dploiement de votre solution VPN dispose des
appartenances au groupe dadministration requises pour installer les rles serveur et configurer les
services ncessaires ; lappartenance au groupe Administrateurs local est requise pour effectuer
ces tches.
Dmonstration : Procdure de configuration dun accs VPN

configurer laccs distance en tant que serveur VPN ;
configurer un client VPN.
Configurer laccs distance en tant que serveur VPN
1.
Ouvrez une session sur LON-RTR en tant quADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2.
Sur LON-RTR, ouvrez le Gestionnaire de serveur, puis ajoutez le rle Services de stratgie et daccs
rseau.
3.
Fermez le Gestionnaire de serveur.
4.
Ouvrez la console Serveur NPS.
5.
Enregistrez le serveur dans AD DS.
6.
Laissez la fentre Serveur NPS (Network Policy Server) ouverte.
7.
Ouvrez Routage et accs distant.
8.
Dsactivez la configuration existante.
9.
Reconfigurez LON-RTR en tant que serveur VPN laide des paramtres suivants :
o
Connexion au rseau local 2 correspond linterface publique.
Le serveur VPN alloue des adresses du pool : 172.16.0.100 - 172.16.0.111.
Le serveur est configur avec loption Non, utiliser Routage et accs distant pour authentifier
les demandes de connexion.
10. Dmarrez le service VPN.
Configurer un client VPN

1.
Basculez vers LON-CL2, puis ouvrez une session en tant quADATUM\Administrateur avec le mot
de passe Pa$$w0rd.
2.
Crez une connexion VPN avec les proprits suivantes :
3.
4.
5.
Adresse Internet de connexion : 10.10.0.1.
Nom de la destination : VPN Adatum
Autoriser dautres personnes utiliser cette connexion : true.
Une fois le VPN cr, modifiez ses paramtres en affichant les proprits de la connexion, puis
slectionnez longlet Scurit pour reconfigurer le VPN laide des paramtres suivants :
o
Type de rseau VPN : Protocole PPTP (Point to Point Tunneling Protocol).
Authentification : Autoriser ces protocoles = Protocole Microsoft CHAP Version 2

(MS-CHAP v2).
Testez la connexion VPN laide des informations didentification suivantes :

o
Nom dutilisateur : ADATUM\administrateur
Mot de passe : Pa$$w0rd
Attendez que la connexion VPN soit tablie. La connexion choue. Vous recevez une erreur relative
aux problmes dauthentification.
Ralisation de tches de configuration supplmentaires

lissue de ces tapes de dploiement et de
configuration initiale de votre solution daccs
distance, votre serveur est prt tre utilis en
tant que serveur VPN daccs distance.
Cependant, vous trouverez ci-aprs les tches
supplmentaires que vous pouvez galement
effectuer sur votre serveur VPN/daccs
distance :
7-19
Configurer des filtres de paquets statiques.

Ajoutez des filtres de paquets statiques afin
de mieux protger votre rseau.
Configurer des services et des ports.

Choisissez quels services du rseau priv vous souhaitez rendre disponibles pour les utilisateurs
daccs distance.
Rgler les niveaux denregistrement. Configurez le niveau de dtails des vnements que vous
souhaitez enregistrer. Vous pouvez dcider quelles informations vous souhaitez suivre dans les
fichiers journaux.
Configurer le nombre de ports VPN. Ajoutez ou supprimez des ports VPN.
Crer un profil Gestionnaire des connexions pour les utilisateurs. Grez lexprience de connexion
cliente des utilisateurs et simplifiez la configuration et le dpannage de ces connexions.
Ajouter AD CS. Configurez et grez une autorit de certification (CA) sur un serveur en vue de
lutiliser dans une infrastructure cl publique (PKI).
Renforcer la scurit de laccs distance. Protgez les utilisateurs distants et le rseau priv en
appliquant des mthodes dauthentification scurises, en exigeant des niveaux suprieurs de
chiffrement des donnes, etc.
Renforcer la scurit VPN. Protgez les utilisateurs distants et le rseau priv en exigeant lutilisation
de protocoles de tunneling scuriss, en configurant le verrouillage de compte, etc.
Implmenter la fonctionnalit Reconnexion VPN. Ajoutez la Reconnexion VPN pour rtablir les
connexions VPN automatiquement pour les utilisateurs qui perdent temporairement leurs
connexions Internet.
Quest-ce que le Kit dadministration du Gestionnaire des connexions ?

Le Kit dadministration du Gestionnaire des
connexions (CMAK, Connection Manager
Administration Kit) vous permet de personnaliser
les options de connexion distance des
utilisateurs en crant des connexions prdfinies
aux serveurs et aux rseaux distance. LAssistant
Kit dadministration du Gestionnaire des
connexions cre un fichier excutable que vous
pouvez distribuer de diffrentes manires ou
intgrer dans limage du systme dexploitation
dans le cadre des activits de dploiement.
Connection Manager est un outil de connexion
rseau client qui permet un utilisateur de se connecter un rseau distant, tel quun fournisseur de
services Internet ou un rseau dentreprise protg par un serveur VPN.
Le Kit dadministration du Gestionnaire des connexions (CMAK) est un outil que vous pouvez utiliser
pour personnaliser lexprience de connexion distance des utilisateurs de votre rseau en crant des
connexions prdfinies des serveurs et des rseaux distance. Utilisez lAssistant Kit dadministration
du Gestionnaire des connexions pour crer et personnaliser une connexion pour vos utilisateurs.
Le Kit dadministration du Gestionnaire des connexions est un composant facultatif qui nest pas install
par dfaut. Vous devez linstaller avant de pouvoir crer des profils de connexion que vos utilisateurs
pourront installer pour accder aux rseaux distance.
Distribution du profil de connexion
LAssistant Kit dadministration du Gestionnaire des connexions compile le profil de connexion dans un
fichier excutable unique portant lextension de nom de fichier .exe. Vous pouvez distribuer ce fichier aux
utilisateurs par toute mthode votre disposition. Diffrentes mthodes considrer :
Inclure le profil de connexion dans limage qui est fournie avec les nouveaux ordinateurs.
Vous pouvez installer votre profil de connexion avec les images dordinateur client installes sur les
nouveaux ordinateurs de votre organisation.
Distribuer le profil de connexion sur un mdia amovible afin que lutilisateur puisse linstaller
manuellement.
Vous pouvez distribuer le programme dinstallation du profil de connexion sur un CD-DVD, un lecteur
flash USB ou tout autre mdia amovible auquel vous autorisez les utilisateurs accder. Un certain
nombre de mdias amovibles prennent en charge la fonction de dmarrage automatique qui permet
de lancer linstallation ds que lutilisateur insre le mdia dans lordinateur.
Remettre le profil de connexion laide doutils de distribution de logiciels automatiss.
De nombreuses organisations utilisent un outil de gestion du bureau ou de gestion des logiciels tel
que Microsoft System Center Configuration Manager (auparavant appel Systems Management
Server). Configuration Manager permet de mettre le package en logiciel et de le distribuer aux
ordinateurs clients. Linstallation peut tre invisible pour vos utilisateurs et vous pouvez la configurer
pour signaler son succs ou son chec dans la console de gestion.
Dmonstration : Procdure de cration dun profil de connexion

installer les services CMAK ;
crer un profil de connexion ;
examiner le profil.
Installer les services CMAK
1.
Au besoin, ouvrez une session sur LON-CL2 en tant quADATUM\Administrateur avec le mot de
pass Pa$$w0rd.
2.
Ouvrez le Panneau de configuration, puis activez la nouvelle fonctionnalit Windows appele Kit
dadministration du Gestionnaire des connexions Microsoft (CMAK) RAS.
Crer un profil de connexion
7-21
1.
Dans Outils dadministration, ouvrez le Kit dadministration du Gestionnaire des connexions.
2.
Suivez les instructions de lAssistant Kit dadministration du Gestionnaire des connexions pour crer
le profil de connexion.
Examiner le profil cr
Utilisez lExplorateur de fichiers pour examiner le contenu du dossier que vous avez cr laide de
lAssistant Kit dadministration du Gestionnaire des connexions pour crer le profil de connexion.
Normalement, vous devriez prsent distribuer ce profil vos utilisateurs.
Leon 3
Vue densemble des stratgies rseau
Les stratgies rseau dterminent si une tentative de connexion aboutit. Si la tentative de connexion
aboutit, la stratgie rseau dfinit galement des caractristiques de connexion, telles que des restrictions
de jour et dheure, des dconnexions de session en cas dinactivit ainsi que dautres paramtres.
La comprhension du mode de configuration des stratgies rseau est essentielle si vous voulez
implmenter avec succs des connexions VPN bases sur le rle serveur Services de stratgie et daccs
rseau dans votre organisation.
dfinir une stratgie rseau ;
dcrire le traitement dune stratgie rseau ;
dcrire le processus de cration dune stratgie rseau ;
expliquer comment crer une stratgie rseau pour les connexions VPN.
Quest-ce quune stratgie rseau ?

Une stratgie rseau est un ensemble de
conditions, de contraintes et de paramtres qui
vous permettent de dsigner les personnes
autorises se connecter au rseau et les
circonstances dans lesquelles elles peuvent, ou
non, se connecter. De plus, lorsque vous dployez
la protection daccs rseau NAP, la stratgie de
contrle dintgrit est ajoute la configuration
de la stratgie rseau afin que le serveur NPS
puisse effectuer des contrles dintgrit des
clients pendant le processus dautorisation.
Vous pouvez envisager les stratgies rseau

comme des rgles : chaque rgle regroupe un ensemble de conditions et de paramtres. Le serveur NPS
compare les conditions de la rgle aux proprits des demandes de connexion. En cas de correspondance
entre la rgle et la demande de connexion, les paramtres dfinis dans la rgle sont alors appliqus la
connexion.
7-23
Lorsque vous configurez plusieurs stratgies rseau sur le serveur NPS, elles constituent un jeu ordonn
de rgles. Le serveur NPS vrifie chaque demande de connexion par rapport la premire rgle de la liste,
puis la deuxime, et ainsi de suite, jusqu ce quune correspondance soit trouve.
Remarque : Une fois quune rgle de correspondance est dtermine, les autres rgles sont
ignores. Par consquent, il est important que vous commandiez vos stratgies rseau de
manire approprie, par ordre dimportance.
Chaque stratgie rseau possde un paramtre tat de la stratgie qui vous permet dactiver ou de
dsactiver la stratgie. Si vous dsactivez une stratgie rseau, le serveur NPS ne lvalue pas lors du
processus dautorisation des demandes de connexion.
Proprits des stratgies rseau

Chaque stratgie rseau possde quatre catgories de proprits :
Vue densemble. Les proprits de vue densemble vous permettent de spcifier si la stratgie est
active, si elle accorde ou refuse laccs et si une mthode de connexion rseau ou un type de serveur
daccs rseau spcifique est requis pour les demandes de connexion. Ces proprits vous permettent
galement de spcifier si les proprits de numrotation des comptes dutilisateurs dans AD DS
doivent tre ignores. Si vous slectionnez cette option, le serveur NPS utilise uniquement les
paramtres de la stratgie rseau pour dterminer si la connexion doit tre autorise.
Conditions. Ces proprits vous permettent de spcifier les conditions que la demande de connexion
doit runir pour tre conforme la stratgie rseau. Si les conditions configures dans la stratgie
sont runies dans la demande de connexion, le serveur NPS applique les paramtres de la stratgie
rseau la connexion. Par exemple, si vous spcifiez ladresse IPv4 du serveur daccs rseau (adresse
IPv4 NAS) comme condition de la stratgie rseau et que le serveur NPS reoit une demande de
connexion dun serveur daccs rseau ayant cette adresse IP, la demande de connexion est conforme
la condition de la stratgie.
Contraintes. Les contraintes sont des paramtres supplmentaires de la stratgie rseau auxquels les
demandes de connexion doivent se conformer. Si une demande de connexion ne rpond pas une
contrainte, le serveur NPS rejette automatiquement cette demande. la diffrence de la rponse du
serveur NPS des conditions de la stratgie rseau auxquelles la demande de connexion ne se
conforme pas, si une demande de connexion ne rpond pas une contrainte, le serveur NPS nvalue
pas les stratgies rseau supplmentaires, et la demande de connexion est refuse.
Paramtres. Les proprits de paramtres vous permettent de spcifier les paramtres que le serveur
NPS applique la demande de connexion ds lors que toutes les conditions de la stratgie rseau
sont runies et que la demande est accepte.
Lorsque vous ajoutez une nouvelle stratgie rseau laide du composant logiciel enfichable MMC
(Microsoft Management Console) Serveur NPS, vous devez utiliser lAssistant Nouvelle stratgie rseau.
Aprs avoir cr une stratgie rseau laide de lAssistant Nouvelle stratgie rseau, vous pouvez la
personnaliser en double-cliquant dessus dans le serveur NPS de manire afficher ses proprits.
Remarque : Les stratgies par dfaut du serveur NPS bloquent laccs au rseau. Une fois
vos propres stratgies cres, vous devez modifier la priorit, dsactiver ou supprimer ces
stratgies par dfaut.
Traitement des stratgies rseau

Lorsque le serveur NPS excute le processus
dautorisation dune demande de connexion, il
compare la demande chaque stratgie rseau de
la liste trie de stratgies, en commenant par la
premire stratgie. Sil trouve une stratgie dont
les conditions correspondent la demande de
connexion, le serveur NPS utilise la stratgie
correspondante et les proprits de numrotation
du compte dutilisateur pour raliser lautorisation.
Si vous configurez les proprits de numrotation
du compte dutilisateur de manire accorder ou
contrler laccs laide dune stratgie rseau,
et si la demande de connexion est autorise, le serveur NPS applique les paramtres configurs dans la
stratgie rseau la connexion :
Si le serveur NPS ne trouve pas de stratgie rseau qui corresponde la demande de connexion,
il refuse la connexion, sauf si les proprits de numrotation du compte dutilisateur sont configures
pour accorder laccs.
Si les proprits de numrotation du compte dutilisateur sont configures pour refuser laccs,
le serveur NPS rejette la demande de connexion.
Processus de cration et de configuration dune stratgie rseau

Le serveur NPS utilise des stratgies rseau et
les proprits de numrotation des comptes
dutilisateurs pour dterminer si une demande
de connexion rseau peut tre autorise. Vous
pouvez configurer une nouvelle stratgie rseau
dans le composant logiciel enfichable MMC
Serveur NPS ou Service de routage et daccs
distance.
Cration de votre stratgie
Lorsque vous utilisez lAssistant Nouvelle stratgie

rseau pour crer une stratgie rseau, la valeur
spcifie comme mthode de connexion rseau
est utilise automatiquement pour configurer la condition Type de stratgie. Si vous conservez la valeur
par dfaut Non spcifi, le serveur NPS value la stratgie rseau que vous crez pour tous les types de
connexion rseau via tout type de serveur daccs rseau. Si vous spcifiez une mthode de connexion
rseau, le serveur NPS value la stratgie rseau uniquement si la demande de connexion mane du type
de serveur daccs rseau que vous spcifiez.
7-25
Par exemple, si vous spcifiez Passerelle des services Bureau distance, le serveur NPS value la stratgie
rseau uniquement pour les demandes de connexion qui proviennent de serveurs de passerelle des
services Bureau distance.
Sur la page Spcifier lautorisation daccs, vous devez slectionner Accs accord si vous souhaitez
que la stratgie autorise les utilisateurs se connecter votre rseau. Si vous souhaitez que la stratgie
empche les utilisateurs de se connecter votre rseau, slectionnez Accs refus. Si vous souhaitez que
les proprits de numrotation des comptes dutilisateurs dans AD DS dterminent lautorisation daccs,
vous pouvez activer la case cocher Laccs est dtermin par les proprits de numrotation des
utilisateurs. Ce paramtre remplace la stratgie NPS.
Configuration de votre stratgie
Une fois que vous avez cr votre stratgie rseau, vous pouvez utiliser la bote de dialogue Proprits
de la stratgie rseau pour afficher ou modifier ses paramtres.
Proprits de Stratgie rseau - Onglet Vue densemble

Sous longlet Vue densemble de la bote de dialogue Proprits de la stratgie rseau, ou dans
lAssistant Nouvelle stratgie rseau, vous pouvez configurer les paramtres suivants :
Nom de la stratgie. Spcifiez un nom convivial et pertinent pour la stratgie rseau.
tat de la stratgie. Indiquez sil convient dactiver la stratgie.
Autorisation daccs. Indiquez si la stratgie autorise ou refuse laccs. Indiquez galement si

le serveur NPS doit ignorer les proprits de numrotation des comptes dutilisateurs dans AD DS
lorsquil utilise la stratgie pour autoriser la tentative de connexion.
La mthode de connexion rseau utiliser pour la demande de connexion :

o
Non spcifi. Si vous slectionnez Non spcifi, le serveur NPS value la stratgie rseau pour
toutes les demandes de connexion ayant pour origine tout type de serveur daccs rseau et
pour toute mthode de connexion.
Passerelle des services Bureau distance. Si vous spcifiez Passerelle des services Bureau
distance, le serveur NPS value la stratgie rseau pour les demandes de connexion qui
proviennent de serveurs excutant la passerelle des services Bureau distance.
Serveur daccs distance (VPN-Dial up). Si vous slectionnez Serveur daccs distance
(VPN-Dial up), le serveur NPS value la stratgie rseau pour les demandes de connexion ayant
pour origine un ordinateur qui excute le service de routage et daccs distance configur en
tant que serveur daccs distance ou VPN. Si un autre serveur daccs distance ou VPN est
utilis, le serveur doit prendre en charge le protocole RADIUS et les protocoles dauthentification
fournis par le serveur NPS pour les connexions daccs distance et les connexions VPN.
Serveur DHCP. Si vous spcifiez Serveur DHCP, le serveur NPS value la stratgie rseau pour
les demandes de connexion ayant pour origine des serveurs excutant le protocole DHCP.
Autorit dinscription dintgrit. Si vous slectionnez Autorit dinscription dintgrit, le

serveur NPS value la stratgie rseau pour les demandes de connexion ayant pour origine des
serveurs excutant lautorit HRA.
Serveur HCAP. Si vous spcifiez Serveur HCAP, le serveur NPS value la stratgie rseau pour
les demandes de connexion ayant pour origine des serveurs excutant le protocole HCAP.
Proprits de Stratgie rseau - Onglet Conditions
Vous devez configurer au moins une condition pour chaque stratgie rseau. Cette opration seffectue
dans longlet Conditions de la bote de dialogue Proprits de la stratgie rseau. Dans cet onglet, le
serveur NPS propose de nombreux groupes de conditions qui vous permettent de dfinir avec prcision
les proprits que doivent prsenter les demandes de connexion pour tre conformes la stratgie.
Les groupes de conditions disponibles que vous pouvez slectionner sont les suivants :
Groupes. Ces conditions spcifient les groupes dutilisateurs ou dordinateurs que vous configurez
dans AD DS et auxquels vous souhaitez que les autres rgles de la stratgie rseau sappliquent
lorsque des membres du groupe essaient de se connecter au rseau.
HCAP (Host Credential Authorization Protocol). Ces conditions sont utilises uniquement lorsque vous
souhaitez intgrer votre solution NAP NPS la solution Contrle dadmission au rseau de Cisco.
Pour utiliser ces conditions, vous devez dployer le Contrle dadmission au rseau de Cisco, ainsi
que la Protection daccs rseau (NAP). Vous devez galement dployer un serveur HCAP qui excute
les Services Internet (IIS) et le serveur NPS.
Restrictions relatives aux jours et aux heures. Ces conditions vous permettent de spcifier de manire
hebdomadaire si les connexions doivent tre autorises des jours et des heures spcifiques de
la semaine.
NAP. Les paramtres incluent Type didentit, Classe MS-Service, Ordinateurs compatibles avec la p
daccs rseau (NAP), Systme dexploitation et Expiration de la stratgie.
Proprits de la connexion. Les paramtres incluent Adresse IPv4 du client daccs, Adresse IPv6
du client daccs, Type dauthentification, Types de protocoles EAP autoriss, Protocole de trames,
Type de service et Type de tunnel.
Proprits du client RADIUS. Les paramtres incluent ID de la station appelante, Nom convivial du
client, Adresse IPv4 du client, Adresse IPv6 du client, Fournisseur du client et Fournisseur MS-RAS.
Passerelle. Les paramtres incluent ID de la station appele, Identificateur NAS, Adresse IPv4 NAS,
Adresse IPv6 NAS et Type de port NAS.
Proprits de Stratgie rseau - Onglet Contraintes
Les contraintes sont des paramtres supplmentaires facultatifs de la stratgie rseau qui sont trs
diffrents de ses conditions : lorsquune demande de connexion ne rpond pas une condition, le
serveur NPS continue valuer les autres stratgies rseau configures afin de trouver une stratgie
laquelle la demande de connexion est conforme. Lorsquune demande de connexion ne rpond pas une
contrainte, le serveur NPS nvalue pas les autres stratgies rseau, mais rejette la demande de connexion
et laccs de lutilisateur ou de lordinateur au rseau est refus.
La liste suivante dcrit les contraintes que vous pouvez configurer dans longlet Contraintes de la bote
de dialogue Proprits de la stratgie rseau :
Mthodes dauthentification. Permet de spcifier les mthodes dauthentification requises pour que la
demande de connexion soit conforme la stratgie rseau.
Dlai dinactivit. Permet de spcifier la dure maximale (en minutes) pendant laquelle le serveur
daccs rseau peut rester inactif avant que la connexion ne soit rompue.
7-27
Dlai dexpiration de session. Permet de spcifier la dure maximale (en minutes) pendant laquelle
un utilisateur peut rester connect au rseau.
ID de la station appele. Permet de spcifier le numro de tlphone du serveur daccs distance

que les clients utilisent pour accder au rseau.
Restrictions relatives aux jours et aux heures. Permet de spcifier quel moment les utilisateurs
peuvent se connecter au rseau.
Type de port NAS. Permet de spcifier les types de support daccs qui sont autoriss pour la
connexion des utilisateurs au rseau.
Proprits de Stratgie rseau - Onglet Paramtres
Si les proprits de la demande de connexion rpondent toutes les conditions et contraintes configures
dans la stratgie, le serveur NPS applique les paramtres configurs dans longlet Paramtres de la bote
de dialogue Proprits de la stratgie rseau la connexion. Ces paramtres sont notamment :
Attributs RADIUS. Ce paramtre permet de dfinir des attributs RADIUS supplmentaires envoyer
au serveur RADIUS.
NAP. Ce paramtre permet de configurer les paramtres de protection daccs rseau (NAP), pour
notamment indiquer si les clients qui se connectent disposent dun accs total ou limit au rseau, ou
encore si la mise jour automatique est active.
Routage et accs distant. Ce paramtre permet de configurer des paramtres de liaisons multiples et
de protocole BAP, des filtres IP, des paramtres de chiffrement et dautres paramtres IP pour les
connexions.
Dmonstration : Procdure de cration dune stratgie rseau

crer une stratgie VPN base sur la condition Groupes Windows ;
tester la stratgie VPN.
Crer une stratgie VPN base sur la condition Groupes Windows
1.
Sur LON-RTR, basculez vers la console Serveur NPS (Network Policy Server).
2.
Dsactivez les deux stratgies rseau existantes ; elles empcheraient le traitement de la stratgie que
vous tes sur le point de crer.
3.
Crez une stratgie rseau laide des proprits ci-dessous :

o
Nom de la stratgie : Stratgie VPN Adatum
Type de serveur daccs rseau : Serveur daccs distance (VPN-Dial up)
Condition : Groupes Windows = Admins du domaine
Autorisation : Accs accord
Mthodes dauthentification : valeur par dfaut
Contraintes : valeur par dfaut
Paramtres : valeur par dfaut
Tester la stratgie VPN

1.
Basculez vers LON-CL2.
2.
Testez la connexion VPN Adatum. Utilisez les informations didentification suivantes :

o
Nom dutilisateur : ADATUM\administrateur
Mot de passe : Pa$$w0rd
Leon 4
7-29
Rsolution des problmes du service de routage et daccs

distance
Le dpannage du service de routage et daccs distance peut prendre du temps. Les problmes peuvent
en effet tre trs diffrents et difficilement identifiables. Par ailleurs, sachant que vous pouvez utiliser des
rseaux distants, ddis, rservs ou publics selon la solution de connectivit distance choisie, vous
devez effectuer le dpannage en suivant une procdure systmatique mthodique.
Dans certains cas, vous pouvez identifier et rsoudre rapidement le problme. Dans dautres, vous devrez
mettre lpreuve vos connaissances sur tous les outils disponibles afin de dterminer la source du
problme et pouvoir le rsoudre dans les temps impartis.
dcrire comment configurer lenregistrement des connexions daccs distance ;
dcrire comment configurer le suivi de laccs distance ;
expliquer comment rsoudre les problmes gnraux de connectivit VPN ;
expliquer comment rsoudre les autres problmes courants daccs distance.
Configuration de lenregistrement des connexions daccs distance

Pour configurer lenregistrement des connexions
daccs distance, ouvrez la console Routage et
accs distant, cliquez avec le bouton droit sur le
nom du serveur, puis cliquez sur Proprits.
Cliquez sur longlet Enregistrement pour afficher
les options disponibles pour le journal de suivi et
connatre son emplacement.
Pour commencer, il est prfrable de spcifier plus
doptions denregistrement que ncessaire, plutt
que pas assez. Une fois que vous aurez dtermin
le niveau denregistrement optimal pour dpanner
votre infrastructure, vous pourrez modifier les
options et/ou le niveau denregistrement.
Quatre niveaux denregistrement sont disponibles dans longlet Enregistrement, comme dcrit dans le
tableau suivant.
Option de la bote de dialogue
Description
Enregistrer uniquement les

erreurs dans le journal
Indique que seules les erreurs sont enregistres dans le journal

systme dans lObservateur dvnements.
Enregistrer les erreurs et les

avertissements
Indique que les erreurs et les avertissements sont enregistrs dans le

journal systme dans lObservateur dvnements.
Enregistrer tous les

vnements
Indique que la quantit maximale dinformations est enregistre dans

le journal systme dans lObservateur dvnements.
Ne pas enregistrer
dvnements
Indique quaucun vnement nest enregistr dans le journal systme

dans lObservateur dvnements.
La case cocher Enregistrer les informations dAccs distance et routage supplmentaires

(utilises pour le dbogage) vous permet de spcifier si les vnements du processus dtablissement
de la connexion PPP sont consigns dans le fichier PPP.LOG. Ce fichier journal est stock dans le dossier
systemroot\Tracing (emplacement par dfaut).
Configuration du suivi de laccs distance

Le service de routage et daccs distance de
Windows Server 2012 propose une fonction
de suivi tendue que vous pouvez utiliser
pour rsoudre les problmes rseau complexes.
laide de la commande Netsh ou laide du
Registre, vous pouvez activer lenregistrement
des informations de suivi dans des fichiers par
les composants de Windows Server 2012.
Activation du suivi laide

de la commande Netsh
La commande Netsh vous permet dactiver

et de dsactiver le suivi pour des composants
spcifiques ou pour tous les composants. Pour activer et dsactiver le suivi pour un composant spcifique,
utilisez la syntaxe suivante :
netsh ras set tracing composant enabled|disabled
O composant est un composant figurant dans la liste des composants du service de routage et daccs
distance qui se trouve dans le Registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing.
Par exemple, pour activer le suivi du composant RASAUTH, la commande est la suivante :
netsh ras set tracing rasauth enabled
Pour activer le suivi pour tous les composants, utilisez la commande suivante :
netsh ras set tracing * enabled
Activation du suivi laide du Registre
7-31
Vous pouvez galement configurer la fonction de suivi en modifiant les paramtres du Registre sous le
chemin suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
Vous pouvez activer le suivi pour chaque composant du service daccs distance en dfinissant les
valeurs de Registre appropries. Vous pouvez activer et dsactiver le suivi de composants mme si le
service de routage et daccs distance est en cours dexcution. Chaque composant peut tre suivi et
apparat sous la forme dune sous-cl sous la cl de Registre prcdente.
Pour activer le suivi pour chaque composant, vous pouvez configurer les entres de Registre suivantes
pour chaque cl de protocole :
EnableFileTracing REG_DWORD Flag
Vous pouvez activer lenregistrement des informations de suivi dans un fichier en attribuant la valeur 1
EnableFileTracing, la valeur par dfaut tant 0.
Vous pouvez modifier lemplacement par dfaut des fichiers de suivi en indiquant le chemin daccs de
votre choix dans FileDirectory. Le nom du fichier journal est le nom du composant faisant lobjet du suivi.
Par dfaut, les fichiers journaux sont placs dans le dossier SystemRoot\Tracing.
Chemin daccs FileDirectory REG_EXPAND_SZ
FileTracingMask dtermine le volume dinformations de suivi stockes dans le fichier. La valeur par dfaut
est 0xFFFF0000.
FileTracingMask REG_DWORD LevelOfTracingInformationLogged
Vous pouvez modifier la taille du fichier journal en attribuant des valeurs diffrentes MaxFileSize.
La valeur par dfaut est 0x10000 (64 Ko).
MaxFileSize REG_DWORD SizeOfLogFile
Remarque : Le suivi utilise des ressources systme et doit tre utilis avec modration pour
tenter didentifier les problmes rseau. Une fois le suivi enregistr ou le problme identifi,
dsactivez immdiatement le suivi. Ne le laissez pas activ sur des ordinateurs multiprocesseurs.
Les informations de suivi peuvent tre complexes et dtailles. Cest pourquoi elles ne sont
gnralement utiles quaux professionnels du support technique Microsoft ou aux
administrateurs rseau ayant une exprience avec le service de routage et daccs distance.
Vous pouvez enregistrer les informations de suivi sous forme de fichiers et les envoyer au support
technique Microsoft pour analyse.
Rsolution des problmes VPN gnraux

Pour rsoudre les problmes gnraux
dtablissement dune connexion VPN daccs
distance, effectuez les tches suivantes :
laide de la commande ping, vrifiez que le

nom dhte est rsolu en adresse IP correcte.
Il est possible que la commande ping ellemme choue en raison du filtrage de
paquets qui peut empcher la remise de
messages ICMP (Internet Control Message
Protocol) au serveur VPN ou depuis
ce dernier.
Vrifiez que les informations didentification

du client VPN (nom dutilisateur, mot de passe et nom de domaine) sont correctes et que le serveur
VPN peut les valider.
Vrifiez que le compte dutilisateur du client VPN nest pas verrouill, arriv expiration ou dsactiv,
ou bien encore que lheure laquelle la connexion est tablie ne correspond pas aux heures de
connexion configures. Si le mot de passe du compte a expir, vrifiez que le client VPN daccs
distance utilise le protocole MS-CHAP v2. MS-CHAP v2 est le seul protocole dauthentification fourni
par Windows Server 2012 qui vous permet de modifier un mot de passe arriv expiration au cours
du processus de connexion.
Rinitialisez les mots de passe arrivs expiration des comptes de niveau administrateur laide dun
autre compte de niveau administrateur.
Vrifiez que le compte dutilisateur na pas t verrouill en raison du verrouillage dun compte
daccs distance.
Vrifiez que le service de routage et daccs distance est en cours dexcution sur le serveur VPN.
Vrifiez que le serveur VPN est activ pour laccs distance dans longlet Gnral de la bote de
dialogue Proprits du serveur VPN.
Vrifiez que les priphriques Miniport WAN (PPTP) et Miniport WAN (L2TP) sont activs pour laccs
distance entrant dans les proprits de lobjet Ports dans le composant logiciel enfichable Routage
et accs distance.
Vrifiez que le client VPN, le serveur VPN et la stratgie rseau correspondant aux connexions VPN
sont configurs pour utiliser au moins une mthode dauthentification commune.
Vrifiez que le client VPN et la stratgie rseau correspondant aux connexions VPN sont configurs
pour utiliser au moins un niveau de chiffrement commun.
Vrifiez que les paramtres de la connexion sont autoriss au moyen de stratgies rseau.
Dpannage des autres problmes

Cette rubrique rpertorie les autres problmes
courants que vous pouvez rencontrer lors de
lutilisation de la fonctionnalit daccs distance
dans Windows Server 2012.
Erreur 800 : Le serveur VPN est

inaccessible
Cause : Les paquets PPTP/L2TP/SSTP

provenant du client VPN ne peuvent pas
atteindre le serveur VPN.
Solution : Assurez-vous que les ports

appropris sont ouverts sur le pare-feu.
7-33
PPTP. Pour le trafic PPTP, configurez le pare-feu du rseau de sorte quil ouvre le port TCP 1723
et quil transmette le protocole IP 47 pour le trafic GRE vers le serveur VPN.
L2TP. Pour le trafic L2TP, configurez le pare-feu du rseau de sorte quil ouvre le port UDP 1701
et quil autorise les paquets au format ESP IPsec (protocole IP 50).
SSTP. Pour SSTP, activez le port TCP 443.
Erreur 721 : Lordinateur distant ne rpond pas
Cause : Ce problme peut se produire si le pare-feu du rseau nautorise pas le trafic GRE
(protocole IP 47). Le protocole PPTP utilise le protocole GRE pour les donnes en tunnel.
Solution : Configurez le pare-feu du rseau entre le client VPN et le serveur de sorte quil autorise
le trafic GRE. De plus, assurez-vous que le pare-feu du rseau autorise le trafic TCP sur le port 1723.
Ces deux conditions doivent tre runies pour tablir la connectivit VPN laide du protocole PPTP.
Remarque : Le pare-feu peut se trouver sur ou devant le client VPN, ou devant le serveur VPN.
Erreur 741/742 : Erreur dincompatibilit de chiffrement
Cause : Ces erreurs se produisent si le client VPN demande un niveau de chiffrement non valide
ou si le serveur VPN ne prend pas en charge un type de chiffrement demand par le client.
Solution : Vrifiez les proprits de la connexion VPN sur le client VPN sous longlet Scurit.
Si loption Exiger le chiffrement des donnes (sinon, dconnecter) est slectionne, effacez
la slection et ressayez dtablir la connexion. Si vous utilisez un serveur NPS, vrifiez le
niveau de chiffrement dans la stratgie rseau de la console NPS ou les stratgies sur les
autres serveurs RADIUS. Vrifiez que le niveau de chiffrement demand par le client VPN
est slectionn sur le serveur VPN.
Problmes dauthentification L2TP/IPsec

La liste qui suit dcrit les causes les plus communes dchec des connexions L2TP/IPsec :
Absence de certificat. Par dfaut, les connexions L2TP/IPsec exigent pour lauthentification de
lhomologue IPsec quun change de certificats dordinateur ait lieu entre le serveur daccs
distance et le client daccs distance. Vrifiez quun certificat appropri existe dans les magasins
de certificats de lordinateur local du client daccs distance et du serveur daccs distance
utilisant le composant logiciel enfichable Certificats.
Certificat incorrect. Un certificat dordinateur valide mis par une autorit de certification qui suit
une chane de certificats valide depuis lautorit de certification mettrice jusqu une autorit de
certification racine approuve par le serveur VPN doit tre install sur le client VPN. Par ailleurs, un
certificat dordinateur valide mis par une autorit de certification qui suit une chane de certificats
valide depuis lautorit de certification mettrice jusqu une autorit de certification racine
approuve par le client VPN doit tre installe sur le serveur VPN.
Un priphrique NAT existe entre le client daccs distance et le serveur daccs distance. Sil existe
un service de routage NAT entre un client L2TP/IPsec Windows 2000 Server, Windows Server 2003 ou
Windows XP et un serveur L2TP/IPsec Windows Server 2008, vous ne pouvez pas tablir de connexion
L2TP/IPsec, sauf si le client et le serveur prennent en charge IPSec NAT-T (IPSec NAT Traversal).
Un pare-feu existe entre le client daccs distance et le serveur daccs distance. Sil existe
un pare-feu entre un client L2TP/IPsec Windows et un serveur L2TP/IPsec Windows Server 2012 et si
vous ne parvenez pas tablir une connexion L2TP/IPsec, vrifiez que le pare-feu autorise le transfert
du trafic L2TP/IPsec.
Problmes dauthentification EAP-TLS
Lorsque vous utilisez le protocole EAP-TLS pour lauthentification, le client VPN envoie un certificat utilisateur et
le serveur dauthentification (le serveur VPN ou le serveur RADIUS) soumet un certificat dordinateur. Pour que
le serveur dauthentification puisse valider le certificat du client VPN, les assertions suivantes doivent tre vraies
dans chacun des certificats de la chane de certificats envoye par le client VPN :
La date actuelle doit tre comprise dans les dates de validit du certificat. Lorsque des certificats sont
mis, ils sont assortis dune plage de dates valides, avant laquelle ils ne peuvent pas tre utiliss et
aprs laquelle ils sont considrs comme tant arrivs expiration.
Le certificat na pas t rvoqu. Les certificats mis peuvent tre rvoqus tout moment. Chaque
autorit de certification mettrice gre une liste de certificats qui ne sont pas considrs comme
valides, et publie une liste de rvocation de certificats. Par dfaut, le serveur dauthentification
vrifie chacun des certificats de la chane de certificats des clients VPN (la srie de certificats entre
le certificat du client VPN et lautorit de certification racine) afin de voir sil na pas t rvoqu.
Si lun des certificats de la chane a t rvoqu, la validation du certificat choue.
Le certificat est assorti dune signature numrique valide. Les autorits de certification signent
numriquement les certificats quelles mettent. Le serveur dauthentification vrifie la signature
numrique de chaque certificat de la chane ( lexception du certificat dautorit de certification
racine) en obtenant la cl publique auprs de lautorit de certification mettrice des certificats
et en validant mathmatiquement la signature numrique.
Pour que le client VPN valide le certificat du serveur dauthentification pour
lauthentification EAP-TLS, les assertions suivantes doivent tre vraies pour chaque certificat
de la chane de certificats envoye par le serveur dauthentification :
o
La date actuelle doit tre comprise dans les dates de validit du certificat.
Le certificat doit avoir une signature numrique valide.
7-35

Scnario
bas Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres
pour assister le sige social de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure
serveur et client Windows Server 2012.
La direction de A. Datum souhaite implmenter une solution daccs distance pour ses employs afin
que les utilisateurs puissent se connecter au rseau dentreprise en dehors du bureau. Vous dcidez de
dployer un projet pilote qui permettra aux utilisateurs du service informatique de se connecter laide
dune connexion VPN lintranet dentreprise.
Objectifs
1.
configurer un serveur VPN ;
2.
configurer des clients VPN.

22411B-LON-DC1
22411B-LON-RTR
22411B-LON-CL2
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd
Leon 5
Configuration de DirectAccess
7-41
Les organisations comptent souvent sur les connexions VPN pour fournir des utilisateurs distants laccs
scuris aux donnes et aux ressources sur le rseau dentreprise. Les connexions VPN sont faciles
configurer et sont prises en charge par diffrents clients. Cependant, elles doivent dabord tre initialises
par lutilisateur, et peuvent requrir une configuration supplmentaire au niveau du pare-feu de
lentreprise. En outre, les connexions VPN permettent gnralement daccder distance lensemble du
rseau dentreprise. De plus, les organisations ne peuvent pas grer efficacement les ordinateurs distants,
moins quils ne soient connects. Pour aller au-del de telles restrictions sur ces connexions VPN, les
organisations peuvent implmenter DirectAccess pour fournir une connexion transparente entre le rseau
interne et lordinateur distant sur Internet. DirectAccess permet aux organisations de grer les ordinateurs
distants plus efficacement, car ils sont considrs comme faisant partie du rseau dentreprise.
dbattre de la complexit des connexions VPN typiques ;
dcrire DirectAccess ;
dcrire les composants requis pour implmenter DirectAccess ;
expliquer comment utiliser la Table de stratgie de rsolution de noms ;
expliquer comment DirectAccess fonctionne pour les clients connects en interne ;
expliquer comment DirectAccess fonctionne pour les clients connects en externe ;
lister la configuration requise pour DirectAccess ;
expliquer comment configurer DirectAccess.
Complexits lies la gestion des connexions VPN

Bon nombre dorganisations comptent souvent
sur les connexions VPN pour fournir leurs
utilisateurs laccs distance scuris aux
ressources sur le rseau interne dentreprise.
Ces connexions VPN doivent bien souvent tre
configures manuellement, ce qui peut entraner
des problmes dinteroprabilit lorsque les
utilisateurs utilisent diffrents clients VPN.
En outre, les connexions VPN peuvent poser
les problmes suivants :
Les utilisateurs doivent initialiser les

connexions VPN.
Les connexions peuvent requrir plusieurs tapes pour sinitialiser, et la procdure de connexion peut
prendre plusieurs secondes voire plus.
Les pare-feu peuvent soulever dautres considrations. Si elles ne sont pas correctement configures
sur le pare-feu, les connexions VPN peuvent chouer, voire permettre laccs distance la totalit
du rseau dentreprise.
Le dpannage des problmes lis aux checs de connexions VPN peut souvent reprsenter une
importante partie des appels au support technique pour de nombreuses organisations.
La gestion des ordinateurs disposant de connexions VPN savre complexe. Les ordinateurs clients
distants bass sur VPN reprsentent un dfi pour les professionnels de linformatique, car ces
ordinateurs ne peuvent pas se connecter au rseau interne pendant des semaines la fois, ce qui les
empche de tlcharger des objets de stratgie de groupe (GPO, Group Policy Objects) et les mises
jour logicielles.
Extension du rseau pour atteindre les ordinateurs et les utilisateurs connects

distance
Pour aller au-del de ces restrictions sur ces connexions VPN traditionnelles, les organisations peuvent
implmenter DirectAccess pour fournir une connexion transparente entre le rseau interne et lordinateur
distant sur Internet. DirectAccess permet aux organisations de grer plus facilement des ordinateurs
distants car ils sont toujours connects.
Quest-ce que DirectAccess ?

La fonctionnalit DirectAccess dans Windows
Server 2012 active laccs distance transparent
aux ressources intranet sans tablir de connexion
VPN au pralable. La fonctionnalit DirectAccess
garantit galement une connectivit transparente
linfrastructure dapplications pour les utilisateurs
internes et les utilisateurs distants.
la diffrence des VPN traditionnels qui
ncessitent lintervention de lutilisateur pour
tablir une connexion un intranet, DirectAccess
permet toutes les applications compatibles
avec IPv6 sur lordinateur client davoir un accs
complet aux ressources intranet. DirectAccess vous permet galement de spcifier les ressources
et les applications ct client qui sont limites en ce qui concerne laccs distance.
DirectAccess profite aux organisations en permettant leur personnel informatique de grer des
ordinateurs distants comme il grerait des ordinateurs locaux. Lutilisation des mmes serveurs de
gestion et de mise jour garantit que les ordinateurs distants sont toujours mis jour et conformes aux
stratgies de contrle dintgrit systme et de scurit. Vous pouvez galement dfinir des stratgies
daccs plus dtailles pour laccs distance par rapport aux stratgies de contrle daccs dfinies
dans les solutions VPN.
DirectAccess prsente les fonctionnalits suivantes :
7-43
connexion automatique lintranet dentreprise lorsque connect Internet ;
utilisation de divers protocoles, y compris HTTPS, pour tablir une connectivit IPv6. HTTPS est
gnralement autoris via les pare-feu et les serveurs proxy ;
prise en charge de laccs au serveur slectionn et authentification IPsec de bout en bout avec les
serveurs du rseau intranet ;
prise en charge de lauthentification de bout en bout et du chiffrement avec les serveurs du

rseau intranet ;
prise en charge de la gestion des ordinateurs clients distants ;
connexion directe des utilisateurs distants aux serveurs intranet.
DirectAccess prsente galement les avantages ci-dessous :
Connectivit toujours active. Lorsque lutilisateur connecte lordinateur client Internet, lordinateur
client est galement connect lintranet. Cette connectivit permet aux ordinateurs clients distants
daccder aux applications, et de les mettre jour, plus facilement. Les ressources intranet demeurent
ainsi toujours disponibles, permettant aux utilisateurs de se connecter lintranet dentreprise depuis
nimporte quel endroit, tout moment, amliorant par consquent leur productivit et leurs
performances.
Connectivit transparente. DirectAccess fournit une exprience de connectivit cohrente, que

lordinateur client soit local ou distant. Grce cela, les utilisateurs dlaissent les options et la
procdure de connectivit au profit de la productivit. Cette cohrence peut rduire les frais de
formation pour les utilisateurs, avec moins dincidents de support.
Accs bidirectionnel. Vous pouvez configurer DirectAccess de manire ce que les clients
DirectAccess aient accs aux ressources intranet et de sorte que vous puissiez galement avoir accs
ces clients DirectAccess depuis lintranet. Par consquent, DirectAccess peut tre bidirectionnel. Cela
garantit la mise jour constante des ordinateurs clients avec les dernires mises jour de scurit,
lapplication du domaine Stratgie de groupe et une exprience identique, que lutilisateur soit sur
lintranet dentreprise ou sur le rseau public. Cet accs bidirectionnel a galement les
consequences suivantes :
dlai des mises jour rduit ;
renforcement de la scurit ;
taux dchec des mises jour rduit ;
amlioration de lanalyse de la conformit.
Prise en charge de la gestion sortante. Cette nouvelle fonctionnalit de Windows Server 2012 permet
dactiver uniquement la fonctionnalit de gestion distance dans le client DirectAccess. Cette
nouvelle sous-option de lAssistant de configuration des clients DirectAccess automatise le
dploiement des stratgies qui sont utilises pour la gestion des ordinateurs clients. La prise en
charge de la gestion sortante nassure aucune option de stratgie permettant aux utilisateurs de se
connecter au rseau pour accder un fichier ou une application. Unidirectionnelle, elle fournit un
accs entrant des fins administratives uniquement.
Scurit optimise. Contrairement aux VPN traditionnels, DirectAccess offre plusieurs niveaux de
contrle daccs aux ressources du rseau. Ce contrle avanc permet aux architectes de la scurit
de contrler de manire prcise les utilisateurs distants qui accdent aux ressources spcifies. Vous
pouvez utiliser une stratgie granulaire pour dfinir les utilisateurs pouvant utiliser DirectAccess ainsi
que lemplacement partir duquel ils peuvent y accder. Le chiffrement IPsec est utilis pour
protger le trafic DirectAccess, de telle sorte que les utilisateurs peuvent garantir la fiabilit de la
scurit de leur communication.
Solution intgre. DirectAccess sintgre pleinement aux solutions NAP et disolation de serveur et de
domaine, entranant ainsi lintgration transparente des stratgies de spcification dintgrit, daccs
et de scurit entre lintranet et les ordinateurs distants.
Composants de DirectAccess
Pour dployer et configurer DirectAccess,
votre organisation doit prendre en charge
les composants dinfrastructure suivants :
serveur DirectAccess ;
clients DirectAccess ;
Serveur demplacement rseau
ressources internes ;
domaine AD DS ;
Stratgie de groupe
PKI (en option pour le rseau interne) ;
Serveur DNS (Domain Name System)
Serveur NAP
Serveur DirectAccess
Le serveur DirectAccess peut tre nimporte quel serveur Windows Server 2012 connect un domaine ;
il accepte les connexions partir des clients DirectAccess et tablit la communication avec les ressources
intranet. Ce serveur fournit les services dauthentification pour les clients DirectAccess et agit comme
point de terminaison de mode de tunnel IPsec pour le trafic externe. Le nouveau rle du serveur daccs
distance permet ladministration centralise, la configuration et lanalyse la fois de la connectivit
DirectAccess et de la connectivit VPN.
Par rapport la prcdente implmentation dans Windows Server 2008 R2, la nouvelle installation
sous la forme dun Assistant simplifie la gestion DirectAccess pour les petites et moyennes organisations.
LAssistant simplifie la gestion en supprimant le recours au dploiement complet PKI ainsi que le
besoin de deux adresses IPv4 publiques conscutives pour la carte physique connecte Internet.
Dans Windows Server 2012, lAssistant dinstallation DirectAccess dtecte ltat rel de limplmentation
du serveur DirectAccess et slectionne automatiquement le meilleur dploiement. Cela pargne ainsi
ladministrateur la complexit dune configuration manuelle des technologies de transition IPv6.
Clients DirectAccess
Les clients DirectAccess peuvent tre tout ordinateur connect un domaine fonctionnant sous
Windows 8 Enterprise, Windows 7 Enterprise ou Windows 7 Ultimate.
Remarque : Avec la mise en service hors site, vous pouvez associer lordinateur client
Windows 8 Enterprise un domaine sans le connecter en interne.
7-45
Lordinateur client DirectAccess se connecte au serveur DirectAccess laide dIPv6 et IPsec. Si un rseau
IPv6 natif nest pas disponible, le client tablit alors un tunnel IPv6/IPv4 laide des technologies de
transition 6to4 ou Teredo. Notez que lexcution de cette tape ne requiert pas que lutilisateur soit
connect lordinateur.
Si un pare-feu ou un serveur proxy empche lordinateur client utilisant 6to4 ou Teredo de se
connecter au serveur DirectAccess, lordinateur client essaie automatiquement de se connecter laide
du protocole IP-HTTPS qui utilise une connexion SSL pour garantir la connectivit. Le client a accs
aux rgles de Table de stratgie de rsolution de noms et de tunnel de scurit de connexion.
Serveur demplacement rseau
Les clients DirectAccess utilisent le serveur demplacement rseau (NLS) pour dterminer leur
emplacement. Si lordinateur client peut se connecter avec HTTPS, il suppose alors quil est sur lintranet
et il dsactive les composants DirectAccess. Sil est impossible de contacter le serveur NLS, le client
suppose quil est sur Internet. Le serveur NLS est install avec le rle serveur Web.
Remarque : LURL pour le serveur NLS est distribue laide dun objet de stratgie de groupe.
Ressources internes
Vous pouvez configurer nimporte quelle application compatible avec IPv6 qui sexcute sur les serveurs
internes ou les ordinateurs clients de manire la rendre disponible pour les clients DirectAccess.
Pour les applications et serveurs plus anciens, notamment ceux qui ne sont pas bass sur les systmes
dexploitation Windows et qui ne prennent pas en charge IPv6, Windows Server 2012 inclut dsormais
la prise en charge native dune passerelle de traduction de protocole (NAT64) et de rsolution de noms
(DNS64) pour convertir les communications IPv6 provenant dun client DirectAccess vers IPv4 pour les
serveurs internes.
Remarque : Comme dans le pass, cette fonctionnalit peut tre galement accomplie en
passant par le dploiement de Microsoft Forefront Unified Access Gateway. De mme, comme
dans les versions antrieures, ces services de traduction ne prennent pas en charge les sessions
lances par les priphriques internes, mais uniquement les demandes en provenance de
DirectAccess IPv6.
Domaine Active Directory
Vous devez dployer au moins un domaine Active Directory dot, au minimum, du niveau fonctionnel du
domaine Windows Server 2003. Windows Server 2012 DirectAccess offre une prise en charge intgre de
plusieurs domaines, ce qui permet aux ordinateurs clients provenant de diffrents domaines daccder aux
ressources qui peuvent tre situes dans diffrents domaines approuvs.
Stratgie de groupe
La stratgie de groupe est ncessaire ladministration centralise et au dploiement des paramtres
DirectAccess. LAssistant Installation DirectAccess cre un ensemble dobjets de stratgie de groupe
et les paramtres des clients DirectAccess, le serveur DirectAccess ainsi que les serveurs slectionns.
PKI
Le dploiement de linfrastructure PKI est facultatif pour la configuration et la gestion simplifies.

DirectAccess sous Windows Server 2012 permet lenvoi des demandes dauthentification client vers un
service proxy Kerberos bas sur HTTPS qui sexcute sur le serveur DirectAccess. Cela limine le besoin
dtablir un second tunnel IPsec entre les clients et les contrleurs de domaine. Le proxy Kerberos envoie
alors les demandes Kerberos aux contrleurs de domaine de la part du client.
Cependant, pour une configuration DirectAccess complte qui permet lintgration de la protection
daccs rseau (NAP), lauthentification deux facteurs et le tunneling forc, vous devez encore
implmenter les certificats dauthentification pour chaque client qui participera aux communications
DirectAccess.
Serveur DNS
Lorsque le protocole ISATAP est excut, vous devez utiliser au moins Windows Server 2008 R2,
Windows Server 2008 Service Pack 2 (SP2) ou plus rcent, ou un serveur DNS non-Microsoft qui prend
en charge les changes de messages DNS sur le protocole ISATAP.
Serveurs NAP
La protection daccs rseau (NAP) est un composant facultatif de la solution DirectAccess qui permet
deffectuer un contrle de conformit et dappliquer la stratgie de scurit pour les clients DirectAccess
sur Internet. DirectAccess sous Windows Server 2012 permet de configurer une vrification dintgrit
NAP directement depuis linterface utilisateur dinstallation plutt que de modifier manuellement les
objets de stratgie de groupe ncessaires avec DirectAccess sous Windows Server 2008 R2.
Quest-ce que la Table de stratgie de rsolution de noms ?

Intgre Windows Server 2012 et Windows 8, la
Table de stratgie de rsolution de noms (NRPT)
permet de sparer le trafic Internet du trafic
intranet dans DirectAccess. Cette fonctionnalit
permet aux serveurs DNS dtre dfinis pour un
espace de noms DNS plutt que pour une
interface.
La table NRPT stocke une liste de rgles. Chaque
rgle dfinit un espace de noms DNS et des
paramtres de configuration qui dcrivent le
comportement du client DNS pour cet espace
de noms.
7-47
Lorsquun client DirectAccess est connect Internet, chaque demande de requte de nom est compare
aux rgles despace de noms figurant dans la table NRPT.
Si une correspondance est trouve, la demande est traite selon les paramtres de la rgle NRPT.
Si une demande de requte de nom ne correspond pas un espace de noms rpertori dans
la table NRPT, la demande est envoye aux serveurs DNS configurs dans les paramtres TCP/IP
pour linterface rseau spcifie.
Les paramtres DNS sont configurs selon lemplacement client :
Pour un ordinateur client distant, les serveurs DNS sont gnralement les serveurs DNS Internet
configurs via le fournisseur de services Internet (ISP, Internet Service Provider).
Pour un client DirectAccess sur lintranet, les serveurs DNS sont gnralement les serveurs DNS
intranet configurs via le protocole DHCP.
Les noms en une partie, par exemple, http://internal, ont, en gnral, des suffixes de recherche DNS
configurs ajouts au nom avant quils ne soient contrls par rapport la table NRPT.
Si aucun suffixe de recherche DNS nest configur et que le nom en une partie ne correspond aucune
autre entre de nom en une partie dans la table NRPT, la demande est envoye aux serveurs DNS
spcifis dans les paramtres TCP/IP du client.
Les espaces de noms, par exemple, internal.adatum.com, sont saisis dans la table NRPT, suivis des serveurs
DNS vers lesquels les demandes correspondant cet espace de noms doivent tre diriges. Si une adresse
IP est saisie pour le serveur DNS, toutes les demandes DNS sont envoyes directement au serveur DNS
sur la connexion DirectAccess. De telles configurations ne requirent pas de scurit supplmentaire.
Cependant, si un nom est spcifi pour le serveur DNS (par exemple, dns.adatum.com) dans la table
NRPT, ce nom doit pouvoir tre publiquement rsolu lorsque le client interroge les serveurs DNS spcifis
dans ses paramtres TCP/IP.
La table NRPT permet aux clients DirectAccess dutiliser les serveurs DNS intranet pour la rsolution de
noms des ressources internes et les serveurs DNS Internet pour la rsolution de noms dautres ressources.
Les serveurs DNS ddis ne sont pas indispensables la rsolution de nom. DirectAccess est conu pour
empcher lexposition de votre espace de noms intranet Internet.
Il convient de traiter diffremment certains noms en ce qui concerne la rsolution de nom ; ces noms ne
doivent pas tre traduits laide des serveurs DNS intranet. Pour garantir la traduction de ces noms avec
les serveurs DNS spcifis dans les paramtres TCP/IP du client, vous devez les ajouter aux exemptions de
la table NRPT.
La table NRPT est contrle par la stratgie de groupe. Quand lordinateur est configur pour utiliser la
table NRPT, le mcanisme de rsolution de noms utilise, dans lordre :
le cache de noms local ;
le fichier dhtes ;
la table NRPT.
Puis, le mcanisme de rsolution de noms envoie la demande aux serveurs DNS spcifis dans les
paramtres TCP/IP.
Fonctionnement de DirectAccess pour les clients internes

Un serveur NLS est un serveur de rseau interne
qui hberge une URL accessible via HTTPS. Les
clients DirectAccess essayent daccder lURL
du serveur NLS pour dterminer sils sont situs
sur lintranet ou sur un rseau public. Le serveur
DirectAccess peut galement tre le serveur NLS.
Dans quelques organisations dans lesquelles
DirectAccess est un service vital pour lentreprise,
le serveur NLS doit tre maintenu un haut
niveau de disponibilit. En gnral, le serveur Web
sur le serveur NLS ne doit pas tre ddi
uniquement la prise en charge des clients
DirectAccess.
Il est vital que le serveur NLS soit disponible depuis chaque site de lentreprise, car le comportement
du client DirectAccess dpend de la rponse du serveur NLS. Les emplacements des succursales peuvent
requrir un serveur NLS distinct sur chaque site pour garantir que le serveur NLS reste accessible mme
en cas de dfaillance de liaison entre les succursales.
Fonctionnement de DirectAccess pour les clients internes

La procdure de connexion DirectAccess se produit automatiquement, sans intervention de lutilisateur.
Les clients DirectAccess utilisent la procdure suivante pour se connecter aux ressources de lintranet :
1.
Le client DirectAccess tente de rsoudre le nom de domaine complet (FQDN) dune URL du serveur
NLS. Puisque le nom de domaine complet (FQDN) de lURL du serveur NLS correspond une rgle
dexemption dans la table NRPT, le client DirectAccess envoie la place la requte DNS un serveur
DNS configur localement (un serveur DNS bas sur lintranet). Le serveur DNS bas sur lintranet
rsout le nom.
2.
Le client DirectAccess accde lURL accessible via HTTPS du serveur NLS, procdure au cours de
laquelle il obtient le certificat du serveur NLS.
3.
Selon le champ Points de distribution de la liste de rvocation des certificats du certificat du serveur
NLS, le client DirectAccess vrifie les fichiers de rvocation de la liste de rvocation de certificats dans
le point de distribution CRL pour dterminer si le certificat du serveur NL a t rvoqu.
4.
Lorsque le code de rponse HTTP est 200, le client DirectAccess dtermine le succs de lURL du
serveur NLS (accs, authentification de certificat et test de vrification de rvocation russis). Le client
DirectAccess bascule vers le profil du pare-feu du domaine et ignore les stratgies DirectAccess ;
il suppose quil se situe sur le rseau interne jusqu la prochaine modification rseau.
5.
Lordinateur client DirectAccess tente de localiser et de se connecter au domaine AD DS laide

de son compte dordinateur.
7-49
Puisque le client ne rfrence plus aucune rgle DirectAccess dans la table NRPT pendant le reste
de la session connecte, toutes les demandes DNS sont envoyes via les serveurs DNS configurs
sur linterface (serveurs DNS bass sur lintranet). Avec lassociation de la dtection demplacement
rseau et la connexion au domaine dordinateurs, le client DirectAccess se configure pour un accs
normal lintranet.
6.
Selon la russite de la connexion de lordinateur au domaine, le client DirectAccess attribue le profil

de domaine (rseau de pare-feu) au rseau associ.
Normalement, les rgles du tunnel de scurit de connexion DirectAccess stendent aux profils de parefeu privs et publics ; elles sont dsactives partir de la liste des rgles actives de scurit de connexion.
Le client DirectAccess a dtermin avec succs quil est connect son intranet, et nutilise pas de
paramtres DirectAccess (rgles de la table NRPT ou rgles de tunnel de scurit de connexion). Le client
DirectAccess peut prsent accder normalement des ressources intranet. Il peut galement accder
des ressources Internet par des moyens normaux, tels quun serveur proxy.
Fonctionnement de DirectAccess pour les clients externes

Lorsquun client DirectAccess dmarre, il tente
daccder ladresse URL spcifie pour le
serveur NLS et suppose quil nest pas connect
lintranet car il ne parvient pas communiquer
avec le serveur NLS. Il commence alors utiliser
la table NRPT et les rgles de scurit de
connexion. La table NRPT a des rgles bases sur
DirectAccess en ce qui concerne la rsolution
de noms, et les rgles de scurit de connexion
dfinissent les tunnels IPsec DirectAccess pour la
communication avec les ressources intranet. Les
clients DirectAccess connects Internet utilisent
les tapes gnrales suivantes pour se connecter aux ressources intranet.
Tout dabord, le client DirectAccess tente daccder au serveur NLS.
Puis, le client tente de trouver un contrleur de domaine.
Enfin, le client tente daccder aux ressources intranet, puis aux ressources Internet.
Le client DirectAccess tente daccder au serveur demplacement rseau (NLS)

Le client DirectAccess essaie daccder au serveur NLS comme suit :
1.
Le client essaie de rsoudre le nom de domaine complet de lURL du serveur NLS. Puisque le nom
de domaine complet de lURL du serveur NLS correspond une rgle dexemption de la table NRPT,
le client DirectAccess nenvoie pas de demande DNS un serveur DNS configur au niveau local
(serveur DNS bas sur Internet). Un serveur DNS externe bas sur Internet ne parviendrait pas
rsoudre le nom.
2.
Le client DirectAccess traite la demande de rsolution de noms comme dfini dans les rgles
dexemption de DirectAccess dans la table NRPT.
3.
Puisque le serveur NLS est introuvable sur le mme rseau sur lequel le client DirectAccess se trouve
actuellement, le client DirectAccess applique au rseau associ un profil rseau de pare-feu priv ou
public.
4.
Les rgles de tunnel de scurit de connexion pour DirectAccess, tendues aux profils privs et
publics, fournissent le profil rseau de pare-feu priv ou public.
Le client DirectAccess utilise la fois les rgles NRPT et les rgles de scurit de connexion pour trouver
les ressources intranet et y accder travers Internet via le serveur DirectAccess.
Le client DirectAccess tente de trouver un contrleur de domaine
Aprs la dtermination de son emplacement rseau, le client DirectAccess tente de trouver un contrleur
de domaine et de sy connecter. Cette procdure gnre un tunnel IPsec ou un tunnel dinfrastructure
laide du mode de tunnel IPsec et du mode ESP vers le serveur DirectAccess. Le processus se droule
comme suit :
1.
Le nom DNS pour le contrleur de domaine correspond la rgle despace de noms intranet dans
la table NRPT, qui spcifie ladresse IPv6 du serveur DNS intranet. Le service client DNS tablit la
demande de nom DNS adresse ladresse IPv6 du serveur DNS intranet et la fait suivre la pile
TCP/IP du client DirectAccess pour envoi.
2.
Avant de procder lenvoi du paquet, la pile TCP/IP effectue une vrification et dtermine si des
rgles sortantes du Pare-feu Windows ou des rgles de scurit de connexion pour le paquet existent.
3.
Puisque ladresse IPv6 de destination dans la demande de nom DNS correspond une rgle de
scurit de connexion qui correspond elle-mme au tunnel de linfrastructure, le client DirectAccess
utilise les protocoles AuthIP (Authenticated IP) et IPsec pour ngocier et authentifier un tunnel IPsec
chiffr vers le serveur DirectAccess. Le client DirectAccess ( la fois lordinateur et lutilisateur)
sauthentifie respectivement avec son certificat dordinateur install et ses informations
didentification Microsoft Windows NT LAN Manager (NTLM).
Remarque : AuthIP amliore lauthentification dans IPsec en ajoutant la prise en charge de

lauthentification base sur lutilisateur avec Kerberos v5 ou les certificats SSL. AuthIP prend
galement en charge la ngociation efficace de protocole et lutilisation de plusieurs jeux
dinformations didentification pour authentification.
4.
Le client DirectAccess envoie la demande de nom DNS via le tunnel IPsec dinfrastructure vers le
serveur DirectAccess.
5.
Le serveur DirectAccess transmet la demande de nom DNS au serveur DNS intranet. La rponse la
demande de nom DNS est renvoye au serveur DirectAccess, puis vers le client DirectAccess via le
tunnel IPsec dinfrastructure.
Le trafic de connexions au domaine ultrieur passe par le tunnel IPsec dinfrastructure. Lorsque lutilisateur
sur le client DirectAccess se connecte, le trafic de connexions du domaine se passe via le tunnel IPsec
dinfrastructure.
Le client DirectAccess tente daccder aux ressources intranet
7-51
La premire fois que le client DirectAccess envoie le trafic un emplacement intranet qui ne figure pas
sur la liste de destinations pour le tunnel dinfrastructure (tel quun site Web interne), le processus suivant
se produit :
1.
Lapplication ou le processus qui tente dtablir une communication labore un message ou une
charge utile, puis le/la transfre vers la pile TCP/IP pour envoi.
2.
3.
Puisque ladresse IPv6 de destination correspond la rgle de scurit de connexion qui correspond
au tunnel intranet (qui spcifie lespace dadressage IPv6 de lintranet tout entier), le client
DirectAccess utilise AuthIP et IPsec pour ngocier et authentifier un tunnel IPsec supplmentaire vers
le serveur DirectAccess. Le client DirectAccess sauthentifie avec son certificat dordinateur install et
les informations didentification Kerberos de son compte dutilisateur.
4.
Le client DirectAccess envoie le paquet via le tunnel intranet vers le serveur DirectAccess.
5.
Le serveur DirectAccess transmet le paquet vers les ressources intranet. La rponse est renvoye au
serveur DirectAccess, puis vers le client DirectAccess via le tunnel intranet.
Tout trafic daccs intranet ultrieur qui ne correspond pas une destination intranet dans la rgle de
scurit de connexion du tunnel dinfrastructure passe via le tunnel intranet.
Le client DirectAccess tente daccder aux ressources Internet

Quand lutilisateur ou un processus sur le client DirectAccess tente daccder une ressource Internet
(telle quun serveur Web), le processus suivant se produit :
1.
Le service client DNS transmet le nom DNS pour la ressource Internet via la table NRPT. Il nexiste
aucune correspondance. Le service client DNS tablit la demande de nom DNS adresse ladresse IP
dun serveur DNS Internet configur sur linterface et la fait suivre la pile TCP/IP pour envoi.
2.
3.
Parce que ladresse IP de destination dans la demande de nom DNS ne correspond pas aux rgles de
scurit de connexion pour les tunnels vers le serveur DirectAccess, le client DirectAccess envoie
normalement la demande de nom DNS.
4.
Le serveur DNS Internet rpond avec ladresse IP de la ressource Internet.
5.
Lapplication de lutilisateur ou le processus tablit le premier paquet envoyer vers la ressource

Internet. Avant de procder lenvoi du paquet, la pile TCP/IP effectue une vrification et dtermine
si des rgles sortantes du Pare-feu Windows ou des rgles de scurit de connexion pour le paquet
existent.
6.
Parce que ladresse IP de destination dans la demande de nom DNS ne correspond pas aux rgles de
scurit de connexion pour les tunnels vers le serveur DirectAccess, le client DirectAccess envoie
normalement le paquet.
Tout trafic daccs Internet ultrieur, qui ne correspond pas une destination dans les rgles soit du
tunnel Internet dinfrastructure, soit de scurit de connexion, transite normalement.
La procdure daccs au contrleur de domaine et aux ressources intranet est trs similaire la
procdure de connexion, parce que les deux utilisent les tables NRPT pour trouver le serveur DNS
appropri afin de rsoudre les demandes de nom. La diffrence rside dans le fait que le tunnel IPsec
est tabli entre le client et le serveur DirectAccess. En accdant au contrleur de domaine, toutes les
demandes DNS sont envoyes par le tunnel IPsec dinfrastructure, et lors de laccs aux ressources
intranet, un deuxime tunnel IPsec (intranet) est tabli.
Conditions prrequises pour limplmentation de DirectAccess

Conditions requises pour
le serveur DirectAccess
Pour dployer DirectAccess, vous devez vous
assurer que le serveur rpond aux conditions
requises pour le matriel et le rseau suivantes :
Le serveur doit tre joint un

domaine AD DS.
Le serveur doit tre dot du systme

dexploitation Windows Server 2012 ou
Windows Server 2008 R2.
Une seule carte rseau peut tre installe sur le systme dexploitation Windows Server 2012 install
en tant que serveur DirectAccess. Elle doit tre connecte lintranet et publie sur Microsoft
Forefront Threat Management Gateway (TMG) 2010 ou Microsoft Forefront Unified Access Gateway
(UAG) 2010 pour connexion Internet. Dans le scnario de dploiement selon lequel DirectAccess est
install sur un serveur Edge, deux cartes rseau doivent tre disponibles : lune tant connecte au
rseau interne et lautre, au rseau externe. Un serveur Edge correspond nimporte quel serveur
qui rside la priphrie entre deux, voire plusieurs, rseaux ; en gnral, il sagit dun rseau priv
et dInternet.
Limplmentation de DirectAccess dans Windows Server 2012 ne requiert pas que deux adresses IPv4
publiques, statiques conscutives soient attribues la carte rseau.
Vous pouvez contourner le besoin dune adresse publique supplmentaire en dployant

Windows Server 2012 DirectAccess derrire un priphrique NAT, avec prise en charge pour une,
voire plusieurs, interface(s). Dans cette configuration, seul le protocole IP-HTTPS (IP sur HTTPS) est
dploy ; il permet ltablissement dun tunnel IP scuris laide dune connexion HTTP scurise.
Sur le serveur DirectAccess, vous pouvez installer le rle daccs distance pour configurer les
paramtres DirectAccess pour le serveur et les clients DirectAccess et surveiller ltat du serveur
DirectAccess. LAssistant Accs distance fournit la possibilit de configurer des scnarios
DirectAccess uniquement, VPN uniquement, ou les deux la fois sur le mme serveur excutant
Windows Server 2012. Cela ntait pas possible dans le dploiement Windows Server 2008 R2
de DirectAccess.
Pour la prise en charge de lquilibrage de charge, Windows Server 2012 peut utiliser lquilibrage de
la charge rseau (jusqu 8 nuds) pour obtenir une haute disponibilit et lvolutivit la fois pour
DirectAccess et RAS.
Conditions requises pour le client DirectAccess

Pour dployer DirectAccess, vous devez galement vous assurer que lordinateur client rpond
certaines exigences :
Lordinateur client doit tre joint un domaine Active Directory.
Le nouveau scnario 2012 de DirectAccess permet de fournir hors connexion lappartenance

au domaine aux ordinateurs client Windows 8 sans que ceux-ci se trouvent sur le site.
Lordinateur client peut tre charg avec Windows 8 Enterprise, Windows 7 Enterprise,
Windows 7 Ultimate, Windows Server 2012 ou Windows Server 2008 R2. Il est impossible
de dployer DirectAccess sur des clients excutant Windows Vista, Windows Server 2008
ou dautres versions antrieures des systmes dexploitation Windows.
lments prrequis pour linfrastructure

Vous trouverez ci-aprs les conditions requises dinfrastructure pour dployer DirectAccess :
7-53
AD DS. Vous devez dployer au moins un domaine Active Directory. Les groupes de travail ne sont
pas pris en charge.
Stratgie de groupe. La stratgie de groupe est ncessaire ladministration centralise et au

dploiement des paramtres du client DirectAccess. LAssistant Installation DirectAccess cre un
ensemble dobjets de stratgie de groupe et les paramtres des clients DirectAccess, des serveurs
DirectAccess ainsi que des serveurs de gestion.
DNS et contrleur de domaine. Vous devez avoir au moins un contrleur de domaine et un serveur
DNS excutant Windows Server 2012, Windows Server 2008 SP2 ou Windows Server 2008 R2.
PKI. Si vous disposez uniquement dordinateurs client Windows 8, vous navez pas besoin de PKI.
Les ordinateurs client Windows 7 requirent une installation plus complexe et donc une PKI.
Stratgies IPSec. DirectAccess utilise les stratgies IPsec configures et administres dans le cadre
du pare-feu Windows avec fonctions avances de scurit.
Trafic de requtes dcho ICMPv6. Vous devez crer des rgles de trafic entrant et de trafic sortant
distinctes qui autorisent les messages de requtes dcho ICMPv6. La rgle de trafic entrant est
requise pour permettre les messages de requtes dcho ICMPv6, et doit tre tendue tous les
profils. La rgle de trafic sortant pour autoriser les messages de requtes dcho ICMPv6 doit
tre tendue tous les profils, et est requise uniquement si le bloc sortant est activ. Les clients
DirectAccess qui utilisent Teredo pour la connectivit IPv6 lintranet utilisent le message ICMPv6
pour tablir la communication.
Technologies de transition IPv6. Les technologies de transition IPv6 doivent tre disponibles
sur le serveur DirectAccess. Pour chaque serveur DNS excutant Windows Server 2008
ou Windows Server 2008 R2, vous devez supprimer le nom ISATAP de la liste rouge de
requtes globale.
Configuration de DirectAccess
Pour configurer DirectAccess, procdez
comme suit :
1.
2.
Configurez les configurations requises

dAD DS et de DNS :
o
Crez un groupe de scurit dans

AD DS, et ajoutez tous les comptes
dordinateur client qui accderont
lintranet par DirectAccess.
Configurez les serveurs DNS la fois

internes et externes avec les noms
dhtes et les adresses IP appropris.
Configurez lenvironnement PKI :

o
3.
Ajoutez et configurez le rle serveur Autorit de certification, crez le modle de certificat et le

point de distribution de la liste de rvocation de certificats, publiez la liste CRL et distribuez les
certificats dordinateur. Cette opration nest pas requise si linstallation est lance partir de
lAssistant Mise en route.
Configurez le serveur DirectAccess.

o
Installez Windows Server 2012 sur un ordinateur serveur dot dune ou deux cartes rseau
physiques (selon le scnario de conception DirectAccess).
Associez le serveur DirectAccess un domaine Active Directory.
Installez le rle daccs distance et configurez le serveur DirectAccess de manire ce quil

prsente lune des configurations suivantes :
Le serveur DirectAccess est sur le rseau de primtre avec une carte rseau connecte au
rseau de primtre, et au moins une autre carte rseau connecte lintranet. Dans ce
scnario de dploiement, le serveur DirectAccess est plac entre un pare-feu frontal et le
pare-feu principal.
Le serveur DirectAccess est publi laide de TMG, dUAG, ou dautres pare-feux tiers. Dans
ce scnario de dploiement, DirectAccess est plac derrire un pare-feu frontal et il dispose
dune carte rseau connecte au rseau interne.
Le serveur DirectAccess est install sur un serveur Edge (en gnral, un pare-feu frontal),
avec une carte rseau connecte Internet, et au moins une autre carte rseau connecte
lintranet.
Une autre possibilit consiste en ce que le serveur DirectAccess dispose dune interface rseau
uniquement, et non de deux. Pour cette approche, procdez comme suit :
4.
7-55
Vrifiez que les ports et les protocoles ncessaires pour DirectAccess et la requte dcho ICMP
sont autoriss dans les exceptions du pare-feu et ouverts sur les pare-feux Internet et de
primtre.
Dans le cadre dune implmentation simplifie, le serveur DirectAccess peut utiliser une adresse IP
publique unique en association avec les services proxy Kerberos pour authentifier le client au
niveau des contrleurs de domaine. Dans le cadre de lauthentification deux facteurs et de
lintgration de protection daccs rseau (NAP), vous devez configurer au moins deux adresses
IPv4 publiques, statiques conscutives pouvant tre rsolues en externe via le serveur DNS.
Assurez-vous que vous avez une adresse IPv4 disponible et que vous pouvez la publier dans votre
serveur DNS externe.
Si vous avez dsactiv IPv6 sur les clients et les serveurs, vous devez le ractiver car il est
indispensable pour DirectAccess.
Installez un serveur Web sur le serveur DirectAccess pour permettre aux clients DirectAccess de
dterminer sils se trouvent sur ou en dehors de lintranet. Vous pouvez installer ce serveur Web
sur un serveur interne distinct pour dterminer lemplacement rseau.
Selon le scnario de dploiement, vous devez indiquer une des cartes rseau de serveur comme
linterface Internet (dans un dploiement avec deux cartes rseau), ou publier le serveur
DirectAccess dploy derrire un priphrique NAT pour laccs Internet.
Sur le serveur DirectAccess, assurez-vous que linterface Internet est configure pour tre une
interface publique ou prive, selon la conception de votre rseau. Configurez les interfaces
dintranet comme interfaces de domaine. Si vous disposez de plus de deux interfaces, vrifiez
que seuls deux types de classification sont slectionns au maximum.
Configurez les clients DirectAccess et testez laccs lintranet et Internet.

o
Vrifiez que la stratgie de groupe DirectAccess a t applique et que des certificats ont t
distribus aux ordinateurs clients :
Testez si vous pouvez vous connecter au serveur DirectAccess depuis lintranet.
Testez si vous pouvez vous connecter au serveur DirectAccess partir dInternet.

Scnario
Puisque A. Datum Corporation sest dveloppe, plusieurs employs sont maintenant frquemment hors
du bureau, travaillant depuis leur domicile ou en voyageant. A. Datum souhaite implmenter une solution
daccs distance pour ses employs afin quils puissent se connecter au rseau dentreprise tout en tant
en dehors du bureau. Bien que la solution VPN implmente fournisse un haut niveau de scurit, la
gestion dentreprise est proccupe par la complexit de lenvironnement pour les utilisateurs finaux. En
outre, les responsables informatiques sont galement proccups par le fait de ne pas tre en mesure de
grer efficacement les clients distants. Pour aborder ces problmes, A. Datum a dcid dimplmenter
DirectAccess en fonction des ordinateurs clients excutant Windows 8.
En tant quadministrateur rseau senior, vous devez dployer et valider le dploiement DirectAccess. Vous
configurerez lenvironnement DirectAccess et validerez que les ordinateurs clients peuvent se connecter
au rseau interne en fonctionnant distance.
Objectifs
configurer linfrastructure de serveur pour dployer DirectAccess ;
configurer les clients DirectAccess ;
valider limplmentation DirectAccess.

22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-RTR
22411B-LON-CL1
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd

8-1
Module 8
Installation, configuration et rsolution des problmes
du rle de serveur NPS
Table des matires :
8-1
Leon 1 : Installation et configuration d'un serveur NPS
8-2
Leon 2 : Configuration de clients et de serveurs RADIUS
8-7
Leon 3 : Mthodes d'authentification NPS
8-14
Leon 4 : Analyse et rsolution des problmes d'un serveur NPS
8-24
Atelier pratique : Installation et configuration d'un serveur NPS
8-30
8-34
Le rle de serveur NPS (Network Policy Server) dans Windows Server 2012 fournit la prise en charge
du protocole RADIUS (Remote Authentication Dial-In User Service), et peut tre configur comme
une serveur RADIUS ou proxy. En outre, NPS fournit une fonctionnalit qui est essentielle pour
limplmentation de la protection daccs rseau (NAP). Pour prendre en charge des clients distants et
implmenter la protection daccs rseau (NAP), il est important que vous sachiez installer, configurer
et rsoudre NPS.
Objectifs
installer et configurer le systme NPS ;
configurer des clients et des serveurs RADIUS ;
expliquer les mthodes dauthentification NPS ;
analyser le service NPS et rsoudre les problmes ventuels.
Installation, configuration et rsolution des problmes du rle de serveur NPS
Leon 1
Installation et configuration dun serveur NPS
8-2
NPS est implment en tant que rle serveur dans Windows Server 2012. Quand vous installez le rle NPS,
vous devez dcider dutiliser NPS en tant que serveur RADIUS, proxy RADIUS ou serveur de stratgie NAP.
Aprs linstallation, vous pouvez configurer le rle NPS laide de divers outils. Vous devez comprendre
comment installer et configurer le rle NPS afin de prendre en charge votre infrastructure RADIUS.
dcrire le service de rle NPS ;
expliquer comment installer NPS ;
dcrire les outils utiliss pour configurer un NPS ;
expliquer comment configurer les paramtres NPS gnraux.
Quest-ce quun serveur NPS ?

Le serveur NPS vous permet de crer et de mettre
en uvre des stratgies daccs rseau lchelle
dune entreprise pour assurer lintgrit des
clients, lauthentification des demandes de
connexion et lautorisation des demandes de
connexion. Vous pouvez galement utiliser le
serveur NPS en tant que proxy RADIUS pour
transmettre les demandes de connexion au
serveur NPS ou dautres serveurs RADIUS que
vous configurez dans des groupes de serveurs
RADIUS distants.
Vous pouvez utiliser NPS pour configurer et grer
de manire centralise lauthentification daccs rseau, lautorisation et les stratgies de contrle
dintgrit des clients en combinant une ou plusieurs des fonctionnalits suivantes :
serveur RADIUS ;
proxy RADIUS ;
serveur de stratgie NAP.
Serveur RADIUS
8-3
NPS ralise, de manire centralise, des oprations dauthentification, dautorisation et de gestion des
comptes pour les connexions daccs distance et VPN, ainsi que pour les connexions sans fil et reposant
sur des commutateurs dauthentification. Lorsque vous utilisez le service NPS en tant que serveur RADIUS,
vous devez configurer des serveurs daccs rseau (tels que des points daccs sans fil et des serveurs VPN)
en tant que clients RADIUS dans le service NPS. Vous devez configurer galement des stratgies rseau
dont le serveur NPS se sert pour autoriser les demandes de connexion, et vous pouvez configurer la
gestion de comptes RADIUS de telle sorte que le serveur NPS enregistre les informations de comptes dans
des fichiers journaux sur le disque dur local ou dans une base de donnes Microsoft SQL Server.
Le serveur NPS est limplmentation Microsoft dun serveur RADIUS. Il permet lutilisation dun jeu
htrogne de priphriques sans fil, commutateur, daccs distance ou VPN. Vous pouvez utiliser NPS
avec le service de routage et daccs distance, qui est disponible dans Windows 2000 et des versions
plus rcentes de Windows Server.
Quand un serveur NPS est membre dun domaine des services de domaine Active Directory (AD DS),
NPS utilise AD DS comme base de donnes de comptes dutilisateurs et fournit lauthentification unique
(SSO), ce qui signifie que les utilisateurs utilisent le mme ensemble dinformations didentification pour le
contrle daccs rseau (authentification et autorisation de laccs un rseau) comme ils le font pour
accder des ressources dans le domaine AD DS.
Les organisations en charge de laccs rseau (les fournisseurs de services Internet, par exemple)
sont confrontes un dfi croissant, savoir les diffrents types daccs rseau partir dun point
dadministration unique, indpendamment des types de priphriques daccs rseau utiliss. La norme
RADIUS prend en charge ce besoin. Le service RADIUS est un protocole client-serveur qui permet aux
priphriques daccs rseau (utiliss en tant que clients RADIUS) de soumettre des demandes
dauthentification et de comptes un serveur RADIUS.
Un serveur RADIUS a accs aux informations du compte dutilisateur et peut vrifier les informations
dauthentification daccs rseau. Si les informations didentification de lutilisateur sont authentifies et
que le serveur RADIUS autorise la tentative de connexion, le serveur RADIUS autorise laccs de
lutilisateur en fonction de conditions spcifies et enregistre la connexion daccs rseau dans un journal
de gestion. Le service RADIUS vous permet de collecter et de conserver dans un emplacement central,
plutt que sur chaque serveur daccs, les donnes dauthentification, dautorisation et de comptes des
utilisateurs relatives laccs rseau.
Proxy RADIUS
Lorsque vous utilisez le serveur NPS en tant que proxy RADIUS, vous configurez des stratgies de
demande de connexion qui spcifient, dune part, les demandes de connexion transmises par le
serveur NPS dautres serveurs RADIUS et, dautre part, les serveurs RADIUS auxquels vous souhaitez
transmettre les demandes de connexion. Vous pouvez galement configurer le serveur NPS de manire
ce quil transmette les donnes de comptes un ou plusieurs ordinateurs dans un groupe de serveurs
RADIUS distants des fins de journalisation.
Avec le serveur NPS, votre organisation peut galement sous-traiter linfrastructure daccs distance
un fournisseur de services tout en maintenant le contrle de lauthentification, de lautorisation et de
la gestion de comptes des utilisateurs.
Vous pouvez crer des configurations NPS diffrentes pour les solutions suivantes :
Accs sans fil
accs distance ou VPN dentreprise ;
Accs distance ou sans fil sous-trait
accs Internet ;
accs authentifi des ressources extranet pour les partenaires professionnels.
Serveur de stratgie NAP
8-4
Lorsque vous configurez le serveur NPS en tant que serveur de stratgie NAP, le serveur NPS value les
dclarations dintgrit envoyes par les ordinateurs clients compatibles avec la protection daccs rseau
(NAP) qui tentent de se connecter au rseau. Le serveur NPS agit galement en tant que serveur RADIUS
lorsquil est configur avec la protection NAP, en assurant lauthentification et lautorisation des
demandes de connexion. Vous pouvez configurer des stratgies NAP et des paramtres dans le
serveur NPS, y compris les programmes de validation dintgrit systme, la stratgie de contrle
dintgrit et les groupes de serveurs de mise jour qui permettent aux ordinateurs clients de mettre
jour leur configuration afin de se conformer la stratgie rseau de votre organisation.
Windows 8 et Windows Server 2012 intgrent NAP, qui contribue protger laccs aux rseaux
privs en vrifiant que les ordinateurs clients sont configurs conformment aux stratgies de
contrle dintgrit rseau de lorganisation avant quils ne puissent se connecter aux ressources rseau.
En outre, la protection daccs rseau contrle la conformit des ordinateurs clients la stratgie de
contrle dintgrit dfinie par ladministrateur lorsque lordinateur est connect au rseau. La mise
jour automatique NAP permet de garantir que les ordinateurs non conformes soient mis jour
automatiquement, ce qui assure leur mise en conformit la stratgie de contrle dintgrit afin quils
puissent se connecter au rseau.
Les administrateurs systme dfinissent des stratgies de contrle dintgrit rseau, puis crent
ces stratgies laide de composants NAP fournis soit par le serveur NPS, en fonction de votre
dploiement NAP, soit par des socits tierces.
Les stratgies de contrle dintgrit peuvent inclure les logiciels requis, les mises jour de scurit
requises et les paramtres de configuration requis. La protection daccs rseau met en uvre des
stratgies de contrle dintgrit en inspectant et en valuant lintgrit des ordinateurs clients, en
limitant laccs rseau lorsque des ordinateurs clients sont jugs dfectueux et en mettant jour les
ordinateurs clients dfectueux pour obtenir un accs rseau complet.
Dmonstration : Installation du rle Serveur NPS (Network Policy Server)

installer le rle NPS ;
inscrire NPS dans AD DS.
Installer le rle NPS
1.
Basculez vers LON-DC1.
2.
Ouvrez le Gestionnaire de serveur, puis ajoutez le rle de Stratgie rseau et services daccs.
3.
Fermez le Gestionnaire de serveur.
Inscrire NPS dans AD DS

1.
2.
Enregistrez le serveur dans AD DS.
3.
Laissez la fentre Serveur NPS (Network Policy Server) ouverte.
Outils de configuration dun serveur NPS

Aprs avoir install le rle Serveur NPS, vous
pouvez ouvrir loutil dadministration NPS dans
le menu Outils dadministration, ou ajouter le
composant logiciel enfichable pour crer un
outil MMC (Microsoft Management Console)
personnalis. Vous pouvez galement utiliser
des commandes netsh pour grer et configurer
le rle Serveur NPS.
Les outils suivants vous permettent de grer
le rle serveur Services de stratgie et
daccs rseau :
Composant logiciel enfichable MMC NP.

Utilisez le composant logiciel enfichable MMC NPS pour configurer un serveur RADIUS, un proxy
RADIUS ou une technologie NAP.
Commandes netsh pour NPS. Les commandes netsh pour NPS fournissent un jeu de commandes
qui est compltement quivalent tous les paramtres de configuration disponibles travers
le composant logiciel enfichable MMC NPS. Vous pouvez excuter des commandes netsh
manuellement linvite netsh ou dans des scripts dadministrateur.
8-5
Par exemple, aprs avoir install et configur le serveur NPS, vous pouvez enregistrer la configuration
laide de la commande netsh suivante : netsh nps show config > path\file.txt. Vous devez alors
sauvegarder la configuration NPS avec cette commande chaque fois que vous faites une modification.
Windows PowerShell. Vous pouvez galement utiliser les applets de commande Windows
PowerShell pour configurer et grer un serveur NPS.
Par exemple, pour exporter la configuration NPS, vous pouvez utiliser lapplet de commande
Export-NpsConfiguration -Path <filename>.
Dmonstration : Configuration des paramtres NPS gnraux

configurer un serveur RADIUS pour des connexions VPN ;
enregistrer la configuration.
Configurer un serveur RADIUS pour des connexions VPN
8-6
1.
Dans la console Serveur NPS, lancez la configuration VPN ou lAssistant Accs distance.
2.
Ajoutez LON-RTR en tant que client RADIUS.
3.
Utilisez un secret partag Pa$$word pour lauthentification entre le client RADIUS et le serveur NPS.
4.
Slectionnez Authentification chiffre Microsoft version 2 (MS-CHAPv2) pour lauthentification.
Enregistrer la configuration
1.
Ouvrez Windows PowerShell.
2.
Utilisez la commande Export-NpsConfiguration -Path lon-dc1.xml pour enregistrer la

configuration.
3.
Examinez cette configuration avec le Bloc-notes.
Leon 2
Configuration de clients et de serveurs RADIUS
8-7
RADIUS est un protocole dauthentification standard que beaucoup de fournisseurs utilisent pour prendre
en charge lchange dinformations dauthentification entre les lments dune solution daccs distant.
Pour centraliser les besoins dauthentification distants de votre organisation, vous pouvez configurer NPS
comme serveur RADIUS ou proxy RADIUS. Lorsque vous configurez des clients et des serveurs RADIUS,
vous devez considrer plusieurs facteurs, notamment les serveurs RADIUS qui authentifieront les
demandes de connexion des clients RADIUS et des ports que le trafic de RADIUS utilisera.
dcrire un client RADIUS ;
dcrire un proxy RADIUS ;
expliquer comment configurer un client RADIUS ;
dcrire comment utiliser une stratgie de demande de connexion ;
dcrire et configurer le traitement des demandes de connexion pour un environnement

de proxy RADIUS ;
expliquer comment crer une stratgie de demande de connexion.
Quest-ce quun client RADIUS ?

Un serveur daccs rseau est un priphrique qui
fournit un certain niveau daccs un rseau plus
important. Un serveur daccs rseau utilisant une
infrastructure RADIUS est galement un client
RADIUS, ce titre, il envoie des demandes de
connexion et des messages de comptes un
serveur RADIUS des fins dauthentification,
dautorisation et de gestion de comptes. Les
ordinateurs clients, tels que les ordinateurs
portables sans fil et dautres ordinateurs qui
excutent des systmes dexploitation clients, ne
sont pas des clients RADIUS. Les clients RADIUS
sont des serveurs daccs rseau (y compris des points daccs sans fil, des commutateurs
dauthentification 802.1X, des serveurs VPN et des serveurs daccs distance) parce quils utilisent le
protocole RADIUS pour communiquer avec les serveurs RADIUS tels que les serveurs NPS.
Pour dployer le serveur NPS en tant que serveur RADIUS, proxy RADIUS ou serveur de stratgie NAP,
vous devez configurer des clients RADIUS dans le serveur NPS.
Exemples de clients RADIUS

Voici quelques exemples de serveurs daccs rseau :
8-8
Des serveurs daccs rseau qui fournissent la connectivit daccs distance un rseau
dorganisation ou Internet, par exemple un ordinateur qui excute le systme dexploitation
Windows Server 2012 et le service de routage et daccs distance qui fournit des services daccs
distance traditionnels ou VPN lintranet dune organisation.
Des points daccs sans fil qui fournissent laccs la couche physique du rseau dune organisation
laide de technologies de transmission et de rception sans fil.
Des commutateurs qui fournissent laccs la couche physique du rseau dune organisation laide
de technologies de rseau local traditionnelles comme Ethernet.
Des proxys RADIUS NPS qui transmettent les demandes de connexion aux serveurs RADIUS membres
dun groupe de serveurs RADIUS distants que vous configurez sur le proxy RADIUS ou dautres
proxys RADIUS.
Quest-ce quun proxy RADIUS ?

Vous pouvez utiliser le serveur NPS en tant que
proxy RADIUS pour router les messages RADIUS
entre les clients RADIUS (serveurs daccs rseau)
et les serveurs RADIUS qui authentifient les
utilisateurs, leur accordent les autorisations et
excutent les oprations de gestion de comptes
associes la tentative de connexion.
Lorsque vous utilisez le serveur NPS en tant que
proxy RADIUS, le serveur NPS fait office de point
central de commutation ou de routage par lequel
transitent les messages daccs et de comptes
RADIUS. Le serveur NPS enregistre les
informations sur les messages transmis dans un journal de gestion.
Vous pouvez utiliser le serveur NPS en tant que proxy RADIUS dans les cas suivants :
Vous tes un fournisseur de services qui sous-traite des services daccs rseau distance, VPN
ou sans fil plusieurs clients.
Votre NAS envoie des demandes de connexion au proxy RADIUS NPS. En fonction de la partie de
domaine du nom dutilisateur dans la demande de connexion, le proxy RADIUS NPS transmet la
demande de connexion un serveur RADIUS gr par le client, et peut authentifier et autoriser
la tentative de connexion.
Vous souhaitez authentifier et autoriser les comptes dutilisateurs qui ne sont pas membres du
domaine dont le serveur NPS est membre ou dun domaine qui bnficie dune approbation
bidirectionnelle avec le domaine du membre du serveur NPS.
8-9
Il sagit notamment des comptes dans des domaines non approuvs, des domaines approuvs sens
unique et dautres forts. Au lieu de configurer vos serveurs daccs pour envoyer leurs demandes de
connexion un serveur RADIUS NPS, vous pouvez les configurer pour envoyer leurs demandes de
connexion un proxy RADIUS NPS. Le proxy RADIUS NPS utilise la partie du nom de domaine du
nom de lutilisateur et transmet la demande un serveur NPS dans le domaine ou la fort appropri.
Les tentatives de connexion pour les comptes dutilisateurs dans un domaine ou une fort peuvent
tre authentifies pour NAS dans un autre domaine ou une autre fort.
Vous souhaitez effectuer lauthentification et lautorisation en utilisant une base de donnes qui nest
pas une base de donnes de comptes Windows.
Dans ce cas, le serveur NPS transmet les demandes de connexion qui correspondent un nom de
domaine spcifi un serveur RADIUS, lequel a accs une autre base de donnes de comptes
dutilisateurs et de donnes dautorisation. Les bases de donnes SQL sont un autre exemple de base
de donnes utilisateur.
Vous souhaitez traiter un grand nombre de demandes de connexion. Dans ce cas, au lieu de
configurer vos clients RADIUS de manire tenter dquilibrer leurs demandes de connexion et de
comptes sur plusieurs serveurs RADIUS, vous pouvez les configurer de telle sorte quils envoient leurs
demandes de connexion et de comptes un proxy RADIUS NPS.
Le proxy RADIUS NPS quilibre dynamiquement la charge des demandes de connexion et de
comptes sur plusieurs serveurs RADIUS et augmente le traitement de grands nombres de clients
RADIUS et dauthentifications par seconde.
Vous souhaitez fournir lauthentification et lautorisation RADIUS des sous-traitants de services et

rduire les tches de configuration du pare-feu intranet.
Un pare-feu intranet se trouve entre votre intranet et votre rseau de primtre (le rseau entre votre
intranet et Internet). En plaant un serveur NPS sur votre rseau de primtre, le pare-feu situ entre
votre rseau de primtre et lintranet doit autoriser le flux de trafic entre le serveur NPS et plusieurs
contrleurs de domaine.
Si vous remplacez le serveur NPS par un proxy NPS, le pare-feu doit autoriser uniquement le flux de
trafic RADIUS entre le proxy NPS et un ou plusieurs serveurs NPS dans votre intranet.
Dmonstration : Configuration dun client RADIUS

Cette dmonstration vous indique comment configurer un client RADIUS.
1.
Ouvrez Routage et accs distant.
2.
Dsactivez la configuration existante.
3.
4.
Reconfigurez LON-RTR en tant que serveur VPN laide des paramtres suivants :
o
Interface publique : Connexion au rseau local 2
Le serveur VPN alloue des adresses du pool : 172.16.0.100 172.16.0.110
Option de configuration du serveur : Oui, configurer ce serveur pour travailler avec

un serveur RADIUS.
Serveur RADIUS principal : LON-DC1
Secret : Pa$$w0rd
Dmarrez le service VPN.
Quest-ce quune stratgie de demande de connexion ?

Les stratgies de demande de connexion sont
des jeux de conditions et de paramtres qui
permettent aux administrateurs rseau de
dsigner les serveurs RADIUS qui authentifient et
autorisent les demandes de connexion que le
serveur NPS reoit des clients RADIUS. Vous
pouvez configurer des stratgies de demande de
connexion pour dsigner les serveurs RADIUS
utiliser pour la gestion de comptes RADIUS.
Remarque : Lorsque vous dployez la
protection daccs rseau laide des mthodes de
contrainte de mise en conformit VPN ou 802.1X avec lauthentification PEAP (Protected Extensible
Authentication Protocol), vous devez configurer lauthentification PEAP dans la stratgie de demande
de connexion mme lorsque les demandes de connexion sont traites localement.
Vous pouvez crer une srie de stratgies de demande de connexion de sorte que quelques messages
de demande RADIUS envoys des clients RADIUS sont traits localement (NPS est un serveur RADIUS)
et dautres types de messages sont transfrs un autre serveur RADIUS (NPS est un proxy RADIUS).
Avec des stratgies de demande de connexion, vous pouvez utiliser NPS en tant que serveur RADIUS
ou proxy RADIUS, selon un grand choix de facteurs, notamment :
lheure et le jour de la semaine ;
le nom de domaine dans la demande de connexion ;
le type de connexion que vous demandez ;
ladresse IP du client RADIUS.
8-10 Installation, configuration et rsolution des problmes du rle de serveur NPS
Conditions
8-11
Les conditions de la stratgie de demande de connexion se composent dun ou plusieurs attributs RADIUS
qui sont valus par rapport aux attributs du message de demande daccs RADIUS entrant. Si plusieurs
conditions existent, NPS applique la stratgie uniquement si toutes les conditions dans le message de
demande de connexion et dans la stratgie de demande de connexion correspondent.
Paramtres
Les paramtres de la stratgie de demande de connexion sont un jeu de proprits qui sont appliques
un message RADIUS entrant. Les paramtres sont constitus des groupes de proprits suivants :
Authentification
Gestion
Manipulation dattribut
Avanc
Stratgie de demande de connexion par dfaut

Lorsque vous installez le serveur NPS, une stratgie de demande de connexion par dfaut est cre
avec les conditions suivantes :
Lauthentification nest pas configure.
La gestion de comptes nest pas configure de manire transmettre les informations de comptes
un groupe de serveurs RADIUS distants.
La manipulation dattribut nest pas configure avec des rgles qui modifient les attributs dans les
demandes de connexion transmises.
La transmission de la demande est active, ce qui signifie que le serveur NPS local authentifie et
autorise les demandes de connexion.
Les attributs avancs ne sont pas configurs.
La stratgie de demande de connexion par dfaut utilise le serveur NPS en tant que serveur RADIUS.
Pour configurer un serveur NPS pour agir en tant que proxy RADIUS, vous devez galement configurer un
groupe de serveurs RADIUS distants. Vous pouvez crer un groupe de serveurs RADIUS distants au cours du
processus la cration dune stratgie de demande de connexion laide de lAssistant Nouvelle stratgie de
demande de connexion. Vous pouvez soit supprimer la stratgie de demande de connexion par dfaut, soit
vrifier que la stratgie de demande de connexion par dfaut est la dernire stratgie traite.
Remarque : Si le serveur NPS et le service de routage et daccs distance sont installs
sur le mme ordinateur, et que le service de routage et daccs distance est configur
pour lauthentification et la gestion de comptes Windows, il est possible que les demandes
dauthentification et de gestion du service de routage et daccs distance soient transmises un
serveur RADIUS. Cela peut se produire lorsque les demandes dauthentification et de comptes du
service de routage et daccs distance correspondent une stratgie de demande de connexion
configure pour les transmettre un groupe de serveurs RADIUS distants.
Configuration du traitement des demandes de connexion

La stratgie de demande de connexion par dfaut
utilise le serveur NPS en tant que serveur RADIUS
et traite toutes les demandes dauthentification
localement.
lments prendre en considration

pour la configuration du traitement
des demandes de connexion
Lorsque vous configurez le traitement des
demandes de connexion, prenez en compte
les lments suivants :
Pour configurer un serveur NPS pour agir en

tant que proxy RADIUS et transmettre les demandes de connexion dautres serveurs NPS ou
RADIUS, vous devez configurer un groupe de serveurs RADIUS distants, puis ajouter une nouvelle
stratgie de demande de connexion qui spcifie les conditions et les paramtres auxquels doivent
satisfaire les demandes de connexion.
Vous pouvez utiliser lAssistant Nouvelle stratgie de demande de connexion pour crer un groupe
de serveurs RADIUS distants lors de la demande de connexion.
Si vous ne souhaitez pas que le serveur NPS agisse en tant que serveur RADIUS et traite les demandes
de connexion localement, vous pouvez supprimer la stratgie de demande de connexion par dfaut.
Si vous souhaitez que le serveur NPS agisse en tant que serveur RADIUS (pour traiter les demandes
de connexion localement) et en tant que proxy RADIUS (pour transmettre certaines demandes de
connexion un groupe de serveurs RADIUS distants), ajoutez une nouvelle stratgie, puis vrifiez
que la stratgie de demande de connexion par dfaut est la dernire stratgie traite.
Ports pour le trafic RADIUS et la journalisation

Par dfaut, le serveur NPS coute le trafic RADIUS sur les ports 1812, 1813, 1645 et 1646 pour le
protocole IPv6 (Internet version 6) et IPv4 sur toutes les cartes rseau installes.
Remarque : Si vous dsactivez le protocole IPv4 ou IPv6 sur une carte rseau,
le serveur NPS ne contrle pas trafic RADIUS pour le protocole dsinstall.
Les valeurs 1812 pour lauthentification et 1813 pour la gestion de comptes sont des ports RADIUS
standard dfinis dans les documents RFC 2865 et 2866. Toutefois, de nombreux serveurs daccs utilisent
par dfaut le port 1645 pour les demandes dauthentification et le port 1646 pour les demandes de
comptes. Lorsque vous dterminez les numros de port utiliser, assurez-vous de configurer le
serveur NPS et le serveur daccs pour utiliser les mmes numros de port. si vous nutilisez pas les
numros de port RADIUS par dfaut, vous devez configurer des exceptions sur le pare-feu pour
lordinateur local de manire activer le trafic RADIUS sur les nouveaux ports.
Configuration des informations de port UDP NPS

Vous pouvez utiliser la procdure suivante pour configurer les ports UDP utiliss par le serveur NPS
pour le trafic dauthentification et de gestion de comptes RADIUS.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine, Administrateurs de lentreprise ou Administrateurs sur lordinateur local.
Pour configurer les informations des ports UDP NPS laide de linterface Windows :
8-13
1.
Ouvrez la console NPS.
2.
Cliquez avec le bouton droit sur Serveur NPS, puis cliquez sur Proprits.
3.
Cliquez sur longlet Ports, puis examinez les paramtres des ports. Si vos ports UDP dauthentification
RADIUS et de gestion de comptes RADIUS ont des valeurs diffrentes des valeurs par dfaut fournies
(1812 et 1645 pour lauthentification, et 1813 et 1646 pour la gestion de comptes), tapez vos
paramtres de port dans Authentification et Gestion.
Remarque : Pour utiliser plusieurs paramtres de port pour des demandes

dauthentification ou de comptes, sparez les numros des ports par des virgules.
Dmonstration : Cration dune stratgie de demande de connexion

Cette dmonstration montre comment crer une stratgie de demande de connexion VPN.
1.
Sur LON-DC1, basculez vers la console Serveur NPS (Network Policy Server).
2.
Affichez les Stratgies de demande de connexion existantes. LAssistant a cr ces derniers

automatiquement quand vous avez spcifi le rle NPS de ce serveur.
3.
Crez une stratgie de demande de connexion avec les paramtres suivants :
4.
Type de serveur daccs rseau : Serveur daccs distance (VPN-Dial up)
Condition : Type de port de NAS en tant que Virtuel (VPN)
Autres paramtres : valeurs par dfaut
Attribuez la priorit la plus leve la nouvelle stratgie.
Leon 3
Mthodes dauthentification NPS
NPS authentifie et autorise la demande de connexion avant dautoriser ou de refuser laccs lorsque des
utilisateurs tentent de se connecter votre rseau par lintermdiaire de serveurs daccs rseau (aussi
appels clients RADIUS), tels que des points daccs sans fil, des commutateurs dauthentification 802.1X,
des serveurs daccs distance et des serveurs VPN.
Lauthentification tant le processus de vrification de lidentit de lutilisateur ou de lordinateur qui
essaie de se connecter au rseau, le serveur NPS doit recevoir une preuve didentit de lutilisateur
ou de lordinateur sous forme dinformations didentification.
Certaines mthodes dauthentification implmentent lutilisation dinformations didentification bases sur

un mot de passe. Le serveur daccs rseau passe ensuite ces informations didentification au serveur NPS
qui vrifie les informations didentification dans la base de donnes des comptes dutilisateurs.
Dautres mthodes dauthentification implmentent lutilisation dinformations didentification bases sur
des certificats pour lutilisateur, lordinateur client, le serveur NPS ou une combinaison de ces lments.
Les mthodes dauthentification bases sur les certificats offrent une scurit forte et sont prfrables
aux mthodes dauthentification par mot de passe.
Lorsque vous dployez le serveur NPS, vous pouvez spcifier le type de mthode dauthentification
utiliser pour laccs votre rseau.
Dcrivez les mthodes dauthentification bases sur un mot de passe pour un serveur NPS.
Dcrivez la manire dont les certificats sont utiliss pour fournir lauthentification pour des clients
rseau.
Dcrivez les types de certificats requis pour diffrentes mthodes dauthentification.
Dcrivez comment dployer des certificats pour PEAP et EAP.
Mthodes dauthentification par mot de passe

Chaque mthode dauthentification prsente des
avantages et des inconvnients en termes de
scurit, de facilit dutilisation et dtendue de la
prise en charge. Toutefois, nous dconseillons les
mthodes dauthentification par mot de passe car
elles ne garantissent pas une scurit renforce.
Nous recommandons plutt lutilisation dune
mthode dauthentification base sur les certificats
pour toutes les mthodes daccs rseau qui
prennent en charge lutilisation de certificats. Cela
sapplique particulirement aux connexions sans fil
pour lesquelles nous recommandons lutilisation
de la mthode PEAP-MS-CHAP v2 ou PEAP-TLS.
La mthode dauthentification dont vous avez besoin est dtermine par la configuration du serveur
daccs rseau, de lordinateur client et de la stratgie rseau sur le serveur NPS. Consultez la
documentation de votre serveur daccs pour dterminer les mthodes dauthentification qui sont
prises en charge.
8-15
Vous pouvez configurer le serveur NPS de telle sorte quil accepte plusieurs mthodes dauthentification.
Vous pouvez galement configurer vos serveurs daccs rseau, aussi appels clients RADIUS, de manire
ce quils tentent de ngocier une connexion avec les ordinateurs en utilisant diffrents protocoles, du
plus scuris au moins scuris. Par exemple, le service de routage et daccs distance essaie de ngocier
une connexion laide des protocoles suivants dans lordre indiqu :
1.
Protocole EAP (Extensible Authentication Protocol)
2.
MS-CHAP v2
3.
MS-CHAP
4.
Protocole CHAP (Challenge Handshake Authentication Protocol)
5.
Protocole SPAP (Shiva Password Authentication Protocol)
6.
Protocole PAP (Password Authentication Protocol)
Lorsque le protocole EAP est choisi comme mthode dauthentification, la ngociation du type EAP
se produit entre le client daccs et le serveur NPS.
MS-CHAP Version 2
Le protocole MS-CHAP v2 offre une scurit renforce pour les connexions daccs rseau par rapport
son prdcesseur (MS-CHAP). Le protocole MS-CHAP v2 est un processus dauthentification mutuelle par
mot de passe chiffr sens unique. Il fonctionne comme suit :
1.
Lauthentificateur (serveur daccs rseau ou serveur NPS) envoie au client distant une demande
daccs qui se compose dun identificateur de session et dune chane de demande daccs arbitraire.
2.
Le client daccs envoie une rponse qui contient :
3.
4.
le nom dutilisateur ;
une chane de demande daccs de lhomologue arbitraire ;
un chiffrement sens unique de la chane de demande daccs reue, la chane de demande

daccs de lhomologue arbitraire, lidentificateur de session et le mot de passe de lutilisateur.
Lauthentificateur vrifie la rponse du client et met une rponse contenant :

o
une indication de la russite ou de lchec de la tentative de connexion ;
une rponse authentifie base sur la chane de demande daccs envoye, la chane de
demande daccs de lhomologue, la rponse chiffre du client et le mot de passe de lutilisateur.
Le client daccs vrifie la rponse dauthentification et utilise la connexion si celle-ci est valide.
Si la rponse dauthentification est incorrecte, le client daccs met fin la connexion.
MS-CHAP
Le protocole MS-CHAP, aussi appel MS-CHAP version 1, est un protocole dauthentification par mot de
passe irrversible et chiffr.
Le processus de demande daccs fonctionne comme suit :
1.
Lauthentificateur (serveur daccs rseau ou serveur NPS) envoie au client distant une demande
daccs qui se compose dun identificateur de session et dune chane de demande daccs arbitraire.
2.
Le client daccs envoie une rponse qui contient le nom de lutilisateur ainsi quun chiffrement
irrversible de la chane de demande daccs, lidentificateur de la session et le mot de passe.
3.
Lauthentificateur vrifie la rponse et, si elle est valide, authentifie les informations didentification
de lutilisateur.
Remarque : Si vous utilisez le protocole MS-CHAP, MS-CHAP v2 ou EAP-TLS comme

protocole dauthentification, vous pouvez utiliser le chiffrement MPPE (Microsoft Point-to-Point
Encryption) pour chiffrer les donnes envoyes sur la connexion PPP (Point-to-Point Protocol)
ou PPTP (Point-to-Point Tunneling Protocol).
Le protocole MS-CHAP v2 offre une scurit renforce pour les connexions daccs rseau par
rapport au protocole MS-CHAP. Il est recommand dutiliser le protocole MS-CHAP v2 la place
du protocole MS-CHAP.
CHAP
Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole dauthentification
par demande daccs/rponse qui utilise le schma de hachage MD5 (Message Digest 5) standard pour
chiffrer la rponse.
Plusieurs fournisseurs de clients et serveurs daccs rseau utilisent le protocole CHAP. Un serveur qui
excute le service de routage et daccs distance prend en charge le protocole CHAP, ce qui permet
aux clients daccs qui requirent le protocole CHAP dtre authentifis. Le protocole CHAP ncessitant
lutilisation dun mot de passe chiffr rversible, songez utiliser un autre protocole dauthentification,
par exemple MS-CHAP v2.
Autres aspects prendre en considration

Tenez compte des points suivants lors de limplmentation de CHAP :
Lorsque les mots de passe des utilisateurs expirent, le protocole CHAP ne permet pas aux utilisateurs
de modifier leurs mots de passe au cours du processus dauthentification.
Vrifiez que votre serveur daccs rseau prend en charge le protocole CHAP avant de lactiver sur
une stratgie rseau dun serveur NPS. Pour plus dinformations, consultez la documentation de votre
serveur daccs rseau.
Vous ne pouvez pas utiliser MPPE avec le protocole CHAP.
PAP
8-17
Ce protocole utilise des mots de passe en clair et constitue le protocole dauthentification le moins sr.
Il est ngoci en gnral si le client daccs et serveur daccs rseau ne peuvent ngocier aucune autre
mthode dauthentification plus scurise. Lorsque vous activez le protocole PAP comme protocole
dauthentification, les mots de passe des utilisateurs sont envoys sous forme de texte en clair. Toute
personne capturant les paquets du processus dauthentification peut aisment lire le mot de passe,
puis lutiliser pour accder votre intranet de faon non autorise. Lutilisation du protocole PAP est
fortement dconseille, surtout pour les connexions VPN.
Accs non authentifi
Dans le cadre dun accs non authentifi, les informations didentification de lutilisateur (nom dutilisateur
et mot de passe) ne sont pas requises. Bien que laccs non authentifi soit utile dans certains cas, nous
dconseillons en gnral son dploiement dans le rseau de votre organisation.
Lorsque vous activez laccs non authentifi, les utilisateurs peuvent accder votre rseau sans envoyer
dinformations didentification de lutilisateur. En outre, les clients daccs non authentifis ne ngocient
pas lutilisation dun protocole dauthentification commun pendant le processus dtablissement de la
connexion et nenvoient pas de nom dutilisateur ni de mot de passe au serveur NPS.
Si vous autorisez laccs non authentifi, les clients peuvent se connecter sans tre authentifis si les
protocoles dauthentification configurs sur le client daccs ne correspondent pas aux protocoles
dauthentification configurs sur le serveur daccs rseau. Dans ce cas, lutilisation dun protocole
dauthentification commun nest pas ngocie, et le client daccs nenvoie pas de nom dutilisateur
ni de mot de passe. Cette circonstance pose un srieux problme de scurit. Par consquent, laccs
non authentifi ne doit pas tre autoris sur la plupart des rseaux.
Utilisation de certificats pour lauthentification

Les certificats sont des documents numriques
mis par les autorits de certification (CA), par
exemple les services de certificats Active Directory
(AD CS) ou lautorit de certification publique
Verisign. Les applications des certificats sont
nombreuses, notamment la signature de code
et la scurisation des communications par
messagerie lectronique. Toutefois, avec le
serveur NPS, les certificats sont utiliss pour
lauthentification daccs rseau car ils fournissent
une scurit forte pour authentifier les utilisateurs
et les ordinateurs, et vous vitent davoir recours
des mthodes dauthentification bases sur un mot de passe moins scurises.
Les serveurs NPS utilisent les protocoles EAP-TLS et PEAP pour effectuer lauthentification base sur les
certificats pour de nombreux types daccs rseau, y compris les connexions VPN et sans fil.
Mthodes dauthentification
Deux mthodes dauthentification, lorsque vous les configurez avec des types dauthentification base
sur les certificats, utilisent des certificats : EAP et PEAP. Avec le protocole EAP, vous pouvez configurer
le type dauthentification TLS (EAP-TLS) ; et avec le protocole PEAP, vous pouvez configurer les types
dauthentification TLS (PEAP-TLS) et MS-CHAP v2 (PEAP-MS-CHAP v2). Ces mthodes dauthentification
utilisent toujours des certificats pour lauthentification serveur. En fonction du type dauthentification que
vous configurez avec la mthode dauthentification, vous pouvez galement utiliser des certificats pour
lauthentification dutilisateurs et lauthentification dordinateurs clients.
Remarque : Lutilisation de certificats dans le cadre de lauthentification de connexion VPN
constitue la forme dauthentification la plus puissante dans Windows Server 2008 R2. Vous devez
utiliser des certificats pour lauthentification dIPsec sur les connexions VPN qui sont bass
sur le protocole L2TP/IPsec (Layer Two Tunneling protocol over Internet protocol security).
Les connexions PPTP ne requirent pas de certificats, bien que vous puissiez configurer des
connexions PPTP de manire utiliser des certificats pour lauthentification dordinateur
lorsque vous utilisez la mthode dauthentification EAP-TLS. Pour les clients sans fil (appareils
informatiques avec des cartes rseau sans fil, tels quun ordinateur portable ou un assistant
numrique personnel), utilisez la mthode dauthentification PEAP avec EAP-TLS et des cartes
puce ou des certificats.
Remarque : Vous pouvez dployer des certificats en vue dune utilisation avec le
serveur NPS en installant et en configurant le rle serveur AD CS.
Authentification mutuelle
Lorsque vous utilisez le protocole EAP avec un type EAP fort (par exemple la scurit TLS avec des cartes
puce ou des certificats), le client et le serveur utilisent des certificats pour vrifier leurs identits les uns par
rapports aux autres, cette procdure est galement appele authentification mutuelle. Les certificats
doivent rpondre des exigences spcifiques pour que le serveur et le client puissent les utiliser pour
lauthentification mutuelle.
Entre autres, le certificat doit tre configur avec un ou plusieurs rles dans les extensions dutilisation
amliore de la cl (EKU) qui correspondent lutilisation du certificat. Par exemple, vous devez configurer
un certificat que vous utilisez pour lauthentification dun client avec le rle Authentification du client. De la
mme faon, vous devez configurer un certificat que vous utilisez pour lauthentification dun serveur avec le
rle Authentification du serveur. Lorsque vous utilisez des certificats pour lauthentification, lauthentificateur
examine le certificat client la recherche de lidentificateur dobjet de rle correct dans les extensions EKU.
Par exemple, lidentificateur dobjet pour le rle Authentification du client est 1.3.6.1.5.5.7.3.2. Lorsque vous
utilisez un certificat pour lauthentification dordinateur client, cet identificateur dobjet doit tre prsent
dans les extensions EKU du certificat ; sinon, lauthentification choue.
Modles de certificats
8-19
Modles de certificats est un composant logiciel enfichable MMC qui permet la personnalisation de
certificats mis par les services AD CS. Il est possible de personnaliser le mode dmission des certificats
et leur contenu, y compris leurs rles. Dans Modles de certificats, vous pouvez utiliser un modle par
dfaut, tel que le modle Ordinateur, pour dfinir le modle utilis par lautorit de certification pour
affecter des certificats aux ordinateurs. Vous pouvez galement crer un modle de certificat et lui
affecter des rles dans les extensions EKU. Par dfaut, le modle Ordinateur inclut les rles
Authentification du client et Authentification du serveur dans les extensions EKU.
Le modle de certificat que vous crez peut inclure le rle de votre choix. Par exemple, si vous utilisez des
cartes puce pour lauthentification, vous pouvez inclure le rle Ouverture de session par carte puce
en plus du rle Authentification du client. Lorsque vous utilisez le serveur NPS, vous pouvez le configurer
pour vrifier les rles du certificat avant daccorder lautorisation rseau. Le serveur NPS peut vrifier
des rles EKU et de stratgie dmission supplmentaires (aussi appels stratgies de certificat).
Remarque : Certains logiciels dautorit de certification non-Microsoft peuvent contenir
un rle nomm Tout, celui-ci reprsentant tous les rles possibles. Cela est indiqu par une
extension EKU vide (ou nulle). Bien que Tout signifie tous les rles possibles , vous ne pouvez
pas remplacer le rle Authentification du client, le rle Authentification du serveur ou tout autre
rle en rapport lauthentification daccs rseau par le rle Tout.
Certificats requis pour lauthentification

Le tableau suivant fournit le dtail des certificats
requis pour dployer correctement chacune
des mthodes dauthentification bases sur les
certificats rpertories.
Certificat
Certificat
dautorit de
certification dans
le magasin de
certificats
Autorits de
certification racine
approuves pour
lordinateur local
et lutilisateur
actuel
Requis pour
lauthentification EAP-TLS
et PEAP-TLS ?
Oui. Le certificat dautorit
de certification est inscrit
automatiquement pour
les ordinateurs membres
du domaine. Pour les
ordinateurs qui ne sont
pas membres du domaine,
vous devez importer
manuellement le certificat
dans le magasin de
certificats.
Requis pour
lauthentification
PEAP-MS-CHAP v2 ?
Oui. Ce certificat est
inscrit automatiquement
pour les ordinateurs
membres du domaine.
Pour les ordinateurs qui
ne sont pas membres du
domaine, vous devez
importer manuellement
le certificat dans le
magasin de certificats.
Dtails
Pour
lauthentification
PEAP-MS-CHAP v2,
ce certificat est
requis pour
lauthentification
mutuelle entre le
client et le serveur.
(suite)
Certificat
Requis pour
lauthentification EAP-TLS
et PEAP-TLS ?
Requis pour
lauthentification
PEAP-MS-CHAP v2 ?
Dtails
Certificat
dordinateur
client dans le
magasin de
certificats
du client
Oui. Les certificats

dordinateur client sont
requis moins que les
certificats utilisateur ne
soient distribus sur des
cartes puce. Les certificats
clients sont inscrits
automatiquement pour
les ordinateurs membres
du domaine. Pour les
ordinateurs qui ne sont pas
membres du domaine, vous
devez importer le certificat
manuellement ou lobtenir
avec loutil dinscription via
le Web.
Non. Lauthentification
utilisateur est effectue
avec des informations
didentification bases
sur un mot de passe, et
non avec des certificats.
Si vous dployez des

certificats utilisateur
sur des cartes puce,
les ordinateurs
clients nont pas
besoin de certificats
clients.
Certificat de
serveur dans le
magasin de
certificats du
serveur NPS
Oui. Vous pouvez

configurer les lments
suivants :
AD CS de manire inscrire
automatiquement les
certificats de serveur auprs
des membres du groupe de
serveurs RAS et IAS dans
AD DS.
Oui. Outre lutilisation

des services AD CS pour
les certificats de serveur,
vous pouvez acheter des
certificats de serveur
auprs dautres autorits
de certification que les
ordinateurs clients
approuvent dj.
Le serveur NPS
envoie le certificat de
serveur lordinateur
client. Lordinateur
client utilise le
certificat pour
authentifier le
serveur NPS.
Certificat
utilisateur sur une
carte puce
AD CS de manire inscrire
automatiquement les
certificats de serveur auprs
des membres du groupe de
serveurs RAS et IAS dans
AD DS.
Non. Lauthentification
utilisateur est effectue
avec des informations
didentification bases
sur un mot de passe, et
non avec des certificats.
Pour EAP-TLS et
PEAP-TLS, si vous
ninscrivez pas
automatiquement les
certificats
dordinateur client,
des certificats
utilisateur sur les
cartes puce sont
requis.
Lauthentification 802.1X de linstitut IEEE (Institute of Electrical and Electronics Engineers, Inc.) offre
un accs authentifi aux rseaux sans fil 802.11 et aux rseaux Ethernet cbls. 802.1X prend en charge
les types EAP scuriss, tels que la scurit TLS avec les cartes puce ou les certificats. Vous pouvez
configurer lauthentification 802.1X avec EAP-TLS de plusieurs manires.
8-21
Si vous configurez loption Valider le certificat du serveur sur le client, le client authentifie le serveur
en utilisant son certificat. Lauthentification de lordinateur client et de lutilisateur est accomplie
laide de certificats du magasin de certificats client ou dune carte puce, garantissant une
authentification mutuelle.
Avec les clients sans fil, vous pouvez utiliser la mthode dauthentification PEAP-MS-CHAP v2. Cette
dernire est une mthode dauthentification utilisateur base sur mot de passe qui utilise la scurit TLS
avec les certificats de serveur. Pendant lauthentification PEAP-MS-CHAP v2, le serveur NPS fournit un
certificat pour valider son identit au client (si loption Valider le certificat du serveur est configure sur le
client Windows 8). Lauthentification de lordinateur client et de lutilisateur est accomplie laide de mots
de passe, ce qui simplifie en partie le dploiement de certificats vers les ordinateurs clients sans fil.
Dploiement de certificats pour lauthentification PEAP et EAP

Tous les certificats que vous utilisez pour
lauthentification daccs rseau avec les mthodes
EAP-TLS et PEAP doivent satisfaire aux exigences
des certificats X.509 et fonctionner avec des
connexions SSL/TLS (Secure Sockets LayerTransport Layer Security). Lorsque ces conditions
sont remplies, les certificats client et serveur
imposent des exigences supplmentaires.
Exigences relatives aux certificats

de serveur
Vous pouvez configurer des clients pour valider
des certificats de serveur laide de loption
Valider le certificat du serveur dans les proprits du protocole dauthentification. Avec la mthode
dauthentification PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS, le client accepte la tentative
dauthentification serveur lorsque le certificat satisfait aux conditions suivantes :
Le nom du sujet contient une valeur. Si vous mettez un certificat votre serveur NPS avec un sujet
vide, le certificat nest pas disponible pour authentifier votre serveur NPS. Pour configurer le modle
de certificat avec un nom de sujet :
a.
Ouvrez Modles de certificats.
b.
Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.
c.
Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations Active
Directory.
d.
Dans Format du nom du sujet, slectionnez une valeur autre que None.
Le certificat dordinateur sur le serveur est li une autorit de certification racine de confiance et
satisfait tous les contrles effectus par CryptoAPI ou spcifis par les stratgies daccs distance
ou rseau.
Le certificat de serveur NPS ou VPN est configur avec le rle Authentification du serveur dans les
extensions EKU (lidentificateur dobjet pour le rle Authentification du serveur est 1.3.6.1.5.5.7.3.1).
Le certificat de serveur est configur avec la valeur dalgorithme requise RSA. Pour configurer le
paramtre de chiffrement requis :
a.
b. Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
c.
Cliquez sur longlet Chiffrement. Dans Nom de lalgorithme, cliquez sur RSA. Vrifiez que
Taille de cl minimale est dfinie sur 2048.
Lextension Autre nom de lobjet (SubjectAltName), si vous lutilisez, doit contenir le nom de domaine
pleinement qualifi (FQDN, Fully Qualified Domain Name) du serveur. Pour configurer le modle de
certificat avec le nom DNS (Domain Name System) du serveur dinscription :
a.
c.
Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations
Active Directory.
d. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.
Avec les mthodes PEAP-TLS et EAP-TLS, les serveurs affichent une liste de tous les certificats installs
dans le composant logiciel enfichable Certificats, avec les exceptions suivantes :
les certificats qui ne contiennent pas le rle Authentification du serveur dans les extensions EKU ;
les certificats qui ne contiennent pas de nom de sujet ;
les certificats bass sur le Registre et douverture de session par carte puce.
Exigences relatives aux certificats clients

Avec la mthode dauthentification EAP-TLS ou PEAP-TLS, le serveur accepte la tentative
dauthentification du client lorsque le certificat satisfait aux conditions suivantes :
Une autorit de certification dentreprise a mis le certificat client ou est mappe un compte
dutilisateur ou dordinateur Active Directory.
Le certificat utilisateur ou dordinateur sur le client est li une autorit de certification racine de
confiance. Il inclut le rle Authentification du client dans les extensions EKU (lidentificateur dobjet
pour le rle Authentification du client est 1.3.6.1.5.5.7.3.2) ; et satisfait aux contrles effectus par
CryptoAPI, spcifis par les stratgies daccs distance ou rseau, et aux contrles didentificateur
dobjet Certificat, spcifis par les stratgies daccs distance IAS ou rseau NPS.
Le client 802.1X nutilise pas les certificats bass sur le Registre qui sont des certificats douverture de
session par carte puce ou des certificats protgs par un mot de passe.
Pour les certificats utilisateur, lextension Autre nom de lobjet (SubjectAltName) dans le certificat
contient le nom principal de lutilisateur. Pour configurer le nom principal de lutilisateur dans un
modle de certificat :
8-23
a.
b.
Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
c.
Active Directory.
d.
Dans Inclure cette information dans le nom de substitution du sujet, slectionnez

User principal name (UPN).
Pour les certificats dordinateur, lextension Autre nom de lobjet (SubjectAltName) dans le certificat
doit contenir le nom de domaine complet du client, aussi appel nom DNS . Pour configurer ce
nom dans le modle de certificat :
a.
c.
Active Directory.
d. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.
Avec les mthodes PEAP-TLS et EAP-TLS, les clients affichent une liste de tous les certificats installs dans
le composant logiciel enfichable Certificats, avec les exceptions suivantes :
Les clients sans fil naffichent pas les certificats bass sur le Registre ni les certificats douverture de
session par carte puce.
Les clients sans fil et les clients VPN naffichent pas les certificats protgs par un mot de passe.
Les certificats qui ne contiennent pas le rle Authentification du client dans les extensions EKU.
Leon 4
Analyse et rsolution des problmes dun serveur NPS
Vous pouvez analyser le serveur NPS en configurant et en utilisant la journalisation des vnements et les
demandes dauthentification et de comptes dutilisateurs. La journalisation des vnements vous permet
denregistrer des vnements NPS dans les journaux systme et les journaux des vnements de scurit.
Vous pouvez utiliser la journalisation des demandes pour lanalyse des connexions et la facturation.
Les informations collectes dans les fichiers journaux sont utiles pour rsoudre les problmes de
tentatives de connexion et pour tudier la scurit.
dcrire les mthodes danalyse du protocole NPS :
expliquer comment configurer des proprits des fichiers journaux ;
expliquer comment configurer la journalisation SQL Server sur le serveur NPS ;
expliquer configurer lenregistrement dvnements NPS dans lObservateur dvnements.
Mthodes danalyse du serveur NPS

Deux mthodes de gestion de comptes, ou
journalisation, soffrent vous pour analyser
le serveur NPS :
Journalisation des vnements pour le

serveur NPS. Vous pouvez utiliser la
journalisation des vnements pour
enregistrer les vnements NPS dans les
journaux systme et les journaux des
vnements de scurit. Ce type de
journalisation est principalement utilis pour
auditer et dpanner les tentatives de
connexion.
Journalisation des demandes dauthentification et de comptes dutilisateurs. Vous pouvez enregistrer

les demandes dauthentification et de comptes dutilisateurs dans des fichiers journaux au format
texte ou base de donnes, ou encore dans une procdure stocke dans une base de donnes
SQL Server. La journalisation des demandes est particulirement utile pour lanalyse des connexions
et la facturation. Vous pouvez aussi vous en servir comme outil pour tudier la scurit puisquelle
permet didentifier lactivit dun intrus.
Pour utiliser le plus efficacement possible la journalisation NPS :
Activez la journalisation (au dpart) pour les enregistrements dauthentification et de comptes.

Modifiez ces choix aprs avoir dtermin ce qui convient votre environnement.
Vrifiez que vous configurez la journalisation des vnements avec une capacit suffisante pour
prendre en charge vos journaux.
Sauvegardez rgulirement tous les fichiers journaux car il vous sera impossible de les recrer si vous
les endommagez ou les supprimez.
8-25
Utilisez lattribut Class RADIUS pour suivre lemploi et simplifier lidentification des services ou des
utilisateurs facturer. Bien que lattribut Class, qui est gnr automatiquement, soit unique pour
chaque demande, des enregistrements dupliqus peuvent exister lorsque la rponse au serveur
daccs est perdue et que la demande est renvoye. Vous devrez peut-tre supprimer les demandes
dupliques dans vos journaux pour obtenir un suivi prcis de lutilisation.
Pour gnrer un basculement et une redondance dans le cadre de la journalisation SQL Server, placez
deux ordinateurs quips de SQL Server sur des sous-rseaux diffrents. Utilisez lAssistant Cration
dune publication de SQL Server pour configurer la rplication de la base de donnes entre les deux
serveurs. Pour plus dinformations, consultez la documentation SQL Server.
Remarque : Pour interprter des donnes journalises, consultez les informations

du site Web Microsoft TechNet :
Interprter les fichiers journaux au format de base de donnes NPS
http://go.microsoft.com/fwlink/?LinkID=214832&clcid=0x409
Enregistrement de la gestion des comptes NPS

Vous pouvez configurer le serveur NPS pour
effectuer la gestion de comptes RADIUS pour
les demandes dauthentification utilisateur, les
messages dacceptation daccs, les messages de
rejet daccs, les demandes et les rponses de
comptes, et les mises jour de statut priodique.
Vous pouvez utiliser cette procdure pour
configurer les fichiers journaux o vous souhaitez
stocker les donnes de comptes.
lments prendre en considration

pour la configuration de la gestion
de comptes pour NPS
La liste suivante fournit plus dinformations sur la configuration de la gestion de comptes NPS :
Pour envoyer les donnes du fichier journal afin dtre collectes par un autre processus, vous pouvez
configurer le service NPS de manire crire dans un canal nomm. Pour utiliser des canaux
nomms, dfinissez le dossier du fichier journal comme suit : \\.\canal ou \\ComputerName\canal. Le
programme serveur de canal nomm cre un canal nomm appel \\.\canal\iaslog.log pour accepter
les donnes. Dans la bote de dialogue Proprits de Fichier local, dans Crer un fichier journal,
slectionnez Jamais (taille de fichier non limite) lorsque vous utilisez des canaux nomms.
Pour crer le rpertoire du fichier journal, utilisez des variables denvironnement systme (au lieu de
variables utilisateur), telles que %systemdrive%, %systemroot% et %windir%. Par exemple, le chemin
daccs suivant, qui utilise la variable denvironnement %windir%, localise le fichier journal dans le
rpertoire systme du sous-dossier \System32\Logs (cest--dire %windir%\System32\Logs\).
Le fait de changer de formats de fichier journal nentrane pas la cration dun nouveau journal.
Si vous modifiez les formats de fichier journal, le fichier actif au moment de la modification contient
un mlange des deux formats. Les enregistrements en dbut de journal appliqueront lancien format,
tandis que les enregistrements en fin de journal auront le nouveau format.
Si vous grez un serveur NPS distance, vous ne pouvez pas parcourir la structure de rpertoires.
Pour journaliser des informations de comptes sur un serveur distant, spcifiez le nom du fichier
journal en tapant un nom UNC (Universal Naming Convention), par exemple
\\MyLogServer\LogShare.
Si la gestion de comptes RADIUS choue en raison dun lecteur de disque dur plein ou pour dautres
motifs, le serveur NPS cesse de traiter les demandes de connexion, ce qui empche les utilisateurs
daccder aux ressources rseau.
Le serveur NPS vous permet denregistrer des journaux dans une base de donnes SQL Server en plus,
ou la place, de lenregistrement dans un fichier local.
Remarque : Si vous ne spcifiez pas un chemin daccs complet dans le rpertoire

du fichier journal, le chemin par dfaut est utilis. Par exemple, si vous tapez NPSLogFile
dans le rpertoire du fichier journal, le fichier se trouve lemplacement
%systemroot%\System32\NPSLogFile.
Configuration des proprits des fichiers journaux
Pour configurer les proprits des fichiers journaux laide de linterface Windows, procdez comme suit :
1.
Ouvrez le composant logiciel enfichable MMC Serveur NPS.
2.
Dans larborescence de la console, cliquez sur Gestion.
3.
Dans le volet dinformations, cliquez sur Modifier les proprits du fichier journal.
4.
Dans Proprits du fichier journal, sur longlet Fichier journal, dans Rpertoire, tapez
lemplacement o vous souhaitez stocker les fichiers journaux NPS. Lemplacement par dfaut est
le dossier systemroot\System32\LogFiles.
5.
Dans Format, slectionnez Compatible DTS, ODBC (hrit) et IAS (hrit).
6.
Pour configurer le serveur NPS de manire dmarrer de nouveaux fichiers journaux des intervalles
spcifis, cliquez sur lintervalle que vous souhaitez utiliser :
Pour un volume de transaction lourd et des activits de journalisation importantes, cliquez sur
Chaque jour.
Pour des volumes de transaction et des activits de journalisation moindres, cliquez sur
Hebdomadaire ou Tous les mois.
Pour stocker toutes les transactions dans un fichier journal, cliquez sur Jamais (taille de fichier
non limite).
Pour limiter la taille de chaque fichier journal, cliquez sur Lorsque le fichier journal atteint
cette taille, puis tapez une taille de fichier. La taille par dfaut est de 10 mgaoctets (Mo).
7.
Pour configurer le serveur NPS de manire supprimer automatiquement des fichiers journaux
lorsque le disque est plein, cliquez sur Lorsque le disque est plein, supprimer les anciens fichiers
journaux. Si le fichier journal le plus ancien est le fichier journal actif, il nest pas supprim.
Configuration de la journalisation SQL Server

Vous pouvez configurer NPS pour excuter la
gestion de comptes RADIUS dans une base de
donnes SQL Server. Vous pouvez utiliser cette
procdure pour configurer les proprits de
journalisation et la connexion au serveur,
excutant SQL Server, qui stocke vos donnes
de comptes. La base de donnes SQL Server
peut se trouver sur lordinateur local ou sur un
serveur distant.
Remarque : Le serveur NPS met en
forme les donnes de comptes en tant que
document XML, puis envoie ce document la procdure stocke report_event dans la base de
donnes SQL Server que vous dsignez dans le serveur NPS. Pour que la journalisation SQL Server
fonctionne correctement, vous devez avoir une procdure stocke nomme report_event dans la
base de donnes SQL Server qui peut recevoir les documents XML du serveur NPS et les analyser.
Configuration de la journalisation SQL Server dans le serveur NPS
8-27
Pour configurer la journalisation SQL Server dans le serveur NPS laide de linterface Windows, procdez
comme suit :
1.
Ouvrez le composant logiciel enfichable MMC Serveur NPS.
2.
Dans larborescence de la console, cliquez sur Gestion.
3.
Dans le volet dinformations, cliquez sur Modifier les proprits de journalisation SQL Server.
La bote de dialogue Proprits de journalisation SQL Server souvre.
4.
Dans Enregistrer les informations suivantes, slectionnez les informations enregistrer :
5.
Pour journaliser toutes les demandes de comptes, cliquez sur Demandes de comptes.
Pour journaliser les demandes dauthentification, cliquez surDemandes dauthentification.
Pour journaliser le statut priodique, tel que les demandes de comptes intrimaires, cliquez sur
Statut de gestion de compte priodique.
Pour journaliser le statut priodique, tel que les demandes dauthentification intrimaires, cliquez
sur Statut dauthentification priodique.
Pour configurer le nombre de sessions simultanes que vous souhaitez autoriser entre le serveur NPS
et la base de donnes SQL Server, tapez un nombre dans Nombre maximal de sessions
simultanes.
6.
7.
Cliquez sur Configurer pour configurer la source de donnes SQL Server. La bote de dialogue
Proprits de liaison de donnes souvre. Sous longlet Connexion, indiquez les informations
suivantes :
Pour spcifier le nom du serveur sur lequel la base de donnes est stocke, tapez ou slectionnez
un nom dans Slectionnez un serveur ou entrez un nom de serveur.
Pour spcifier la mthode dauthentification avec laquelle se connecter au serveur, cliquez sur
Scurit intgre de Windows NT ou sur Utiliser un nom dutilisateur et mot de passe
spcifiques, puis saisissez vos informations didentification Nom dutilisateur et Mot de passe.
Pour autoriser un mot de passe vide, cliquez sur Mot de passe vide.
Pour stocker le mot de passe, cliquez sur Autoriser lenregistrement du mot de passe.
Pour spcifier quelle base de donnes se connecter sur lordinateur SQL Server, cliquez sur
Slectionnez la base de donnes sur le serveur, puis slectionnez un nom de base de donnes
dans la liste.
Pour tester la connexion entre le serveur NPS et lordinateur sur lequel sexcute SQL Server, cliquez
sur Tester la connexion.
Configuration des vnements NPS enregistrer dans lObservateur

dvnements
Vous pouvez configurer la journalisation des
vnements NPS de manire enregistrer les
vnements dchec et de russite des demandes
de connexion dans le journal systme Observateur
dvnements.
Configuration de la journalisation
des vnements NPS
Pour configurer la journalisation des vnements
NPS laide de linterface Windows, procdez
comme suit :
1.
Ouvrez le composant logiciel enfichable

Serveur NPS (Network Policy Server).
2.
Cliquez avec le bouton droit sur NPS (Local), puis cliquez sur Proprits.
3.
Sous longlet Gnral, cochez la case des deux options suivantes, selon les besoins, puis cliquez
sur OK:
o
Demandes dauthentification rejetes
Demandes dauthentification russies
Remarque : pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine ou du groupe Administrateurs de lentreprise.
laide des journaux des vnements dans lObservateur dvnements, vous pouvez analyser les
erreurs NPS et dautres vnements enregistrs par le serveur NPS selon vos spcifications.
8-29
Le serveur NPS enregistre les vnements dchec des demandes de connexion dans les journaux systme
et les journaux des vnements de scurit par dfaut. Les vnements dchec des demandes de
connexion se composent des demandes refuses ou ignores par le serveur NPS. Dautres vnements
dauthentification NPS sont enregistrs dans le journal systme de lObservateur dvnements en
fonction des paramtres que vous spcifiez dans le composant logiciel enfichable Serveur NPS. Par
consquent, le journal de scurit de lObservateur dvnements peut enregistrer certains vnements
qui contiennent des donnes sensibles.
vnements dchec des demandes de connexion
Bien que le serveur NPS enregistre les vnements dchec des demandes de connexion par dfaut, vous
pouvez modifier la configuration en fonction de vos besoins de journalisation. Le serveur NPS refuse
ou ignore des demandes de connexion pour diverses raisons, en particulier :
La mise en forme du message RADIUS nest pas conforme au document RFC 2865 ou 2866.
Le client RADIUS est inconnu.
Le client RADIUS a plusieurs adresses IP et a envoy la demande sur une adresse autre que celle
dfinie dans NPS.
Lauthentificateur de message (aussi appel signature numrique) que le client a envoy nest pas
valide car le secret partag nest pas valide.
Le serveur NPS na pas pu localiser le domaine du nom dutilisateur.
Le serveur NPS na pas pu se connecter au domaine du nom dutilisateur.
Le serveur NPS na pas pu accder au compte dutilisateur dans le domaine.
Lorsque le serveur NPS refuse une demande de connexion, les informations dans le texte dvnement
contiennent le nom dutilisateur, les identificateurs de serveur daccs, le type dauthentification, le nom
de la stratgie rseau correspondante, la raison du refus et dautres informations.
vnements de russite des demandes de connexion
Bien que le serveur NPS enregistre les vnements de russite des demandes de connexion par dfaut,
vous pouvez modifier la configuration en fonction de vos besoins de journalisation.
Lorsque le serveur NPS accepte une demande de connexion, les informations dans le texte dvnement
contiennent le nom de lutilisateur, les identificateurs de serveur daccs, le type dauthentification et
le nom de la premire stratgie rseau correspondante.
Journalisation des vnements Schannel
Schannel (Secure channel) est un fournisseur SSP (Security Support Provider) qui prend en charge un jeu
de protocoles de scurit Internet, notamment SSL et TLS. Ces protocoles assurent lauthentification des
identits et garantissent des communications scurises et prives grce au chiffrement.
La journalisation dchecs de la validation de certificats clients est un vnement de canal scuris et
nest pas activ par dfaut sur le serveur NPS. Vous pouvez activer des vnements de canal scuris
supplmentaires en remplaant la valeur 1 (type REG_DWORD, donnes 0x00000001) de la cl de
Registre suivante par la valeur 3 (type REG_DWORD, donnes 0x00000003) :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogg
ing
Atelier pratique : Installation et configuration

dun serveur NPS
Scnario
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs London pour assister le
bureau de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
A. Datum dveloppe sa solution daccs distant dans toute lorganisation. Cette opration ncessite la
mise en place de plusieurs serveurs VPN situs diffrents endroits pour assurer la connectivit des
employs. Vous tes charg de mettre en place les tches ncessaires pour prendre en charge ces
connexions VPN.
Objectifs
installer et configurer NPS pour prendre en charge RADIUS ;
configurer et tester un client RADIUS.

22411B-LON-DC1
22411B-LON-RTR
22411B-LON-CL2
Nom dutilisateur
Mot de passe
Pa$$w0rd

9-1
Module 9
Implmentation de la protection daccs rseau
Table des matires :
9-1
Leon 1 : Vue densemble de la protection daccs rseau
9-2
Leon 2 : Vue densemble des processus de contrainte de mise

en conformit NAP
9-8
Leon 3 : Configuration de NAP
9-16
Leon 4 : Analyse et rsolution des problmes du systme NAP
9-22
Atelier pratique : Implmentation de la protection daccs rseau
9-27
9-34

La scurit de votre rseau nest pas meilleure que celle de lordinateur le moins scuris connect.
Beaucoup de programmes et doutils existent pour vous aider scuriser les ordinateurs connects
au rseau, tels que des logiciels de dtection de programme malveillant ou antivirus. Cependant, si le
logiciel sur certains de vos ordinateurs nest pas jour, ou nest pas activ ou configur correctement,
ces ordinateurs prsentent alors un risque de scurit.
Il est relativement facile de maintenir la configuration et la mise jour des ordinateurs qui restent
dans lenvironnement de bureau et qui sont toujours connects au mme rseau. Il est moins facile
de contrler les ordinateurs qui se connectent diffrents rseaux, en particulier les rseaux non grs.
Il est par exemple difficile de contrler les ordinateurs portables que les utilisateurs utilisent pour se
connecter aux rseaux des clients ou aux points daccs Wi-Fi publics. En outre, les ordinateurs non grs
qui cherchent se connecter distance votre rseau (les utilisateurs se connectant partir de leurs
ordinateurs personnels, par exemple) posent galement une difficult.
La protection daccs rseau (NAP) vous permet de crer des stratgies personnalises de spcifications
dintgrit pour valider lintgrit des ordinateurs avant de permettre laccs ou la communication. En
outre, la protection daccs rseau (NAP) met automatiquement jour les ordinateurs pour vrifier leur
conformit, et peut limiter laccs aux ordinateurs non conformes un rseau restreint jusqu ce quils
deviennent conformes.
Objectifs
dcrire comment la protection daccs rseau (NAP) peut aider protger votre rseau ;
dcrire les divers processus de contrainte de mise en conformit NAP ;
configurer les services NAP ;
analyser le service NAP et rsoudre les problmes ventuels.
Leon 1
Vue densemble de la protection daccs rseau
9-2
NAP est une plateforme dapplication de stratgies qui est intgre aux systmes dexploitation
Windows 8, Windows 7, Windows Vista, Windows XP avec Service Pack 3 (SP3), Windows Server 2008,
Windows Server 2008 R2 et Windows Server 2012. NAP vous permet de protger plus efficacement les
ressources du rseau en mettant en uvre la conformit des spcifications dintgrit systme. NAP
fournit les composants logiciels ncessaires pour garantir que les ordinateurs qui sont connects ou qui se
connectent au rseau restent grables, afin quils nentranent aucun risque de scurit pour le rseau de
lentreprise ou les autres ordinateurs connects.
Le fait de comprendre la fonctionnalit et les limitations de la protection daccs rseau (NAP) vous aide
protger votre rseau contre les risques de scurit poss par les ordinateurs non conformes.
Expliquez comment vous pouvez utiliser la protection daccs rseau (NAP) pour appliquer les
exigences dintgrit des ordinateurs.
Dcrivez les scnarios dans lesquels vous utiliseriez la protection daccs rseau (NAP).
Dcrivez les mthodes de contrainte de mise en conformit NAP.
Dcrivez larchitecture dune infrastructurerseau qui prend en charge la protection daccs

rseau (NAP).
Quest-ce que la protection daccs rseau ?

NAP fournit des composants et une interface
de programmation dapplications (API) qui
permettent dimposer la conformit aux stratgies
de spcification dintgrit de lentreprise pour la
communication ou laccs rseau.
NAP vous permet de crer des solutions de
validation des ordinateurs qui se connectent vos
rseaux, et de fournir les mises jour ncessaires
ou laccs aux ressources de mise jour de
lintgrit. En outre, NAP vous permet de limiter
laccs ou la communication des ordinateurs non
conformes.
Vous pouvez intgrer les fonctionnalits de contrainte de mise en conformit de la protection daccs
rseau (NAP) des logiciels dautres fournisseurs ou des programmes personnaliss.
Il est important de garder lesprit que NAP ne protge pas un rseau des utilisateurs malveillants.
Elle vous permet plutt dassurer automatiquement lintgrit des ordinateurs en rseau de votre
organisation, ce qui contribue garantir lintgrit gnrale du rseau. Par exemple, si un ordinateur
inclut tous les logiciels et les paramtres de configuration quimpose la stratgie de contrle dintgrit,
lordinateur est conforme et bnficie alors dun accs illimit au rseau. Toutefois, la protection daccs
rseau nempche pas un utilisateur autoris quip dun ordinateur conforme de tlcharger un
programme malveillant sur le rseau ou dentreprendre dautres actions inappropries.
Procdure dutilisation de NAP

Vous pouvez utiliser NAP de trois faons diffrentes :
9-3
Pour valider ltat dintgrit. Lorsquun ordinateur tente de se connecter au rseau, NAP valide son
tat dintgrit par rapport aux stratgies de spcification dintgrit que ladministrateur dfinit.
Vous pouvez galement dfinir laction entreprendre en cas de non-conformit dun ordinateur.
Dans un environnement danalyse uniquement, ltat dintgrit de tous les ordinateurs est valu,
et ltat de conformit de chaque ordinateur est consign par NAP des fins danalyse. Dans un
environnement avec accs limit, les ordinateurs qui rpondent aux stratgies de spcification
dintgrit bnficient dun accs rseau illimit. Quant aux ordinateurs qui ne rpondent pas aux
stratgies de spcification dintgrit, leur accs peut tre limit un rseau restreint.
Pour appliquer les stratgies de contrle dintgrit. pour garantir la conformit aux stratgies de
spcification dintgrit, vous pouvez choisir de mettre automatiquement jour les ordinateurs non
conformes en leur appliquant les mises jour logicielles manquantes ou les modifications de
configuration par le biais de logiciels de gestion, tels que Microsoft System Center Configuration
Manager. Dans un environnement danalyse uniquement, NAP garantit que les ordinateurs peuvent
mettre jour laccs au rseau avant de recevoir les modifications de configuration ou les mises jour
requises. Dans un environnement avec accs limit, les ordinateurs non conformes bnficient dun
accs limit tant que les mises jour et les modifications de configuration nont pas t effectues.
Dans les deux environnements, les ordinateurs compatibles avec NAP peuvent devenir conformes
automatiquement, et vous pouvez dfinir des exceptions pour les ordinateurs non compatibles
avec NAP.
Pour limiter laccs rseau. Vous pouvez protger vos rseaux en limitant laccs des ordinateurs
non conformes. Vous pouvez spcifier un accs rseau limit en fonction dune dure spcifique ou
des ressources auxquelles lordinateur non conforme peut accder. Dans ce dernier cas, vous devez
dfinir un rseau restreint contenant les ressources de mise jour de lintgrit, et laccs restera
limit tant que lordinateur non conforme naura pas atteint un tat de conformit. Vous pouvez
galement configurer des exceptions afin que laccs rseau des ordinateurs non compatibles
avec NAP ne soit pas limit.
Scnarios de protection daccs rseau

La protection daccs rseau (NAP) fournit une
solution pour les scnarios courants, tels que les
ordinateurs portables demploys itinrants, les
ordinateurs de bureau, les ordinateurs portables
de visiteurs et des ordinateurs non grs. En
fonction de vos besoins, vous pouvez configurer
pour votre rseau une solution adapte certains
ou tous ces scnarios.
Ordinateurs portables des employs itinrants
9-4
La portabilit et la souplesse constituent deux avantages essentiels dun ordinateur portable, mais ces
caractristiques gnrent galement un risque en termes dintgrit du systme. En effet, les utilisateurs
connectent souvent leurs ordinateurs portables dautres rseaux. Lorsque les utilisateurs sont loin de
lorganisation, leurs ordinateurs portables ne peuvent pas forcment recevoir les mises jour logicielles ou
les modifications de configuration les plus rcentes. En outre, lexposition des rseaux non protgs, tels
quInternet, peut introduire des risques lis la scurit dans les ordinateurs portables. NAP vous permet
de vrifier ltat dintgrit de nimporte quel ordinateur portable lorsquil est reconnect au rseau de
lorganisation, que ce soit via une connexion VPN, une connexion Windows 8 DirectAccess ou une
connexion rseau sur le lieu de travail.
Ordinateurs de bureau
Bien que les ordinateurs de bureau restent en gnral dans lenceinte de lentreprise, ils peuvent tout de
mme prsenter un risque pour le rseau. Pour minimiser ce risque, vous devez garder ces ordinateurs
jour en installant les mises jour et les logiciels requis les plus rcents. Dans le cas contraire, ces
ordinateurs sont susceptibles dtre infects par des sites Web, des messages lectroniques, des fichiers
de dossiers partags et dautres ressources auxquelles tous les utilisateurs peuvent accder. Vous pouvez
utiliser NAP pour automatiser les contrles de ltat dintgrit afin de vrifier la conformit de chaque
ordinateur de bureau aux stratgies de spcification dintgrit. Vous pouvez consulter les fichiers
journaux pour identifier les ordinateurs qui ne sont pas conformes. En outre, lutilisation de logiciels de
gestion vous permet de gnrer des rapports automatiques et dassurer automatiquement la mise jour
des ordinateurs non conformes. Lorsque vous modifiez des stratgies de spcification dintgrit, vous
pouvez configurer NAP pour fournir automatiquement les mises jour les plus rcentes aux ordinateurs.
Ordinateurs portables des visiteurs
Les organisations sont frquemment amenes autoriser des consultants, des partenaires commerciaux
et des invits se connecter leurs rseaux privs. Il est possible que les ordinateurs portables que ces
visiteurs amnent dans votre organisation ne rpondent pas aux spcifications dintgrit systme et
prsentent des risques dintgrit. NAP vous permet de dterminer quels ordinateurs portables de
visiteurs ne sont pas conformes et de limiter leur accs un rseau restreint. En rgle gnrale, vous
nexigez ni ne fournissez aucune mise jour ou modification de configuration pour les ordinateurs
portables de visiteurs. Vous pouvez configurer un accs Internet pour ces ordinateurs portables, mais pas
pour dautres ordinateurs dorganisation bnficiant dun accs limit.
Ordinateurs non grs destins un usage priv
Les ordinateurs privs non grs qui nappartiennent pas au domaine Active Directory de la socit
peuvent se connecter un rseau dentreprise gr par le biais dune connexion VPN. Les ordinateurs
privs non grs constituent une difficult supplmentaire car vous ne pouvez pas y accder
physiquement. Du fait de labsence daccs physique, la mise en conformit aux spcifications dintgrit
(comme lutilisation dun antivirus) se rvle plus difficile. Toutefois, NAP vous permet de vrifier ltat
dintgrit dun ordinateur destin un usage priv chaque fois quil tablit une connexion VPN au
rseau de lentreprise, et de limiter son accs un rseau restreint jusqu ce quil rponde aux
spcifications dintgrit du systme.
Mthodes de contrainte de mise en conformit NAP

Les composants de linfrastructure NAP (appels
clients de contrainte de mise en conformit et
serveurs de contrainte de mise en conformit )
requirent une validation de ltat dintgrit et
appliquent un accs rseau limit pour les
ordinateurs non conformes. Windows 8,
Windows 7, Windows Vista, Windows XP avec SP3,
Windows Server 2008, Windows Server 2008 R2
et Windows Server 2012 comprennent la prise en
charge NAP pour laccs rseau suivant ou les
mthodes de communication suivantes :
9-5
Trafic protg par le protocole IPsec. La

contrainte de mise en conformit IPsec (Internet Protocol security) restreint la communication aux
ordinateurs conformes une fois quils se sont correctement connects et quils ont obtenu une
configuration dadresse IP valide. La contrainte de mise en conformit IPsec constitue la forme
de communication ou daccs rseau limit la plus puissante de la protection daccs rseau.
Connexions rseau authentifies par le protocole IEEE (Institute of Electrical and Electronics
Engineers) 802.1X. La contrainte de mise en conformit IEEE 802.1X requiert quun ordinateur soit
conforme pour obtenir un accs rseau illimit via une connexion rseau authentifie IEEE 802.1X.
Les exemples de ce type de connexion rseau comprennent un commutateur dauthentification
Ethernet ou un point daccs sans fil IEEE 802.11.
Connexions VPN daccs distance. La contrainte de mise en conformit VPN ncessite quun
ordinateur soit conforme pour pouvoir obtenir un accs rseau illimit via une connexion VPN
daccs distance. Pour les ordinateurs non conformes, laccs rseau est limit au moyen dun jeu
de filtres de paquets IP que le serveur VPN applique la connexion VPN.
Connexions DirectAccess. Les connexions DirectAccess ncessitent quun ordinateur soit conforme
pour pouvoir obtenir un accs rseau illimit via un serveur DirectAccess. Pour les ordinateurs non
conformes, laccs rseau est limit lensemble dordinateurs qui sont dfinis comme serveurs
dinfrastructure laide du tunnel dinfrastructure. Les ordinateurs conformes peuvent crer le tunnel
intranet distinct qui offre un accs illimit aux ressources intranet. Les connexions DirectAccess
utilisent la mise en conformit IPsec.
Configurations dadresses DHCP (Dynamic Host Configuration Protocol). La contrainte de mise en

conformit par DHCP ncessite quun ordinateur soit conforme pour pouvoir obtenir une
configuration IPv4 (Internet Protocol version 4) illimite partir dun serveur DHCP. Pour les
ordinateurs non conformes, laccs rseau est limit par une configuration dadresse IPv4 qui limite
laccs au rseau restreint.
Ces accs rseau ou ces mthodes de communication, ou ces mthodes de contrainte de mise
en conformit NAP sont utiles sparment ou ensemble pour limiter laccs ou la communication
des ordinateurs non conformes. Un serveur qui excute NPS (Network Policy Server) dans
Windows Server 2012 agit en tant que serveur de stratgie de contrle dintgrit pour toutes
ces mthodes de contrainte de mise en conformit NAP.
Architecture de la plateforme NAP

Le tableau suivant dcrit les composants dune
infrastructure rseau qui prend en charge la
protection daccs rseau (NAP).
Composants
Clients NAP
Points de contrainte
de mise en
conformit NAP
Description
9-6
Ces ordinateurs prennent en charge la plateforme NAP pour la communication

et la validation avant laccs rseau dun contrle dintgrit systme.
Il sagit dordinateurs ou de priphriques daccs rseau qui utilisent la
protection daccs rseau (NAP) ou que vous pouvez utiliser avec NAP pour
exiger lvaluation de ltat dintgrit dun client NAP et assurer des
communications ou un accs rseau restreints. Les points de contrainte de
mise en conformit NAP utilisent un serveur NPS qui joue le rle de serveur
de stratgie de contrle dintgrit NAP pour valuer ltat dintgrit des
clients NAP, pour dterminer si la communication ou laccs rseau sont
autoriss et pour dfinir les actions de mise jour quun client NAP non
conforme doit excuter.
Les points de contrainte de mise en conformit NAP sont les suivants :
o
Autorit HRA (Health Registration Authority). Ordinateur excutant

Windows Server 2012 et les Services Internet (IIS), et qui obtient des
certificats dintgrit dune autorit de certification pour les ordinateurs
conformes.
Serveur VPN. Ordinateur excutant Windows Server 2012 et le service

Routage et accs distant, qui autorise les connexions intranet VPN
daccs distance via laccs distance.
Serveur DHCP. Ordinateur excutant Windows Server 2012 et le service

Serveur DHCP, et qui fournit une configuration dadresse IPv4 (Internet
Protocol version 4) automatique aux clients intranet DHCP.
Priphriques daccs rseau. Commutateurs Ethernet ou de points

daccs sans fil qui prennent en charge lauthentification IEEE 802.1X.
(suite)
Composants
Description
9-7
Serveurs de stratgie
de contrle
dintgrit NAP
Ordinateurs excutant Windows Server 2012 et le service NPS, qui stockent les
stratgies de spcification dintgrit et qui assurent la validation de ltat
dintgrit pour la protection daccs rseau. Le service NPS remplace le
service dauthentification Internet (IAS), ainsi que le serveur et le proxy RADIUS
(Remote Authentication Dial-In User Service) de Windows Server 2003.
Le service NPS fait galement office de serveur dauthentification,
dautorisation et dadministration (AAA) pour laccs rseau. Lorsquil agit en
tant que serveur AAA ou serveur de stratgie de contrle dintgrit NAP, le
service NPS sexcute gnralement sur un serveur indpendant pour
permettre la configuration centralise des stratgies daccs rseau et de
spcification dintgrit. Le service NPS sexcute galement sur les points de
contrainte de mise en conformit NAP (selon Windows Server 2012) qui ne
comportent pas dordinateur client RADIUS intgr, comme un serveur HRA
ou DHCP. Toutefois, dans ces configurations, le service NPS agit en tant que
proxy RADIUS pour changer des messages RADIUS avec un serveur de
stratgie de contrle dintgrit NAP.
Serveurs de
spcification
dintgrit
Ces ordinateurs fournissent ltat dintgrit systme actuel pour les serveurs
de stratgie de contrle dintgrit NAP. Il peut sagir, par exemple, dun
serveur de spcification dintgrit pour un antivirus qui dtecte la version la
plus rcente du fichier de signature antivirus.
AD DS
Ce service dannuaire Windows stocke les proprits et les informations

didentification de compte, ainsi que des paramtres de stratgie de groupe.
Bien que le service Active Directory ne soit pas requis pour la validation de
ltat dintgrit, il est indispensable pour les communications protges par
la scurit IPsec, pour les connexions authentifies par le protocole 802.1X
et pour les connexions VPN daccs distance.
Priphriques 802.1X
Commutateur dauthentification Ethernet ou point daccs sans fil IEEE 802.11.
Rseau restreint
Il sagit dun rseau logique ou physique qui contient les lments suivants :
o
Serveurs de mise jour. Ces ordinateurs contiennent des ressources de

mise jour dintgrit auxquelles les clients NAP peuvent accder pour
mettre jour leur tat non conforme. Cest le cas notamment des
serveurs de distribution de signatures antivirus et des serveurs de mises
jour de logiciels.
Clients NAP dots dun accs limit. Ces ordinateurs sont placs sur le
rseau restreint lorsquils ne sont pas conformes aux stratgies de
spcification dintgrit.
Leon 2
Vue densemble des processus de contrainte de mise

en conformit NAP
9-8
Lorsquun client tente daccder au rseau ou de communiquer sur ce dernier, il doit prsenter son tat
dintgrit systme ou prouver sa conformit la stratgie de contrle dintgrit. Si un client ne peut pas
prouver quil est conforme aux spcifications dintgrit systme (quil comporte, par exemple, les mises
jour dantivirus et du systme dexploitation les plus rcentes), vous pouvez alors limiter son accs ou sa
communication sur le rseau contenant des ressources de serveur. Vous pouvez limiter cet accs jusqu
ce que les problmes de conformit soient rsolus. Une fois que les mises jour ont t installes, le client
demande laccs au rseau ou tente dtablir nouveau la communication. Sil est conforme, le client
reoit alors un accs illimit au rseau, ou les communications sont autorises.
dcrire les processus de contrainte de mise en conformit NAP gnraux ;
prsenter la contrainte de mise en conformit IPsec ;
dcrire la contrainte de mise en conformit 802.1X ;
expliquer la contrainte de mise en conformit VPN ;
prsenter la contrainte de mise en conformit DHCP ;
Processus de contrainte de mise en conformit NAP

Quelle que soit la contrainte de mise en
conformit NAP que vous slectionnez, plusieurs
des communications client/serveur sont courantes.
Les points suivants rsument ces communications :
Entre un client NAP et une autorit HRA

Le client NAP envoie ltat dintgrit actuel
de systme au HRA et demande un certificat
dintgrit. Si le client NAP est conforme,
lautorit HRA dlivre un certificat dintgrit
au client NAP. Si le client nest pas conforme,
lautorit HRA dlivre des instructions de mise
jour dintgrit au client NAP.
Entre un client NAP et un serveur de mise jour

Mme si le client NAP dispose dun accs intranet illimit, il accde au serveur de mise jour pour
vrifier quil reste conforme. Si le client NAP bnficie dun accs limit, il communique avec le
serveur de mise jour pour devenir conforme, en fonction des instructions du serveur de stratgie
de contrle dintgrit NAP.
Entre une autorit HRA et un serveur de stratgie de contrle dintgrit NAP
9-9
Lautorit HRA envoie des messages RADIUS qui contiennent ltat dintgrit systme du client NAP
au serveur de stratgie de contrle dintgrit NAP. Le serveur de stratgie de contrle
dintgrit NAP envoie des messages RADIUS pour indiquer que le client NAP a :
Un accs illimit parce quil est conforme. En fonction de la rponse, lautorit HRA obtient
un certificat dintgrit et lenvoie au client NAP.
Un accs limit jusqu ce quil excute des fonctions de mise jour. En fonction de la rponse,
lautorit HRA ne dlivre pas de certificat dintgrit au client NAP.
Entre un priphrique daccs rseau 802.1X et un serveur de stratgie de contrle dintgrit NAP
Le priphrique daccs rseau 802.1X envoie des messages RADIUS pour transfrer les messages
PEAP (Protected Extensible Authentication Protocol) envoys par un client NAP 802.1X. Le serveur de
stratgie de contrle dintgrit NAP envoie des messages RADIUS pour :
indiquer que le client 802.1X dispose dun accs illimit car il est conforme ;
indiquer un profil daccs limit et placer le client 802.1X sur le rseau restreint jusqu ce quil
excute des fonctions de mise jour ;
envoyer des messages PEAP au client 802.1X.
Entre un serveur VPN et un serveur de stratgie de contrle dintgrit NAP
Le serveur VPN envoie des messages RADIUS pour transfrer les messages PEAP qui sont envoys par
un client NAP utilisant une connexion VPN. Le serveur de stratgie de contrle dintgrit NAP envoie
des messages RADIUS pour :
indiquer que le client VPN dispose dun accs illimit car il est conforme ;
indiquer que le client VPN dispose dun accs limit au moyen dun jeu de filtres de paquets IP
appliqus la connexion VPN ;
envoyer des messages PEAP au client VPN.
Entre un serveur DHCP et un serveur de stratgie de contrle dintgrit NAP
Le serveur DHCP envoie des messages RADIUS qui contiennent ltat dintgrit systme du client
DHCP au serveur de stratgie de contrle dintgrit NAP. Le serveur de stratgie de contrle
dintgrit NAP envoie des messages RADIUS au serveur DHCP pour indiquer que le client DHCP a :
Un accs illimit parce quil est conforme.
Un accs limit jusqu ce quil excute des fonctions de mise jour.
Entre un serveur de stratgie de contrle dintgrit NAP et un serveur de spcification dintgrit :

Lorsque vous validez laccs rseau dun client NAP, le serveur de stratgie de contrle
dintgrit NAP peut tre amen contacter un serveur de spcification dintgrit pour obtenir
des informations sur les spcifications actuelles de lintgrit systme.
Communication base sur le type de contrainte

Selon le type de contrainte slectionn, la communication suivante est tablie :
Entre un client NAP et un priphrique daccs rseau 802.1X
9-10 Implmentation de la protection daccs rseau
Le client NAP effectue lauthentification de la connexion 802.1X, puis fournit ltat actuel de lintgrit
systme au serveur de la stratgie de contrle dintgrit NAP.
Le serveur de stratgie de contrle dintgrit NAP fournit soit des instructions de mise jour (car le
client 802.1X nest pas conforme) ou indique que le client 802.1X dispose dun accs rseau illimit.
La protection daccs rseau (NAP) route ces messages par le priphrique daccs rseau 802.1X.
Entre un client NAP et un serveur VPN

Le client NAP qui agit comme un client VPN indique son tat dintgrit systme actuel au serveur
de stratgie de contrle dintgrit NAP.
Le serveur de stratgie de contrle dintgrit NAP rpond par des messages pour fournir soit les
instructions de mise jour (car le client VPN nest pas conforme) soit pour indiquer que le client VPN
dispose dun accs intranet illimit.
La protection daccs rseau (NAP) route ces messages par le serveur VPN.
Entre un client NAP et un serveur DHCP

Le client NAP (galement client DHCP) communique avec le serveur DHCP pour obtenir une
configuration dadresse IPv4 valide et pour indiquer son tat dintgrit systme actuel.
Le serveur DHCP alloue une configuration dadresse IPv4 pour le rseau restreint, puis fournit les
instructions de mise jour (si le client DHCP nest pas conforme), ou une configuration dadresse IPv4
pour laccs illimit (si le client DHCP est conforme).
Contrainte de mise en conformit IPsec

Avec la contrainte de mise en conformit IPsec,
un ordinateur doit tre conforme pour tre en
mesure dtablir des communications avec
dautres ordinateurs conformes. La contrainte de
mise en conformit IPsec tirant parti de la scurit
IPsec, vous pouvez dfinir des spcifications pour
les communications protges avec les
ordinateurs conformes bases sur lune des
caractristiques de communication suivantes :
Adresse IP
Numro de port TCP (Transmission Control

Protocol)
Numro de port UDP (User Datagram Protocol)
9-11
La contrainte de mise en conformit IPsec restreint la communication aux ordinateurs conformes une fois
quils se sont correctement connects et quils ont obtenu une configuration dadresse IP valide. La
contrainte de mise en conformit IPsec constitue la forme de communication ou daccs rseau limit
la plus puissante de la protection daccs rseau.
Les composants de la contrainte de mise en conformit IPsec se composent dune autorit HRA qui
excute Windows Server 2012 et dun client de contrainte de mise en conformit IPSec qui excute lun
des systmes dexploitation suivants :
Windows XP Service Pack 3
Windows Vista
Windows 7
Windows 8
Windows Server 2008
Windows Server 2012
Lautorit HRA obtient des certificats X.509 pour les clients NAP lorsque ces derniers prouvent quils
sont conformes. Ces certificats dintgrit sont alors utiliss pour authentifier les clients NAP lorsquils
tablissent des communications protges par la scurit IPsec avec dautres clients NAP sur un intranet.
La contrainte de mise en conformit IPsec limite la communication des clients NAP protgs par IPsec en
rejetant les tentatives de communications entrantes envoyes par les ordinateurs qui ne peuvent pas
ngocier la protection IPsec laide de certificats dintgrit. Avec la contrainte de mise en conformit
IPsec, chaque ordinateur excute la contrainte de mise en conformit IPsec, alors quavec la contrainte de
mise en conformit 802.1X et VPN, la contrainte de mise en conformit se produit au point dentre du
rseau. tant donn que vous pouvez tirer parti des paramtres de stratgie IPsec, la contrainte de mise
en conformit de certificats dintgrit peut concerner :
tous les ordinateurs dun domaine ;
des ordinateurs spcifiques dun sous-rseau ;
un ordinateur spcifique ;
un jeu spcifique de ports TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol) ;
un jeu de ports TCP ou UDP sur un ordinateur spcifique.
lments prendre en compte pour la contrainte de mise en conformit IPsec

Lorsque vous choisissez une mthode de contrainte de mise en conformit NAP IPsec, tenez compte
des lments ci-dessous :
La contrainte de mise en conformit IPsec est plus complexe implmenter que dautres mthodes,
car elle requiert une autorit HRA et une autorit de certification.
Aucun matriel supplmentaire nest requis pour implmenter la contrainte de mise en conformit
IPsec. Il nest pas ncessaire de mettre niveau des commutateurs ou des protocoles WAP, alors que
vous devriez le faire si vous slectionnez la contrainte de mise en conformit 802.1X.
Vous pouvez implmenter la contrainte de mise en conformit IPsec dans nimporte quel
environnement.
La contrainte de mise en conformit IPsec est trs scurise et difficile contourner.
Vous pouvez configurer IPsec pour chiffrer la communication pour plus de scurit.
La contrainte de mise en conformit IPsec est applique la communication IPv4 et IPv6.
Contrainte de mise en conformit 802.1X

Avec la contrainte de mise en conformit 802.1X
un ordinateur doit tre conforme pour pouvoir
obtenir un accs rseau illimit via une connexion
rseau authentifie par le protocole 802.1X ; par
exemple, un commutateur dauthentification
Ethernet ou un point daccs sans fil IEEE 802.11.
Pour les ordinateurs non conformes, laccs rseau
est limit au moyen dun profil daccs restreint
que le commutateur Ethernet ou le point daccs
sans fil place sur la connexion. Le profil daccs
restreint peut spcifier soit des filtres de
paquets IP, soit un identificateur de rseau local
virtuel (VLAN) qui correspond au rseau restreint. La contrainte de mise en conformit 802.1X impose
les spcifications des stratgies de contrle dintgrit chaque fois quun ordinateur tente dtablir
une connexion rseau authentifie par le protocole 802.1X. Qui plus est, la contrainte de mise en
conformit 802.1X analyse activement ltat dintgrit du client NAP connect, puis applique le profil
daccs restreint la connexion si le client devient non conforme.
Les composants de la contrainte de mise en conformit 802.1X se composent de NPS dans Windows
Server 2012 et dun client de contrainte dhte de programme daide au personnel dans Windows 8,
Windows 7, Windows Vista, Windows XP Service Pack 3, Windows Server 2008, Windows Server 2008 R2,
et Windows Server 2012. La contrainte de mise en conformit 802.1X fournit laccs rseau limit fort
pour tous les ordinateurs qui accdent au rseau par une connexion 802.1X authentifie.
Pour implmenter la contrainte de mise en conformit 802.1X, vous devez vrifier que les commutateurs
rseau ou les points daccs sans fil prennent en charge lauthentification 802.1X. Les commutateurs ou
les points daccs sans fil agissent alors en tant que point de contrainte de mise en conformit pour des
clients NAP. Ltat dintgrit du client est envoy dans le cadre de la procdure dauthentification.
Quand un ordinateur nest pas conforme, le commutateur le place sur un rseau VLAN distinct ou utilise
des filtres de paquets pour restreindre laccs aux serveurs de mise jour seulement.
lments prendre en compte pour la contrainte de mise en conformit 802.1X
9-13
Lorsque vous choisissez une mthode de contrainte de mise en conformit NAP 802.1X, tenez compte
Le commutateur ou le point daccs sans fil qui se connecte avec le client isole les ordinateurs non
conformes. Ceci est trs difficile contourner, et est par consquent trs scuris.
Utilisez la contrainte de mise en conformit 802.1X pour les ordinateurs internes. Ce type de mise en
conformit est appropri pour des ordinateurs du rseau local avec des connexions cbles et sans fil.
Vous ne pouvez pas utiliser la contrainte de mise en conformit 802.1X si vos commutateurs et points
daccs sans fil ne prennent pas en charge lutilisation du protocole 802.1X pour lauthentification.
Contrainte de mise en conformit VPN

La contrainte de mise en conformit VPN impose
les spcifications des stratgies de contrle
dintgrit chaque fois quun ordinateur tente
dtablir une connexion VPN daccs distance
au rseau. Qui plus est, la contrainte de mise
en conformit VPN analyse activement ltat
dintgrit du client NAP, et applique les filtres de
paquets IP du rseau restreint la connexion VPN
si le client devient non conforme.
Les composants de la contrainte de mise en
conformit VPN comprennent le service NPS dans
Windows Server 2012 et un client de contrainte de
mise en conformit VPN qui fait partie du client daccs distance dans :
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Windows Server 2008
Windows Server 2012
La contrainte de mise en conformit VPN fournit un accs rseau limit puissant pour tous les ordinateurs
qui accdent au rseau via une connexion VPN daccs distance. La contrainte de mise en conformit
VPN utilise un jeu de filtres de paquets IP daccs distance pour limiter le trafic des clients VPN, afin quil
puisse atteindre uniquement les ressources du rseau restreint. Le serveur VPN applique les filtres de
paquets IP au trafic IP quil reoit du client VPN et rejette silencieusement tous les paquets qui ne
correspondent pas un filtre de paquets configur.
lments prendre en compte pour la contrainte de mise en conformit VPN

Lorsque vous choisissez une mthode de contrainte de mise en conformit NAP VPN tenez compte
La contrainte de mise en conformit VPN est la plus adapte lorsque vous utilisez dj VPN. Il est peu
probable que vous implmentiez des connexions VPN sur un rseau interne pour utiliser la contrainte
de mise en conformit VPN.
Utilisez la contrainte de mise en conformit VPN pour vous assurer que les membres du personnel se
connectant partir dordinateurs personnels nintroduisent pas de programmes malveillants dans
votre rseau. Souvent les utilisateurs ne grent pas leurs ordinateurs personnels correctement, et
ceux-ci peuvent reprsenter un risque lev. Beaucoup dutilisateurs nont pas dantivirus, ou
nappliquent pas les mises jour Windows rgulirement.
Utilisez la contrainte de mise en conformit VPN pour vous assurer que les ordinateurs portables
demploys itinrants nintroduisent pas de programmes malveillants dans votre rseau. Les
ordinateurs portables demploys itinrants sont plus sensibles aux attaques malveillantes que
les ordinateurs directement connects au rseau dentreprise, car ils ne peuvent pas forcment
tlcharger les mises jour des virus et les mises jour Windows en dehors du rseau dentreprise.
Ils sont galement plus susceptibles de se trouver dans des environnements o un programme
malveillant est prsent.
Contrainte de mise en conformit DHCP

Le serveur DHCP applique les spcifications de
la stratgie de contrle dintgrit chaque fois
quun client DHCP tente de louer ou de
renouveler une configuration dadresse IP. Qui
plus est, la contrainte de mise en conformit par
DHCP analyse activement ltat dintgrit du
client NAP et, si le client devient non conforme,
renouvelle la configuration dadresse IPv4 pour
laccs au rseau restreint uniquement, si le client
devient non conforme.
Les composants de la contrainte de mise en
conformit par DHCP se composent dun service
Contrainte de mise en conformit par DHCP qui fait partie du service Serveur DHCP dans
Windows Server 2012 et dun client de contrainte de mise en conformit par DHCP qui fait partie
du service Client DHCP dans :
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Windows Server 2008
Windows Server 2012
Comme la contrainte de mise en conformit par DHCP repose sur une configuration dadresse IPv4
limite quun utilisateur (bnficiant dun accs administrateur) peut remplacer, il sagit de la forme
daccs rseau limit la plus faible de la protection daccs rseau dans NAP.
9-15
La configuration dadresses DHCP limite laccs rseau du client DHCP via sa table de routage IPv4. tant
donn que la contrainte de mise en conformit par DHCP dfinit la valeur 0.0.0.0 pour loption Router
DHCP, aucune passerelle par dfaut nest configure pour lordinateur non conforme. La contrainte de
mise en conformit par DHCP dfinit galement le masque de sous-rseau pour ladresse IPv4 alloue
la valeur 255.255.255.255. Il nexiste donc aucun itinraire vers le sous-rseau li.
Pour permettre lordinateur non conforme daccder aux serveurs de mise jour du rseau restreint, le
serveur DHCP attribue loption DHCP Itinraires statiques sans classe. Cette option contient des itinraires
htes vers les ordinateurs du rseau restreint, tels que les serveurs DNS (Domain Name System) et de mise
jour. Le rsultat final de laccs rseau limit de DHCP est une table de configuration et de routage qui
autorise uniquement la connectivit aux adresses de destination spcifiques correspondant au rseau
restreint. Par consquent, lorsquune application tente denvoyer des donnes une adresse IPv4 unicast
(monodiffusion) diffrente de celles fournies via loption Itinraires statiques sans classe, le protocole
TCP/IP retourne une erreur de routage.
lments prendre en compte pour la contrainte de mise en conformit DHCP

Lorsque vous choisissez une mthode de contrainte de mise en conformit NAP DHCP tenez compte
La contrainte de mise en conformit par DHCP est facile implmenter, et peut tre applique
nimporte quel ordinateur avec une adresse IP dynamique.
Il est facile de contourner la contrainte de mise en conformit par DHCP. Un client peut contourner la
contrainte de mise en conformit par DHCP laide dune adresse IP statique. En outre, un ordinateur
non conforme pourrait ajouter des itinraires htes statiques pour atteindre les serveurs qui ne sont
pas des serveurs de mise jour.
La contrainte de mise en conformit par DHCP nest pas possible pour des clients IPv6. Si les
ordinateurs de votre rseau utilisent les adresses IPv6 pour communiquer, la contrainte de mise en
conformit par DHCP est inefficace.
Leon 3
Configuration de NAP
Si vous souhaitez que votre dploiement de NAP fonctionne de faon optimale, il est important que vous
compreniez ce que chacun des composants de protection daccs rseau (NAP) fait, et comment ils
interagissent pour protger votre rseau. Si vous souhaitez protger votre rseau laide de la protection
daccs rseau (NAP), vous devez comprendre les impratifs requis en matire de configuration pour le
client NAP, comment configurer NPS en tant que serveur de la stratgie de contrle dintgrit NAP,
configurer des stratgies de contrle dintgrit et des stratgies rseau et configurer les paramtres de
client et serveur. Il est galement important de tester la protection daccs rseau (NAP) avant de lutiliser.
dcrire les programmes de validation dintgrit systme ;
expliquer lutilisation dune stratgie de contrle dintgrit ;
expliquer lutilisation des groupes de serveurs de mise jour ;
dcrire les impratifs requis pour la configuration du client NAP ;
expliquer comment activer et configurer NAP.
Quest-ce que les programmes de validation dintgrit systme ?

Les agents dintgrit systme et les programmes
de validation dintgrit systme sont des
composants dinfrastructure de protection daccs
rseau (NAP) qui assurent la validation de ltat
dintgrit. Windows 8 inclut un programme de
validation dintgrit de la scurit Windows
qui analyse les paramtres du Centre de scurit
Windows. Windows Server 2012 inclut un
programme de validation dintgrit de la
scurit Windows correspondant.
9-17
La protection daccs rseau est conue pour tre flexible et extensible, et elle peut interagir avec les
logiciels de tous les fournisseurs qui proposent des agents dintgrit systme et des programmes de
validation dintgrit systme utilisant lAPI NAP. Un programme de validation dintgrit systme reoit
une dclaration dintgrit, puis compare les informations dtat dintgrit systme fournies dans la
dclaration dintgrit ltat dintgrit systme requis. Par exemple, si la dclaration dintgrit provient
dun agent dintgrit systme dantivirus et quelle contient le dernier numro de version du fichier de
signature antivirus, le programme de validation dintgrit systme dantivirus correspondant peut
contacter le serveur de spcification dintgrit dantivirus afin dobtenir le numro de version le plus
rcent et de valider la dclaration dintgrit du client NAP.
Le programme de validation dintgrit systme renvoie une rponse la dclaration dintgrit au

serveur dadministration NAP. Cette rponse peut contenir des informations de mise jour indiquant
comment lagent dintgrit systme correspondant sur le client NAP peut rpondre aux spcifications
dintgrit systme actuelles. Par exemple, la rponse SoHR que le programme de validation dintgrit
systme dantivirus envoie peut demander lagent dintgrit systme dantivirus du client NAP de se
procurer la version la plus rcente (en fonction du nom ou de ladresse IP) du fichier de signature antivirus
auprs dun serveur de signatures antivirus spcifique.
Quest-ce quune stratgie de contrle dintgrit ?

Les stratgies de contrle dintgrit sont
composes dun ou de plusieurs programmes de
validation dintgrit systme, ainsi que dautres
paramtres, qui vous permettent de dfinir les
critres de configuration des ordinateurs clients
pour les ordinateurs compatibles avec la
protection daccs rseau qui tentent de se
connecter votre rseau.
Lorsque des clients compatibles avec la

protection daccs rseau tentent de se connecter
au rseau, lordinateur client envoie une
dclaration dintgrit au serveur NPS. La
dclaration dintgrit est un rapport de ltat de configuration du client, et le serveur NPS la compare
aux critres dfinis par la stratgie de contrle dintgrit. Si ltat de configuration du client ne rpond
pas aux critres que la stratgie de contrle dintgrit dfinit, en fonction de la configuration NAP,
le serveur NAP effectue lune des oprations suivantes :
Il rejette la demande de connexion.
Il place le client NAP sur un rseau restreint, o il peut recevoir des mises jour des serveurs de mise
jour qui procdent la mise en conformit du client avec la stratgie de contrle dintgrit. Une
fois que la conformit du client NAP a t vrifie et son nouvel tat dintgrit soumis nouveau,
NPS lui permet de se connecter.
Il autorise le client NAP se connecter au rseau bien quil ne soit pas conforme la stratgie de
contrle dintgrit.
Vous pouvez dfinir des stratgies de contrle dintgrit des clients dans le service NPS en ajoutant un
ou plusieurs programmes de validation dintgrit systme la stratgie de contrle dintgrit.
Une fois que vous avez configur une stratgie de contrle dintgrit avec un ou plusieurs programmes
de validation dintgrit systme, vous pouvez lajouter la condition Stratgies de contrle dintgrit
dune stratgie rseau que vous souhaitez utiliser pour mettre en application la protection daccs rseau
lorsque des ordinateurs clients tentent de se connecter votre rseau.
Quest-ce que les groupes de serveurs de mise jour ?

Un groupe de serveurs de mise jour est une liste
de serveurs sur le rseau restreint qui fournissent
des ressources permettant de mettre les clients
non conformes en conformit avec la stratgie
de contrle dintgrit client dfinie par vous.
Un serveur de mise jour hberge les mises jour
quun agent NAP peut utiliser pour que les
ordinateurs clients non conformes deviennent
conformes la stratgie de contrle dintgrit
dfinie par le serveur NPS. Par exemple, un serveur
de mise jour peut hberger des signatures
antivirus. Si une stratgie de contrle dintgrit
impose que les ordinateurs clients incluent les dfinitions antivirus les plus rcentes, la mise jour des
ordinateurs non conformes est assure grce linteraction des composants suivants :
un Agent dintgrit systme antivirus ;
un programme de validation dintgrit systme antivirus ;
un serveur de stratgie antivirus ;
le serveur de mise jour.
Configuration du client NAP

Gardez en mmoire les consignes de base
indiques ci-aprs lorsque vous configurez
des clients NAP :
Certains dploiements NAP qui utilisent le

programme de validation dintgrit de la
scurit Windows requirent lactivation du
Centre de scurit. Le centre de scurit nest
pas compris avec Windows Server 2008,
Windows Server 2008 R2 ou
Vous devez activer le service de protection

daccs rseau lorsque vous dployez
desordinateurs clients compatibles avec la protection daccs rseau.
Vous devez configurer les clients de contrainte de mise en conformit NAP sur les ordinateurs
compatibles avec la protection daccs rseau.
Activer le Centre de scurit dans la stratgie de groupe

Vous pouvez utiliser le centre de scurit dactivation dans la procdure de stratgie de groupe pour
activer le centre de scurit sur les clients compatibles avec la protection daccs rseau laide de la
Stratgie de groupe. Certains dploiements NAP qui utilisent le programme de validation dintgrit
de la scurit Windows ncessitent le Centre de scurit.
Pour activer le Centre de scurit dans la stratgie de groupe :
1.
2.
Dans larborescence de la console, double-cliquez sur Stratgie Ordinateur Local, puis sur
Configuration ordinateur, sur Modles dadministration, sur Composants Windows, et enfin
sur Centre de scurit.
3.
Double-cliquez sur Activer le Centre de scurit (ordinateurs appartenant un domaine

uniquement), cliquez sur Activ, puis sur OK.
Activer le service de protection daccs rseau sur les clients
9-19
Vous pouvez utiliser la procdure dactivation du service de protection daccs rseau sur les clients pour
activer et configurer le service de protection daccs rseau sur des ordinateurs clients compatibles avec
la protection daccs rseau. Lorsque vous dployez la protection daccs rseau, il est indispensable
dactiver ce service.
Pour activer le service de protection daccs rseau sur les ordinateurs clients :
1.
Ouvrez le Panneau de configuration, cliquez sur Systme et scurit, puis sur Outils
dadministration, et double-cliquez sur Services.
2.
Dans la liste Services, faites dfiler le contenu et double-cliquez sur Agent de protection daccs
rseau.
3.
Dans la bote de dialogue Proprits de Agent de protection daccs rseau, remplacez Type
de dmarrage par Automatique, puis cliquez sur OK.
Activer et dsactiver les clients de contrainte de mise en conformit NAP

Vous pouvez utiliser la procdure dactivation et de dsactivation des clients de contrainte de mise
en conformit NAP pour activer ou dsactiver un ou plusieurs clients de contrainte de mise en
conformit NAP sur des ordinateurs compatibles avec la protection daccs rseau. Il peut sagir
des clients suivants :
client de contrainte de mise en conformit DHCP ;
client de contrainte de mise en conformit daccs distance ;
client de contrainte de mise en conformit EAP ;
client de contrainte de mise en conformit IPsec (galement utilis pour les connexions
DirectAccess) ;
client de contrainte de mise en conformit Passerelle des services Terminal Server.
Pour activer et dsactiver les clients de contrainte de mise en conformit NAP :
1.
Ouvrez la console Configuration du client NAP (NAPCLCFG.MSC).
2.
Cliquez sur Clients de contrainte. Dans le volet dinformations, cliquez avec le bouton droit sur le
client de contrainte que vous souhaitez activer ou dsactiver, puis cliquez sur Activer ou Dsactiver.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe
Administrateurs sur lordinateur local ou bien disposer des autorisations appropries.
Si lordinateur est rattach un domaine, les membres du groupe Admins du domaine
peuvent peut-tre excuter la procdure. Par mesure de scurit, il est conseill deffectuer
cette procdure laide de la commande Excuter en tant que.
Dmonstration : Configuration de NAP

installer le rle de serveur NPS ;
configurer le serveur NPS en tant que serveur de stratgie de contrle dintgrit NAP ;
configurer les stratgies de contrle dintgrit ;
configurer des stratgies rseau pour les ordinateurs conformes ;
configurer des stratgies rseau pour les ordinateurs non conformes ;
configurer le rle de serveur DHCP pour la protection daccs rseau ;
configurer les paramtres NAP du client ;
tester NAP.
Installer le rle de serveur NPS
1.
Basculez vers LON-DC1 et connectez-vous en tant quadministrateur de domaine.
2.
Ouvrez le Gestionnaire de serveur, puis installez le rle de Stratgie rseau et services daccs.
Configurer le serveur NPS en tant que serveur de stratgie de contrle

dintgrit NAP
1.
2.
Configurez le Programme de validation dintgrit de la scurit Windows pour demander que

tous les ordinateurs sous Windows 8 excutent un pare-feu.
Configurer les stratgies de contrle dintgrit

1.
Crez une stratgie de contrle dintgrit appele Conforme qui spcifier la condition Russite
de tous les contrles SHV pour le client.
2.
Crez une autre stratgie de contrle dintgrit appele Non conformequi spcifie la condition
chec dun ou de plusieurs contrles SHV pour le client.
Configurer des stratgies rseau pour les ordinateurs conformes
9-21
1.
Dsactivez les deux stratgies rseau existantes ; elles empcheraient le traitement des stratgies que
vous tes sur le point de crer.
2.
Crez une nouvelle stratgie rseau appele Conforme Accs Complet ayant une condition de
stratgie de contrle dintgrit Conforme. Un accs illimit est accord aux ordinateurs.
Configurer des stratgies rseau pour les ordinateurs non conformes
Crez une nouvelle stratgie rseau appele Non conforme-restreint ayant une condition de
stratgie de contrle dintgrit Non conforme. Un accs limit est accord aux ordinateurs.
Configurer le rle de serveur DHCP pour la protection daccs rseau

1.
Ouvrez la console DHCP.
2.
Modifiez les proprits de la porte IPv4 pour prendre en charge la protection daccs rseau.
3.
Crez une nouvelle stratgie DHCP qui alloue des options de porte DHCP appropries aux
ordinateurs non conformes. Ces options attribuent un suffixe DNS restricted.Adatum.com.
Configurer les paramtres NAP du client

1.
Activez le Client de contrainte de quarantaine DHCP sur LON-CL1.
2.
Activez le service Agent de protection daccs rseau.
3.
Utilisez la console de gestion de stratgie de groupe locale pour activer le centre de scurit.
4.
Reconfigurez LON-CL1 pour obtenir une adresse IP partir dun serveur DHCP.
Tester NAP
1.
Vrifiez la configuration obtenue avec la commande ipconfig.
2.
Dsactivez et arrtez Pare-feu Windows service.
3.
Dans la zone de barre dtat systme, cliquez sur la fentre contextuelle Protection daccs rseau.
Examinez le contenu de la bote de dialogue Protection daccs rseau. Cliquez sur Fermer.
4.
Vrifiez la configuration obtenue avec la commande ipconfig.
5.
Notez que lordinateur a un masque de sous-rseau de 255.255.255.255 et un suffixe DNS

restricted.Adatum.com. Ne fermez aucune fentre.
Leon 4
Analyse et rsolution des problmes du systme NAP
Lopration de rsolution des problmes et danalyse de la structure NAP est une tche dadministration
importante en raison des diffrents niveaux de technologie, notamment de la diversit des comptences
et des connaissances pralables indispensables pour chaque mthode de contrainte de mise en
conformit NAP. Des journaux de suivi sont disponibles pour la protection daccs rseau, mais ils sont
dsactivs par dfaut. Ces journaux ont une double utilit : ils permettent de rsoudre les problmes et
dvaluer lintgrit et la scurit dun rseau.
Dcrivez comment le suivi NAP peut aider surveiller et rsoudre la protection daccs rseau (NAP).
Expliquez comment configurer le suivi NAP.
Dpannez la protection daccs rseau (NAP) avec Netsh.
Utilisez le journal des vnements NAP pour corriger NAP.
Quest-ce que le suivi NAP ?

Outre les recommandations gnrales
prcdentes, vous pouvez utiliser la console
Configuration du client NAP pour configurer le
suivi NAP. Le suivi, qui consiste enregistrer
les vnements NAP dans un fichier journal, est
utile pour la rsolution des problmes et la
maintenance. Vous pouvez aussi utiliser les
journaux de suivi pour valuer lintgrit et la
scurit de votre rseau. Vous pouvez configurer
trois niveaux de suivi : De base, Avanc et
Dbogage.
Activez le suivi NAP quand :
Vous souhaitez rsoudre des problmes lis la protection daccs rseau.
Vous souhaitez valuer lintgrit et la scurit globales des ordinateurs de votre organisation.
En plus de la journalisation du suivi, vous pouvez afficher des journaux de gestion de comptes NPS.
Ces journaux peuvent contenir des informations utiles sur la protection daccs rseau (NAP). Par dfaut,
les journaux de gestion de comptes NPS se trouvent dans %systemroot%\system32\logfiles.
Les journaux suivants peuvent contenir des informations lies la protection daccs rseau (NAP) :
IASNAP.LOG. Ce journal contient des donnes dtailles au sujet des processus de protection daccs
rseau (NAP), de lauthentification NPS et de lautorisation NPS.
IASSAM.LOG. Ce journal contient des donnes dtailles au sujet de lauthentification utilisateur et

des autorisations.
Dmonstration : Configuration du suivi NAP

Les deux outils suivants sont disponibles pour configurer le suivi de la protection daccs rseau :
La console Configuration du client NAP, qui fait partie de linterface utilisateur Windows, et netsh
qui est un outil de ligne de commande.
Utilisation de linterface utilisateur Windows
9-23
Vous pouvez utiliser linterface utilisateur Windows afin dactiver ou de dsactiver le suivi de la protection
daccs rseau et de spcifier le niveau de dtail enregistr en procdant comme suit :
1.
Ouvrez la console Configuration du client NAP en excutant napclcfg.msc.
2.
Dans larborescence de la console, cliquez avec le bouton droit sur Configuration du client NAP
(ordinateur local), puis cliquez sur Proprits.
3.
Dans la bote de dialogue Proprits de Configuration du client NAP (ordinateur local),

slectionnez Activ ou Dsactiv.
Administrateurs sur lordinateur local ou bien disposer des autorisations appropries. Par mesure de
scurit, il est conseill deffectuer cette opration laide de la commande Excuter en tant que.
4.
Si loption Activ est choisie, sous Spcifier le niveau de dtails inscrire dans les journaux
de suivi, slectionnez De base, Avanc ou Dbogage.
Utilisation dun outil en ligne de commande
Pour utiliser un outil en ligne de commande afin dactiver ou de dsactiver le suivi NAP et de spcifier le
niveau de dtail enregistr, procdez comme suit :
1.
Ouvrez une invite de commandes avec lvation de privilges.
2.
Pour activer ou dsactiver le suivi NAP, effectuez lune des oprations suivantes :
o
Pour activer le suivi NAP et configurer le niveau denregistrement de base ou avanc, tapez :
netsh NAP client set tracing state=enable level =[advanced or basic]
Pour activer le suivi NAP afin de consigner des informations de dbogage, tapez : netsh NAP
client set tracing state=enable level =verbose
Pour dsactiver le suivi NAP, tapez : netsh NAP client set tracing state=disable
Administrateurs sur lordinateur local ou bien disposer des autorisations appropries. Par mesure de
scurit, il est conseill deffectuer cette opration laide de la commande Excuter en tant que.
Affichage des fichiers journaux

Pour afficher les fichiers journaux, accdez au rpertoire %systemroot%\tracing\nap, puis ouvrez le
journal de suivi que vous souhaitez consulter.
Demonstration
configurer le suivi partir de linterface utilisateur graphique ;
configurer le suivi partir de la ligne de commande.
Configurer le suivi partir de linterface utilisateur graphique
1.
Sur LON-CL1, ouvrez la console NAPCLCFG [Configuration du client NAP (ordinateur local)].
2.
partir des proprits Configuration de client NAP (ordinateur local), activez le suivi Avanc.
Configurer le suivi partir de la ligne de commande
linvite de commandes, tapez netsh NAP client set tracing state = enable et appuyez sur Entre.
Rsolution des problmes de la protection daccs rseau

Pour rsoudre des problmes de protection
daccs rseau (NAP), utilisez les outils suivants.
Commandes Netsh
Utilisez la commande de protection daccs rseau
netsh pour rsoudre des problmes de protection
daccs rseau (NAP). La commande suivante
affiche ltat dun client NAP, y compris ce
qui suit :
tat de restriction
tat des clients de contrainte
tat des agents dintgrit systme installs
Groupes de serveurs approuvs qui ont t configurs

netsh NAP client show state
La commande suivante affiche les paramtres de configuration locaux sur un client NAP, notamment :
Paramtres de chiffrement
Paramtres du client de contrainte de mise en conformit
Paramtres des groupes de serveurs approuvs
Paramtres du suivi de client qui ont t configurs

netsh NAP client show config
La commande suivante affiche les paramtres de configuration de la stratgie de groupe sur un

client NAP, notamment :
Paramtres de chiffrement
Paramtres du client de contrainte de mise en conformit
Paramtres des groupes de serveurs approuvs
Paramtres du suivi de client qui ont t configurs

netsh NAP client show group
9-25
Rsolution des problmes de la protection daccs rseau avec les journaux

dvnements
Les services NAP enregistrent les vnements lis
la protection daccs rseau dans les journaux
des vnements Windows. Pour afficher ces
vnements, ouvrez lobservateur dvnements,
slectionnez Vues personnalises, slectionnez
Rles serveur, puis Stratgie rseau et services
daccs. Les vnements suivants fournissent des
informations au sujet des services de protection
daccs rseau (NAP) qui sexcutent sur un
serveur NPS :
ID dvnement 6272. Accs accord par

serveur NPS un utilisateur.
Se produit quand un client NAP authentifie avec succs, et, selon son tat dintgrit, obtient laccs
complet ou limit au rseau.
ID dvnement 6273. Accs refus par le serveur NPS un utilisateur.

Se produit quand un problme dauthentification ou dautorisation surgit et quil est associ un
code de raison.
ID dvnement 6274. Le serveur NPS a ignor la demande dun utilisateur.
Se produit quand un problme de configuration surgit, ou si les paramtres de client RADIUS sont
incorrects ou si NPS ne peut pas crer des journaux de gestion de comptes.
ID dvnement 6276. Utilisateur mis en quarantaine par le serveur NPS.

Se produit quand la demande daccs client correspond une stratgie rseau qui est configure
avec un paramtre de contrainte de mise en conformit NAP de type Autoriser un accs limit.
ID dvnement 6277. Le serveur NPS a accord laccs un utilisateur, mais la mis en priode
dessai parce que lhte ne respecte pas la stratgie de contrle dintgrit dfinie.
avec un paramtre de contrainte de mise en conformit NAP de type Autoriser laccs rseau
complet pendant une priode limite quand la date spcifie dans la stratgie est passe.
ID dvnement 6278. Le serveur NPS a accord laccs complet un utilisateur parce que lhte
respecte la stratgie de contrle dintgrit dfinie.
avec un paramtre de contrainte de mise en conformit NAP de type Autoriser un accs rseau
complet.
Atelier pratique : Implmentation de la protection

daccs rseau
Scnario
9-27
au Royaume-Uni. Un bureau informatique et un centre de donnes situs Londres pour soccuper
du sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Pour amliorer la scurit et les exigences de conformit, A. Datum doit tendre sa solution VPN pour
inclure la protection daccs rseau (NAP). Vous devez trouver une manire de le vrifier et, sil y a lieu,
mettre automatiquement les ordinateurs client en conformit chaque fois quils se connectent distance
laide de la connexion VPN. Vous allez raliser cet objectif laide de NPS pour crer des paramtres de
validation dintgrit systme, des stratgies rseau et de contrle dintgrit et configurer la protection
daccs rseau (NAP) pour vrifier lintgrit des clients et y remdier.
Objectifs
configurer des composants NAP ;
configurer laccs VPN ;
configurer les paramtres clients pour prendre en charge NAP.

22411B-LON-DC1
22411B-LON-RTR
22411B-LON-CL2
Nom dutilisateur
Mot de passe
Pa$$w0rd

10-1
Module 10
Optimisation des services de fichiers
Table des matires :
10-1
Leon 1 : Vue densemble de FSRM
10-3
Leon 2 : Utilisation de FSRM pour grer les quotas, les filtres de fichiers
et les rapports de stockage
10-10
Leon 3 : Implmentation des tches de classification et de gestion

de fichiers
10-21

10-28
Leon 4 : Vue densemble de DFS
10-32
Leon 5 : Configuration des espaces de noms DFS
10-41
Leon 6 : Configuration et rsolution des problmes de la rplication DFS
10-46
10-50
10-55
Les fichiers se trouvant sur vos serveurs changent constamment, en fonction du contenu qui est ajout,
supprim et modifi.
Le rle serveur Service de fichiers et de stockage de Windows Server 2012 est conu pour aider les
administrateurs dans un environnement dentreprise grer le volume de donnes, qui est en constante
augmentation et volution. Quand les besoins de stockage changent en mme temps que les donnes
stockes, vous devez grer une infrastructure de stockage de plus en plus volumineuse et complexe. Par
consquent, pour rpondre aux besoins de votre organisation, vous devez comprendre et dterminer la
manire dont les ressources de stockage existantes sont utilises.
Ce module vous prsente le Gestionnaire de ressources du serveur de fichiers (FSRM) et le systme de
fichiers DFS (Distributed File System), deux technologies que vous pouvez utiliser pour rsoudre et grer
ces problmes.
Objectifs
dcrire FSRM ;
utiliser FSRM pour grer les quotas, les filtres de fichiers et les rapports de stockage ;
implmenter des tches de classification et de gestion de fichiers ;
dcrire le systme de fichiers DFS ;
configurer des espaces de noms DFS ;
configurer et rsoudre les problmes de rplication DFS.
10-2 Optimisation des services de fichiers
Leon 1
Vue densemble de FSRM
10-3
Le Gestionnaire de ressources du serveur de fichiers (FSRM) est un ensemble doutils qui vous permettent
de comprendre, contrler et grer la quantit et le type de donnes enregistres sur vos serveurs. FSRM
vous permet de placer des quotas sur les volumes de stockage, filtrer les fichiers et dossiers, gnrer des
rapports de stockage complets, contrler linfrastructure de classification des fichiers, et utiliser des tches
de gestion de fichiers pour raliser des actions programmes sur des ensembles de fichiers. Ces outils vous
aident surveiller les ressources de stockage existantes et planifier et implmenter les modifications de
stratgie venir.
dcrire les principales difficults en matire de gestion de la capacit ;
dcrire les fonctionnalits disponibles dans FSRM ;
expliquer comment installer et configurer le service de rle FSRM.
Comprhension des dfis en matire de gestion de la capacit

La gestion de la capacit est un processus proactif
visant dterminer les besoins actuels et futurs
en capacit pour lenvironnement de stockage
de votre entreprise. mesure que la taille et la
complexit des donnes augmentent, le besoin
de gestion de la capacit crot galement. Pour
rpondre efficacement aux besoins de stockage
de votre organisation, vous devez suivre la
capacit de stockage disponible, valuer lespace
de stockage dont vous avez besoin des fins
dexpansion, et dterminer la manire dont vous
exploitez le stockage dans votre environnement.
Principales difficults en matire de gestion de la capacit

La gestion de la capacit implique les difficults principales suivantes :
Dtermination de lutilisation du stockage existant. Pour grer votre environnement de stockage et

simplifier au maximum la tche de gestion de la capacit, vous devez comprendre les besoins de
stockage actuels de votre environnement. Le fait de connatre la quantit de donnes stockes sur vos
serveurs et de savoir quels types de donnes sont stocks et comment ces donnes sont actuellement
utilises constitue le point de rfrence pour mesurer les divers aspects de la gestion de la capacit
dans votre environnement.
tablissement et application de stratgies dutilisation du stockage. La gestion de la capacit vous

garantit que votre environnement de stockage est utilis au maximum de ses capacits. Il est
important de matriser la croissance afin de veiller ne pas submerger lenvironnement de stockage
par un stockage de donnes non planifi ou non autoris sur vos serveurs. Les donnes de mdias
modernes telles que laudio, la vido et les fichiers graphiques consomment une grande quantit
despace de stockage. Si elles ne sont pas contrles, le stockage non autoris de ces types de fichiers
peut consommer lespace qui est requis pour un usage professionnel lgitime.
Anticipation des besoins futurs. Les besoins de stockage changent constamment. Les nouveaux
projets et les nouvelles initiatives dorganisation requirent davantage despace de stockage. Il en va
de mme pour les nouvelles applications et les donnes importes. Si vous ntes pas en mesure
danticiper ces vnements ou de vous y prparer, votre environnement de stockage risque de ne pas
pouvoir rpondre aux besoins de stockage.
Prise en compte des difficults en matire de gestion de la capacit

Pour relever ces dfis majeurs, vous devez implmenter des mesures basiques de gestion de la capacit
afin de grer de faon proactive lenvironnement de stockage et dviter que ces dfis deviennent des
problmes. Vous trouverez ci-aprs une liste de mesures de gestion de la capacit qui vous permet de
grer votre environnement de stockage de manire proactive :
Analyser le mode dutilisation du stockage. La premire tape en matire de gestion de la capacit

consiste analyser lenvironnement de stockage actuel. Une analyse prcise commence avec les outils
appropris qui fournissent des informations exploitables et organises concernant ltat actuel de
votre environnement de stockage.
Dfinir des stratgies de gestion des ressources de stockage. Il est indispensable de sappuyer sur un
ensemble fiable de stratgies pour grer lenvironnement de stockage actuel et sassurer que la
croissance du stockage progresse de faon matrisable et prvisible. Empcher lenregistrement des
fichiers non autoriss sur vos serveurs, vrifier que les donnes sont stockes au bon emplacement et
que les utilisateurs disposent de lespace de stockage ncessaire font partie des principales questions
auxquelles vos stratgies de gestion de la capacit sont susceptibles de rpondre.
Implmenter des stratgies pour grer laugmentation du stockage. Aprs limplmentation des
stratgies de gestion de la capacit, vous devez disposer dun outil efficace pour vrifier que ces
stratgies sont techniquement appliques. Les quotas qui sont dfinis pour le stockage des donnes
dun utilisateur doivent tre grs, lenregistrement des fichiers restreints doit tre empch, et les
fichiers professionnels doivent tre stocks aux emplacements appropris.
Implmenter un systme permettant la cration de rapports et la surveillance. tablissez un systme

de cration de rapports et de notification pour vous informer sur lapplication des stratgies. Ces
rapports doivent complter ceux concernant ltat gnral de votre systme de gestion de la capacit
et de la situation de stockage des donnes.
Question : Quels sont les dfis en matire de gestion de la capacit auxquels vous avez t
ou tes confronts dans votre environnement ?
Quest-ce que FSRM ?

FSRM est un service du rle Services de fichiers
dans Windows Server 2012. Vous pouvez linstaller
dans le cadre du rle Services de fichiers via le
Gestionnaire de serveur. Ensuite, vous pouvez
utiliser la console FSRM pour grer FSRM sur votre
serveur. FSRM est destin agir en tant que
solution de gestion de la capacit pour votre
serveur Windows Server 2012. Il fournit un
ensemble fiable doutils et de fonctionnalits qui
vous permettent de grer et surveiller la capacit
de stockage de votre serveur avec efficacit.
FSRM contient cinq composants qui fonctionnent
ensemble pour fournir une solution de gestion de la capacit.
Gestion de quota
10-5
La gestion de quota est un composant qui vous permet de crer, de grer et dobtenir des informations
sur les quotas. Ces informations sont ensuite utilises pour fixer des limites de stockage sur des volumes
ou des dossiers (et leur contenu). En dfinissant des seuils de notification, vous pouvez envoyer des
notifications par courrier lectronique, enregistrer un vnement, excuter une commande ou un script,
ou gnrer des rapports lorsque les utilisateurs sapprochent dun quota ou le dpassent. La gestion de
quota vous permet galement de crer et grer des modles de quota afin de simplifier le processus
de gestion de quota.
Gestion du filtrage de fichiers
La gestion du filtrage de fichiers est un composant qui vous permet de crer, de grer et dobtenir des
informations sur les filtres de fichiers. Vous pouvez utiliser ces informations pour empcher le stockage de
types de fichiers spcifiques sur un volume ou un dossier ou pour vous informer quand les utilisateurs
enregistrent ces types de fichiers. Lorsque les utilisateurs tentent denregistrer des fichiers non autoriss,
le filtrage de fichiers peut bloquer le processus et informer les administrateurs pour quils autorisent la
gestion proactive.
linstar de la gestion de quota, la gestion du filtrage de fichiers vous permet de crer et grer des
modles de filtre de fichiers pour simplifier la gestion du filtrage de fichiers. Vous pouvez galement crer
des groupes de fichiers qui vous permettent de dterminer les types de fichiers pouvant tre bloqus ou
autoriss.
Gestion des rapports de stockage
La gestion des rapports de stockage est un composant qui vous permet de planifier et de configurer des
rapports de stockage. Ces rapports fournissent des informations concernant les composants et les aspects
de FSRM, notamment :
lutilisation de quota ;
lactivit de filtrage de fichiers ;
les fichiers susceptibles davoir un impact ngatif sur la gestion de la capacit, tels que les fichiers
volumineux, les fichiers en double ou les fichiers inutiliss ;
lnumration et le filtrage de fichiers en fonction dun propritaire, dun groupe de fichiers ou

dune proprit de fichier spcifique.
Remarque : Les rapports de stockage peuvent tre excuts selon une planification, ou
vous pouvez les gnrer la demande.
Gestion de la classification
La gestion de la classification est un composant qui vous permet de crer et grer des proprits
de classification que vous pouvez ensuite attribuer aux fichiers. Vous pouvez attribuer des valeurs de
proprit aux fichiers laide de rgles de classification, qui peuvent tre appliques la demande ou
bases sur une planification. La classification vous permet de classer et de grer des fichiers laide dun
grand nombre de proprits dans le but didentifier et de grouper vos fichiers.
Tches de gestion de fichiers

Le composant de tches de gestion de fichiers vous permet de planifier et configurer des tches
spcifiques, qui peuvent automatiser lapplication ou lexpiration de commandes personnalises. Ainsi,
vous pouvez automatiser les procdures de gestion des fichiers. Les tches de gestion de fichiers tirent
parti des fonctionnalits de gestion de la classification pour vous permettre de supprimer les fichiers
anciens ou de les dplacer vers un emplacement spcifique en fonction dune proprit de fichier (nom
de fichier ou type de fichier).
Remarque : Les volumes que FSRM gre doivent tre formats en utilisant le systme
de fichiers NTFS. FSRM est fourni avec Windows Server 2003 Service Pack 1 (SP1) et versions
ultrieures.
Dmonstration : Procdure dinstallation et de configuration de FSRM
Pour installer FSRM dans Windows 2012, ajoutez le service de rle FSRM dans le rle Services de fichiers
et de stockage.
FSRM comporte plusieurs options de configuration qui sappliquent globalement tous ses composants.
Pour accder ces options, procdez comme suit :
1.
Ouvrez la console Gestionnaire de ressources du serveur de fichiers.
2.
Dans le volet gauche, cliquez avec le bouton droit sur le nud racine Gestionnaire de ressources
du serveur de fichiers, puis cliquez sur Configurer les options.
Options FSRM
10-7
Dans la bote de dialogue Options du Gestionnaire de ressources du serveur de fichiers, plusieurs

onglets vous permettent de configurer les divers aspects de FSRM. Les onglets suivants sont disponibles
dans la bote de dialogue de proprits Options du Gestionnaire de ressources du serveur de fichiers :
Onglet Notifications par courrier lectronique. Cet onglet vous permet dindiquer le nom ou ladresse
dun serveur SMTP, ainsi que dautres dtails que FSRM utilisera pour envoyer des notifications par
courrier lectronique.
Onglet Limites de notification. Les limites de notification vous permettent de spcifier une dure
pendant laquelle FSRM attend entre chaque envoi de notifications afin dviter lexcs de notifications
rsultant de la rptition dun dpassement de quota ou dune dtection de fichier non autoris. Cet
onglet vous permet de dfinir des valeurs distinctes pour les notifications par courrier lectronique,
les entres enregistres dans le journal des vnements, les commandes en cours dexcution ou les
rapports en cours de gnration. La valeur par dfaut de chaque intervalle est de 60 minutes.
Onglet Rapports de stockage. Cet onglet vous permet de configurer et dafficher les paramtres par
dfaut de rapports de stockage existants. Onglet Emplacements des rapports. Cet onglet vous permet
dafficher et de modifier lemplacement dans lequel les trois diffrents types de rapports de stockage
sont enregistrs : rapports dincident, rapports planifis et rapports la demande. Par dfaut, chaque
catgorie est enregistre dans son propre dossier : %systemdrive%\Rapports de stockage.
Remarque : Si FSRM gnre un grand nombre de rapports de stockage, il est possible de

dplacer les dossiers de rapport de stockage vers un autre volume physique afin de diminuer les
entres/sorties (E/S) disque sur votre volume systme. Vous pouvez galement modifier
lemplacement si la taille de vos rapports de stockage provoque un problme de capacit sur
votre volume systme.
Onglet Vrification du filtrage de fichiers. Sous cet onglet, une case cocher permet dactiver ou
de dsactiver lenregistrement de lactivit de filtrage des fichiers dans la base de donnes de
vrification. Vous pouvez afficher lactivit rsultante du filtrage de fichiers quand vous excutez
le rapport de vrification du filtrage des fichiers depuis Gestion des rapports de stockage.
Onglet Classification automatique. Cet onglet vous permet de dfinir une planification qui rgit la
classification automatique des fichiers. Vous pouvez spcifier les journaux gnrer, puis indiquer
sil faut gnrer un rapport du processus de classification et comment procder.
Onglet Assistance en cas daccs refus. Cet onglet vous permet de dfinir un message personnalis
quand FSRM empche une opration de niveau fichier suite une restriction de la gestion de quota
pour le filtrage de fichiers.
Gestion des services FSRM
La gestion dun serveur excutant FSRM se produit en gnral localement, via la console FSRM Microsoft
Management Console (MMC). Toutefois, vous disposez dautres options pour grer un serveur excutant
ce type de service.
Gestion de FSRM laide de Windows PowerShell
Windows PowerShell 3.0 contient les nouvelles applets de commande pour la gestion de FSRM. Celles-ci
tendent les fonctionnalits de gestion tous les aspects de FSRM. Le module FileServerResourceManager
pour Windows PowerShell est install sur un ordinateur Windows Server 2012 automatiquement quand
vous installez le service de rle FSRM.
Les applets de commande Windows PowerShell3.0 remplacent la fonctionnalit prcdemment fournie
par les excutables de ligne de commande dirquota.exe, filescrn.exe et storrpt.exe de FSRM. Bien que ces
excutables soient toujours prsents dans Windows Server 2012, ils sont dconseills et seront supprims
de la future version de Windows Server. Par consquent, vous devriez utiliser les applets de commande
Windows PowerShell pour crer toutes les solutions de gestion impliquant des tches de ligne de
commande.
Pour voir la liste complte des applets de commande FSRM disponibles, excutez la commande suivante
depuis une interface de ligne de commande Windows PowerShell :
Get-Command -Module FileServerResourceManager
Gestion de FSRM distance
Vous pouvez vous connecter distance un autre serveur qui excute FSRM laide de la console FSRM.
Depuis cette console, vous grez FSRM de la mme manire que vous grez des ressources sur votre
ordinateur local.
Pour grer FSRM distance laide de la console FSRM :
Assurez-vous que les deux serveurs excutent Windows Server 2008 R2 ou une version plus rcente,
puis installez FSRM.
Activez lexception Gestion de ressources du serveur de fichiers distance manuellement depuis

le Pare-feu Windows, via le Panneau de configuration ou laide dune stratgie de groupe.
Autorisez le trafic dappel de procdure distante (RPC) entre les deux serveurs quel que soit le pare-feu.
Connectez-vous lordinateur local avec un compte membre du groupe dadministrateurs locaux sur
lordinateur distant.
Vous pouvez galement excuter les applets de commande Windows PowerShell de FSRM distance
laide des fonctionnalits de communication distance de Windows PowerShell.
installer le service de rle FSRM ;
spcifier les options de configuration de FSRM ;
utiliser Windows PowerShell pour grer FSRM.
Installer le service de rle FSRM
1.
Connectez-vous LON-SVR1 en tant que ADATUM\Administrateur avec le mot de passe

Pa$$w0rd.
2.
3.
Installez le service de rle Gestionnaire de ressources du serveur de fichiers dans le rle Service
de fichiers et de stockage (Install).
Spcifier les options de configuration de FSRM
10-9
1.
2.
Ouvrez la fentre Options du Gestionnaire de ressources du serveur de fichiers pour linstance locale
du Gestionnaire de ressources du serveur de fichiers.
3.
Activez la vrification du filtrage de fichiers.
Utiliser Windows PowerShell pour grer FSRM
partir dune invite de commande Windows PowerShell, excutez la commande suivante :

set-FSRMSetting -SMTPServer server1 -AdminEmailAddress fileadmin@adatum.com FromEmailAddress fileadmin@adatum.com
Leon 2
Utilisation de FSRM pour grer les quotas, les filtres

de fichiers et les rapports de stockage
Les donnes sont le principal composant de votre infrastructure de serveur. Dans la plupart
des circonstances, linfrastructure de serveur fournit aux utilisateurs ou aux applications les donnes
contenues dans les fichiers sur le serveur.
10-10
Que lajout de fichiers aux serveurs soit effectu par les utilisateurs ou les applications, la gestion de quota
vous permet de vous assurer que ces utilisateurs et ces applications utilisent uniquement lespace qui leur
est allou. Les filtres de fichiers dans FSRM vous permettent de dterminer quels types de fichiers peuvent
tre enregistrs dans votre infrastructure de fichiers et de stockage. Par ailleurs, les rapports de stockage
vous permettent de fournir des dtails sur la gestion de quota, le filtrage de fichiers et plusieurs autres
aspects de la fonctionnalit FSRM.
dcrire la gestion de quota ;
dcrire les modles de quotas ;
expliquer comment surveiller lutilisation des quotas ;
dcrire la gestion du filtrage de fichiers ;
dcrire les groupes de fichiers ;
dcrire les modles de filtres de fichiers et les exceptions de filtres de fichiers ;
dcrire les rapports de stockage ;
expliquer une tche de cration de rapport ;
expliquer comment utiliser FSRM pour grer les quotas et les filtres de fichiers et pour gnrer des
rapports de stockage.
Quest-ce que la gestion de quota ?

Dans FSRM, la gestion de quota vous permet de
limiter lespace disque qui est allou un volume
ou un dossier. La limite de quota sapplique
lensemble de la sous-arborescence dun dossier.
Les quotas vous permettent de grer des
restrictions de capacit en procdant de
diffrentes manires. Par exemple, vous pouvez
utiliser un quota pour vrifier que les utilisateurs
individuels ne consomment pas un espace de
stockage trop important avec leurs lecteurs de
base, ou pour limiter lespace consomm par les
fichiers multimdias dans un dossier spcifique.
Types de quotas
Vous pouvez crer deux types diffrents de quotas dans la gestion de quota :
10-11
Un quota inconditionnel empche les utilisateurs denregistrer des fichiers une fois que la limite
despace est atteinte et gnre des notifications lorsque le volume de donnes atteint chaque seuil
configur.
Un quota conditionnel ne met pas excution la limite de quota mais gnre des notifications
configures.
Notifications de quotas
Pour dterminer ce qui se produit lorsque la limite de quota est atteinte, vous configurez des seuils de
notification. Pour chaque seuil que vous dfinissez, vous pouvez envoyer des notifications par courrier
lectronique, enregistrer un vnement, excuter une commande ou un script, ou gnrer des rapports
de stockage. Par exemple, vous pouvez avertir ladministrateur et lutilisateur lorsquun dossier
atteint 85 % de sa limite de quota, puis envoyer une autre notification lorsque la limite de quota est
atteinte. Parfois, il peut tre ncessaire dexcuter un script qui lve automatiquement la limite de quota
lorsquun seuil est atteint.
Cration de quotas
Quand vous crez un quota sur un volume ou un dossier, vous pouvez le baser sur un modle de quota
ou utiliser des proprits personnalises. Autant que possible, basez un quota sur un modle de quota.
Vous pouvez rutiliser un modle de quota pour crer dautres quotas ; cela simplifie la gestion actuelle
des quotas.
FSRM peut galement gnrer des quotas automatiquement. Quand vous configurez un quota
automatique, vous appliquez un modle de quota un volume ou un dossier parent. Ensuite, un
quota bas sur ce modle est cr pour chacun des sous-dossiers existants, et un quota est gnr
automatiquement pour chaque nouveau sous-dossier cr. Vous pouvez galement crer des quotas
via lapplet de commande Windows PowerShell, New-FSRMQuota.
Que sont les modles de quotas ?

Les modles de quotas FSRM vous permettent de
crer, dutiliser et de grer des modles pour des
quotas. Un modle de quota dfinit une limite
despace, le type de quota (inconditionnel ou
conditionnel), et un ensemble de notifications
gnrer quand la limite de quota est approche
ou dpasse.
Les modles de quotas simplifient la cration et la
maintenance des quotas. Vous pouvez utiliser un
modle de quota pour appliquer une limite de
stockage standard et un ensemble standard
de seuils de notification un grand nombre de
volumes et de dossiers sur les serveurs de votre organisation.
Mise jour de quota base sur un modle

Si vous basez vos quotas sur un modle, vous pouvez mettre jour tous les quotas bass sur ce modle
en le modifiant. Cette fonctionnalit simplifie le processus de mise jour des proprits de quota en
fournissant un point central partir duquel les administrateurs informatiques peuvent effectuer toutes
les modifications.
Par exemple, vous pouvez crer un modle de quota utilisateur que vous utilisez pour dfinir une limite
de 200 mgaoctets (Mo) sur le dossier personnel de chaque utilisateur. Vous pouvez ensuite crer un
quota bas sur ce modle de quota utilisateur, puis lattribuer au dossier de chaque utilisateur. Si vous
dcidez ultrieurement dattribuer chaque utilisateur un espace supplmentaire sur le serveur, vous
navez qu modifier la limite despace dans le modle de quota utilisateur, puis mettre jour chaque
quota bas sur ce modle de quota.
Exemples de modles de quotas

FSRM fournit plusieurs modles de quotas. Par exemple :
10-12
Vous pouvez utiliser le modle Limite de 200 Mo pour les rapports dutilisateurs pour dfinir une
limite inconditionnelle de 200 Mo sur le dossier personnel de chaque utilisateur, puis envoyer des
rapports de stockage aux utilisateurs qui dpassent le quota.
Pour certains dossiers, vous pouvez utiliser le modle Limite de 200 Mo avec extension de 50 Mo
pour accorder une extension de quota ponctuelle de 50 Mo aux utilisateurs qui dpassent la limite
de quota de 200 Mo.
Dautres modles par dfaut sont conus pour surveiller lutilisation du disque par lintermdiaire de
quotas conditionnels, notamment le modle Analyser lutilisation de volume de 200 Go et le modle
Analyser un partage de 500 Mo. Quand vous utilisez ces modles, les utilisateurs peuvent dpasser la
limite de quota, mais des notifications par courrier lectronique et de journal des vnements sont
gnres le cas chant.
Analyse du rapport dutilisation des quotas

En plus des informations figurant dans les
notifications envoyes par les quotas, vous
disposez dautres mthodes pour trouver des
informations relatives lutilisation des quotas.
Vous pouvez afficher les quotas dans la fentre de
gestion des quotas de la console FSRM, gnrer
un rapport dutilisation des quotas ou crer des
quotas conditionnels pour surveiller lutilisation
globale du disque. Vous pouvez galement utiliser
une applet de commande Windows PowerShell.
Rapport dutilisation des quotas
10-13
Le rapport dutilisation des quotas vous permet didentifier les quotas susceptibles dtre bientt atteints
ou dpasss afin que vous puissiez prendre les mesures appropries. La gnration de ce rapport sera
aborde en dtail dans la leon Gestion des rapports de stockage.
Modles pour surveiller lutilisation du disque

Pour surveiller lutilisation globale du disque, vous pouvez crer des quotas conditionnels pour des
volumes ou des partages. FSRM fournit les modles par dfaut suivants que vous pouvez utiliser
(ou adapter) cette fin :
Analyser lutilisation de volume de 200 Go
Analyser un partage de 500 Mo
Windows PowerShell
Vous pouvez utiliser lapplet de commande Get-FSRMQuota pour afficher les quotas FSRM qui existent
sur le serveur, ainsi que les statistiques de chaque quota.
Quest-ce que la gestion du filtrage de fichiers ?

La gestion du filtrage de fichiers vous permet de
crer des filtres de fichiers afin dempcher
lenregistrement de types de fichiers sur un
volume ou dans une arborescence de dossiers.
Un filtre de fichiers affecte tous les dossiers dans
le chemin daccs indiqu. Vous utilisez des
groupes de fichiers pour contrler les types de
fichiers que les filtres de fichiers grent. Par
exemple, vous pouvez crer un filtre de fichiers
pour empcher des utilisateurs denregistrer des
fichiers audio et vido dans leurs dossiers
personnels sur le serveur. Comme tous les
composants de FSRM, vous pouvez choisir de gnrer des notifications par courrier lectronique ou
dautres notifications quand un vnement de filtrage de fichiers se produit.
Types de filtre de fichiers

Vous pouvez configurer un filtre de fichiers comme actif ou passif :
Le filtrage actif empche les utilisateurs denregistrer des types de fichiers non autoriss sur le serveur
et gnre des notifications configures lorsquils tentent de le faire.
Le filtrage passif envoie des notifications configures aux utilisateurs qui enregistrent des types de
fichiers spcifiques, mais il nempche pas les utilisateurs denregistrer ces fichiers.
lments prendre en compte en matire de gestion du filtrage de fichiers
10-14
Pour simplifier la gestion des filtres de fichiers, vous pouvez baser vos filtres de fichiers sur les modles de
filtre de fichiers, qui seront prsents ultrieurement dans cette leon.
Pour davantage de flexibilit, vous pouvez configurer une exception de filtre de fichiers dans un sousdossier dun chemin daccs o vous avez cr un filtre de fichiers. Quand vous placez une exception
de filtre de fichiers dans un sous-dossier, vous permettez aux utilisateurs denregistrer des types de fichier
qui seraient normalement bloqus par le filtre de fichiers appliqu au dossier parent. Vous pouvez
galement crer des filtres de fichiers dans Windows PowerShell laide de lapplet de commande
New-FSRMFileScreen.
Remarque : Un filtre de fichiers nempche pas les utilisateurs et les applications daccder
aux fichiers qui ont t enregistrs dans le chemin daccs avant la cration de ce filtre, que ces
fichiers appartiennent ou non des groupes de fichiers bloqus.
Que sont les groupes de fichiers ?

Avant de commencer utiliser des filtres de
fichiers, vous devez comprendre le rle des
groupes de fichiers dans la dtermination du
filtrage des fichiers. Un groupe de fichiers permet
de dfinir un espace de noms pour un filtre de
fichiers ou une exception de filtre de fichiers ou
de gnrer un rapport de stockage Fichiers par
groupe de fichiers.
Caractristiques des groupes de fichiers

Un groupe de fichiers se compose dun ensemble
de modles de noms de fichiers, qui sont groups
en tant que fichiers inclure et fichiers exclure :
Fichiers inclure : fichiers auxquels le groupe de fichiers sapplique.
Fichiers exclure : fichiers auxquels le groupe de fichiers ne sapplique pas.
Par exemple, un groupe de fichiers appel Fichiers audio peut contenir les modles de noms de fichiers
suivants :
Fichiers inclure : *.mp* : inclut tous les fichiers audio crs dans les formats MPEG actuels et futurs
(MP2, MP3, etc.).
Fichiers exclure : *.mpp : Exclut les fichiers crs dans Microsoft Project (fichiers .mpp), qui auraient
normalement d tre inclus en vertu de la rgle dinclusion *.mp*.
10-15
FSRM fournit plusieurs groupes de fichiers par dfaut, que vous pouvez afficher dans Gestion du filtrage
de fichiers en cliquant sur le nud Groupes de fichiers. Vous pouvez dfinir dautres groupes de fichiers
ou modifier les fichiers inclure et exclure. Toute modification apporte un groupe de fichiers affecte
tous les filtres de fichiers, modles et rapports existants auxquels le groupe de fichiers a t ajout.
Remarque : Pour plus de commodit, vous pouvez modifier les groupes de fichiers quand
vous modifiez les proprits dun filtre de fichiers, dune exception de filtre de fichiers, dun
modle de filtre de fichiers, ou le rapport Fichiers par groupe de fichiers. Notez que toutes les
modifications que vous apportez un groupe de fichiers partir de ces feuilles de proprits
affectent tous les lments qui utilisent ce groupe de fichiers.
Que sont les modles de filtres de fichiers et les exceptions de filtres

de fichiers ?
Vous utilisez des modles de filtre de fichiers
et des exceptions de filtre de fichiers pour
dvelopper les fonctionnalits de la gestion
du filtrage de fichiers dans FSRM.
Modles de filtres de fichiers

Pour simplifier la gestion des filtres de fichiers,
vous pouvez les crer en vous basant sur des
modles de filtres de fichiers. Un modle de filtre
de fichiers dfinit les lments suivants :
les groupes de fichiers bloquer ;
les types de filtrage excuter ;
les notifications gnrer.
Vous pouvez configurer deux types de filtrage dans un modle de filtre de fichiers. Le filtrage actif ne
permet pas aux utilisateurs denregistrer des fichiers associs aux groupes de fichiers slectionns que
vous configurez avec le modle. Le filtrage passif permet aux utilisateurs denregistrer les fichiers mais
envoie des notifications des fins de surveillance.
FSRM fournit plusieurs modles de filtres de fichiers par dfaut, que vous pouvez utiliser pour bloquer des
fichiers audio et vido, des fichiers excutables, des fichiers image et des fichiers de courrier lectronique,
afin de rpondre aux besoins administratifs courants. Pour afficher les modles par dfaut, dans
larborescence de la console Gestionnaire de ressources du serveur de fichiers, cliquez sur le nud
Modles de filtres de fichiers.
Le fait de crer des filtres de fichiers exclusivement partir de modles vous permet de les grer de
manire centralise en mettant jour ces modles au lieu de modifier les filtres de fichiers un un.
Remarque : La procdure pour crer des filtres de fichiers partir de modles de filtres est
identique celle utilise pour crer des quotas partir de modles de quotas.
Exceptions de filtres de fichiers
10-16
Il est parfois ncessaire dautoriser des exceptions au filtrage de fichiers. Par exemple, vous pouvez
bloquer les fichiers vido provenant dun serveur de fichiers, mais vous devez autoriser votre groupe de
stagiaires enregistrer les fichiers vido dans le cadre de leur formation assiste par ordinateur. Pour
autoriser certains fichiers bloqus par dautres filtres, vous pouvez crer une exception de filtre de fichiers.
Une exception de filtre de fichiers est un type particulier de filtre de fichiers qui remplace tout autre filtre
de fichiers qui devrait normalement sappliquer un dossier et ses sous-dossiers, dans un chemin daccs
dsign de lexception. Cela signifie quelle cre une exception toute rgle drive dun dossier parent.
Pour dterminer quels types de fichier lexception autorisera, des groupes de fichiers sont attribus.
Pour crer une exception de filtre de fichiers, sous Gestion du filtrage de fichiers dans FSRM, cliquez sur
Crer une exception de filtre de fichiers partir du nud Filtres de fichiers.
Remarque : Les exceptions de filtres de fichiers remplacent toujours des filtres de fichiers
dont les paramtres sont en conflit. Par consquent, vous devez les organiser et les implmenter
avec prudence.
Que sont les rapports de stockage ?

FSRM peut gnrer des rapports(appels rapports
de stockage)qui vous aident comprendre
lutilisation des fichiers sur votre serveur de
stockage. Vous pouvez utiliser des rapports de
stockage pour surveiller les modles dutilisation
du disque (par type de fichier ou utilisateur), pour
identifier les fichiers en double et les fichiers
dormants, pour suivre lutilisation du quota et
pour auditer le filtrage de fichiers.
Dans le nud Gestion des rapports de stockage,

vous pouvez crer des tches de rapport que vous
utiliserez ensuite pour planifier un ou plusieurs
rapports priodiques, ou vous pouvez gnrer des rapports la demande. Pour les rapports la demande
et les rapports planifis, les donnes actuelles sont rassembles avant la gnration du rapport. Vous avez
galement la possibilit de gnrer des rapports automatiquement pour vous avertir quand un utilisateur
dpasse un seuil de quota ou enregistre un fichier non autoris.
10-17
Types de rapports de stockage

Le tableau suivant dcrit chaque rapport de stockage disponible.
Rapport
Description
Fichiers dupliqus
Ce rapport rpertorie les fichiers qui semblent tre des doublons (fichiers avec
la mme taille et la dernire date de modification). Il permet didentifier et de
rcuprer lespace disque gaspill en raison de fichiers dupliqus. Cest le seul
rapport qui nest pas configurable.
Vrification du
filtrage des fichiers
Ce rapport rpertorie les vnements de filtrage de fichiers qui se sont

produits sur le serveur pendant un nombre de jours dtermin. Il permet
didentifier les utilisateurs ou les applications qui ne respectent pas les
stratgies de filtrage de fichiers.
Fichiers par groupe

de fichiers
Ce rapport rpertorie les fichiers qui appartiennent des groupes de fichiers

spcifiques. Il permet didentifier les tendances dutilisation de groupes de
fichiers ainsi que les groupes de fichiers qui occupent de grandes quantits
despace disque. Il peut vous aider dterminer les filtres de fichiers
configurer sur le serveur.
Fichiers par
propritaire
Ce rapport rpertorie les fichiers qui sont groups par propritaires. Il permet
danalyser les tendances dutilisation sur le serveur et didentifier les utilisateurs
qui consomment de grandes quantits despace disque.
Fichiers par proprit
Ce rapport rpertorie les fichiers en fonction des valeurs dune proprit

particulire de classification. Il permet dobserver des tendances dutilisation
de la classification des fichiers.
Dossiers par
proprit
Ce rapport rpertorie les dossiers en fonction de la valeur dune proprit

de classification scurise donne. Il permet dobserver des tendances de
classification des dossiers.
Fichiers volumineux
Ce rapport rpertorie les fichiers dune taille spcifique ou volumineux.

Il permet didentifier les fichiers qui occupent le plus despace disque sur
le serveur. Vous pouvez ainsi lutiliser pour rcuprer de grandes quantits
despace disque.
Fichiers ouverts le
moins rcemment
Ce rapport rpertorie les fichiers qui nont pas t ouverts depuis un nombre
de jours spcifi. Il peut vous aider identifier les donnes rarement utilises
qui peuvent tre archives et supprimes du serveur.
Fichiers ouverts le
plus rcemment
Ce rapport rpertorie les fichiers qui ont t ouverts au cours dune priode
en jours spcifie. Il permet didentifier les donnes frquemment utilises
qui doivent tre maintenues un haut niveau de disponibilit.
Utilisation du quota
Ce rapport rpertorie les quotas dont lutilisation est suprieure au

pourcentage spcifi. Il permet didentifier les quotas prsentant des niveaux
dutilisation levs afin que vous puissiez prendre les mesures appropries.
Configuration des paramtres de rapport
10-18
Except pour le rapport Fichiers dupliqus, tous les rapports ont des paramtres configurables qui
dterminent leur contenu. Ces paramtres varient selon le type de rapport. Pour certains rapports, vous
pouvez utiliser des paramtres pour slectionner les volumes et les dossiers particuliers, dfinir une taille
de fichier minimale inclure ou restreindre leur porte aux fichiers appartenant des utilisateurs
spcifiques.
Enregistrement de rapports
Indpendamment de la faon dont vous le gnrez, ou que vous choisissiez de lafficher immdiatement
ou non, le rapport est enregistr sur le disque. Les rapports dincident sont enregistrs au format DHTML
(Dynamic HTML). Vous pouvez enregistrer les rapports planifis et la demande au format DHTML,
HTML, XML, CSV et texte.
Les rapports planifis, les rapports la demande et les rapports dincident sont enregistrs dans des
dossiers spars au sein dun rfrentiel de rapports dsign.
Par dfaut, les rapports sont enregistrs dans les sous-rpertoires du dossier
%Systemdrive%\StorageReports\. Pour modifier les emplacements par dfaut des rapports, dans la bote
de dialogue Options du Gestionnaire de ressources du serveur de fichiers, sous longlet
Emplacements des rapports, indiquez o enregistrer chaque type de rapport de stockage.
Quest-ce quune tche de cration de rapport ?

Une tche de cration de rapport est un ensemble
de rapports de gestion du stockage qui
sexcutent selon une planification.
Elle spcifie les rapports gnrer, ceux utiliser,
ainsi que les volumes et les dossiers sur lesquels
le rapport doit porter. La tche de cration de
rapport indique galement quelle frquence
gnrer les rapports et dans quels formats les
enregistrer.
Quand vous planifiez un ensemble de rapports, les
rapports sont enregistrs automatiquement dans
le rfrentiel de rapports. Vous pouvez galement
demander que les rapports soient envoys par courrier lectronique un groupe dadministrateurs.
Pour planifier des tches de cration de rapport, procdez comme suit dans FSRM.
1.
Cliquez sur le nud Gestion des rapports de stockage.
2.
Cliquez avec le bouton droit sur Gestion des rapports de stockage, puis cliquez sur Planifier une
nouvelle tche de rapport. Vous pouvez galement cliquer sur Planifier une nouvelle tche de
rapport dans le volet Actions.
Remarque : Pour rduire limpact du traitement des rapports sur les performances du
serveur, gnrez plusieurs rapports selon la mme planification de sorte que les donnes soit
collectes une seule fois.
Gnration de rapports la demande
10-19
Pendant les oprations quotidiennes, vous pouvez gnrer des rapports la demande pour analyser les
diffrents aspects de lutilisation actuelle du disque sur le serveur. Les donnes actuelles sont collectes
avant la gnration des rapports.
Lorsque vous gnrez des rapports la demande, ceux-ci sont enregistrs dans le rfrentiel des rapports,
mais aucune tche de cration de rapport nest cre pour une utilisation ultrieure. Vous pouvez afficher
les rapports juste aprs les avoir gnrs, ou vous pouvez les envoyer un groupe dadministrateurs par
courrier lectronique.
Pour gnrer des rapports la demande :
1.
Cliquez sur le nud Gestion des rapports de stockage.
2.
Cliquez avec le bouton droit sur Gestion des rapports de stockage, puis cliquez sur Gnrer les
rapports maintenant (ou dans le volet Actions, cliquez sur Gnrer les rapports maintenant).
Remarque : Lorsque vous gnrez un rapport la demande, vous pouvez attendre quil
soit gnr et lafficher immdiatement. Si vous choisissez douvrir les rapports immdiatement,
vous devez attendre quils soient gnrs. Le temps de traitement varie selon les types de
rapports et ltendue des donnes.
Dmonstration : Utilisation de FSRM pour grer des quotas et des filtres

de fichiers et pour gnrer des rapports de stockage la demande
crer un quota ;
tester un quota ;
crer un filtre de fichiers ;
tester un filtre de fichiers ;
gnrer un rapport de stockage ;
Crer un quota
1.
Connectez-vous LON-SVR1 en tant que ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2.
3.
4.
Crez un quota bas sur le paramtre Limite de 100 Mo dans le dossier E:\Labfiles\Mod10\Data.
Tester un quota
1.
Ouvrez Windows PowerShell.
2.
Crez un nouveau fichier de 130 Mo dans le dossier E:\Labfiles\Mod10\Data laide de la

commande suivante :
fsutil file createnew largefile.txt 130000000
3.
Fermez Windows PowerShell.
Crer un filtre de fichiers
10-20
Dans le Gestionnaire de ressources du serveur de fichiers, crez un nouveau filtre de fichiers selon le
modle de filtre de fichiers Bloquer les fichiers image
pour E:\Labfiles\Mod10\Data.
Tester un filtre de fichiers

1.
Ouvrez lExplorateur Microsoft Windows.
2.
Accdez E:\Labfiles\Mod10.
3.
Crez une nouvelle image bitmap (.bmp) nomme testimage.
4.
Copiez testimage, puis collez-la dans le dossier E:\Labfiles\Mod10\Data.
5.
Affichez et fermez la fentre derreurs.
6.
Fermez la fentre de lExplorateur de fichiers.
Gnrer un rapport de stockage

1.
Gnrez un rapport la demande pour Fichiers volumineux sur le lecteur E:.
2.
Affichez le rapport HTML et fermez-le.
3.
Fermez le Gestionnaire de ressources du serveur de fichiers.
Leon 3
10-21
Implmentation des tches de classification et de gestion

de fichiers
La plupart des applications grent des fichiers selon le rpertoire dans lequel ils sont stocks. Cela gnre
des structures de fichiers qui requirent lattention des administrateurs. Une telle structure peut
galement engendrer de la frustration parmi les utilisateurs. Dans Windows Server 2012, les tches de
gestion de la classification et de gestion de fichiers permettent aux administrateurs de grer des groupes
de fichiers selon divers attributs de fichier et de dossier. Avec les tches de gestion de la classification et
de gestion de fichiers, vous pouvez automatiser les tches de maintenance des fichiers et des dossiers,
telles que le nettoyage des donnes primes ou la protection des informations sensibles.
Dans cette leon, vous apprendrez comment les tches de gestion de la classification et de fichiers
fonctionnent ensemble pour faciliter la gestion et lorganisation des fichiers et des dossiers sur vos
serveurs.
dcrire la gestion de la classification ;
dcrire les proprits de la classification ;
dcrire une rgle de classification ;
expliquer comment configurer la gestion de la classification ;
identifier les lments prendre en considration pour lutilisation de la classification des fichiers ;
dcrire les tches de gestion de fichiers ;
expliquer comment configurer les tches de gestion de fichiers.
Quest-ce que la gestion de la classification ?

Pour rduire le cot et le risque associs la
gestion des donnes, linfrastructure de
classification des fichiers utilise une plateforme qui
permet aux administrateurs de classer les fichiers
et dappliquer des stratgies selon cette
classification. La disposition du stockage nest pas
modifie par les exigences en matire de gestion
des donnes, et lorganisation peut sadapter plus
facilement un changement denvironnement
dentreprise et de rglementation.
10-22
La gestion de la classification est conue pour simplifier la charge et la gestion des donnes rparties dans
lentreprise. Elle vous permet de classer les fichiers de diffrentes manires. Dans la plupart des scnarios,
vous effectuez la classification manuellement. Dans Windows Server 2012, la fonctionnalit Infrastructure
de classification des fichiers permet aux organisations de convertir ces processus manuels en stratgies
automatises. Vous pouvez spcifier des stratgies de gestion des fichiers bases sur la classification dun
fichier, puis appliquer les exigences de lentreprise pour grer les donnes en fonction de la valeur
commerciale. Vous pouvez galement modifier les stratgies facilement et utiliser des outils qui prennent
en charge la classification pour grer les fichiers.
Vous pouvez utiliser la classification des fichiers pour effectuer les actions suivantes :
1.
Dfinir les proprits et les valeurs de classification pouvant tre attribues aux fichiers en excutant
des rgles de classification.
2.
Crer, mettre jour et excuter des rgles de classification. Chaque rgle attribue une proprit et
une valeur prdfinies uniques aux fichiers dans un rpertoire spcifi, en fonction des plug-ins de
classification installs.
Lorsque vous excutez une rgle de classification, vous pouvez rvaluer les fichiers dj classs. Vous
pouvez choisir de remplacer des valeurs de classification existantes ou dajouter une valeur aux proprits
qui prennent en charge plusieurs valeurs.
Que sont les proprits de classification ?

Les proprits de classification sont utilises pour
attribuer des valeurs aux fichiers. Vous avez le
choix entre plusieurs types de proprits. Vous
pouvez dfinir ces proprits selon les besoins de
votre organisation. Des proprits de classification
sont attribues aux fichiers qui utilisent les rgles
de classification, qui sont prsentes dans la
rubrique suivante.
Le tableau suivant dfinit les types de proprits
disponibles et la stratgie qui est applique quand
un fichier est reclass :
Type de proprit
Description
Oui/Non
Proprit boolenne qui peut avoir la valeur OUI ou NON. Lorsque plusieurs
valeurs sont combines, la valeur NON remplace la valeur OUI.
Date-Heure
Simple proprit de date et dheure. Lorsque plusieurs valeurs sont combines,

les valeurs en conflit empchent la reclassification.
Nombre
Simple proprit numrique. Lorsque plusieurs valeurs sont combines, les

valeurs en conflit empchent la reclassification.
(suite)
Type de proprit
Description
10-23
Liste choix
multiples
Liste de valeurs qui peuvent tre attribues une proprit. Plusieurs valeurs
la fois peuvent tre attribues une proprit. Lorsque plusieurs valeurs sont
combines, chaque valeur dans la liste est utilise.
Liste mise en ordre
Liste de valeurs fixes. Une seule valeur la fois peut tre attribue une
proprit. Lorsque plusieurs valeurs sont combines, cest la valeur en premire
position dans la liste qui est utilise.
Chane
Simple proprit de type chane. Lorsque plusieurs valeurs sont combines, les
valeurs en conflit empchent la reclassification.
Chane multiple
Liste de chanes qui peuvent tre attribues une proprit. Plusieurs valeurs
la fois peuvent tre attribues une proprit. Lorsque plusieurs valeurs sont
combines, chaque valeur dans la liste est utilise.
Quest-ce quune rgle de classification ?

Une rgle de classification attribue une proprit
de classification un objet du systme de fichiers.
Elle comprend des informations indiquant quel
moment attribuer une proprit de classification
un fichier.
Principales proprits des rgles

de classification
Pour dfinir le comportement dune rgle de
classification, posez-vous les questions suivantes :
La rgle est-elle active ? Dans la page

Proprits de la rgle de classification, sous
longlet Paramtres de la rgle, la case cocher Activ vous permet prcisment de dsactiver ou
dactiver la rgle de classification.
Quelle est ltendue de la rgle ? Sous longlet Paramtres de la rgle, le paramtre de tendue
vous permet de slectionner un dossier ou des dossiers auxquels la rgle de classification
sappliquera. Quand la rgle est excute, elle traite et tente de classer tous les objets du systme
de fichiers dans cet emplacement.
Quel mcanisme de classification la rgle utilisera-t-elle ? Dans la page Proprits de rgle de

classification, sous longlet Classification de la rgle, vous devez choisir une mthode de classification
que la rgle utilisera pour attribuer la proprit de classification. Par dfaut, vous avez le choix entre
deux mthodes :
o
Classificateur de dossiers. Le mcanisme de classificateur de dossiers attribue des proprits

un fichier selon le chemin daccs au dossier du fichier.
Classifieur de contenus. Le classifieur de contenus recherche des chanes ou des expressions

rgulires dans les fichiers. Cela signifie quil classe un fichier en fonction du contenu textuel de
ce fichier, par exemple selon quil contient un mot, une expression, une valeur numrique ou un
type spcifique.
10-24
Quelle proprit la rgle attribuera-t-elle ? La fonction principale de la rgle de classification consiste

attribuer une proprit un objet de fichier selon la faon dont la rgle sapplique cet objet de
fichier. Sous longlet Classification, vous devez spcifier une proprit et la valeur spcifique que la
rgle attribuera cette proprit.
Quels paramtres de classification supplmentaires seront utiliss ? Lessentiel de la logique de la

rgle tient dans les paramtres supplmentaires de classification. Le fait de cliquer sur le bouton
Avanc sous longlet Classification ouvre la fentre de paramtres de classification supplmentaires.
Dans cette fentre, vous pouvez spcifier des paramtres supplmentaires (y compris des chanes ou
des expressions rgulires) qui, sils sont trouvs dans lobjet du systme de fichiers, entraneront
lapplication de la rgle. Par exemple, ce paramtre pourrait tre lexpression Numro de scurit
sociale ou nimporte quel numro ayant le format 000-00-000. Sil est trouv, le paramtre de
classification appliquera au fichier une valeur OUI pour une proprit de classification Confidential.
Cette classification pourrait ensuite tre exploite pour effectuer des tches sur lobjet du systme de
fichiers, par exemple pour le dplacer vers un emplacement scuris.
Un paramtre de classification peut tre de lun des trois types suivants :
RegularExpression. Permet dtablir une correspondance avec une expression rgulire laide de la
syntaxe Microsoft .NET. Par exemple, \d\d\d correspondra nimporte quelle chane trois chiffres.
StringCaseSensitive. Permet dtablir une correspondance avec une chane respectant la casse. Par
exemple, Confidential retournera comme correspondance Confidential, et non confidential ou
CONFIDENTIAL.
String. Permet dtablir une correspondance avec une chane quelle que soit la casse. Par exemple,
Confidential retournera comme correspondance Confidential, non confidential et CONFIDENTIAL.
Planification des classifications

Vous pouvez excuter des rgles de classification de deux manires : la demande ou selon une
planification. Quelle que soit la mthode que vous choisissez, chaque fois que vous excutez la
classification, elle utilise toutes les rgles que vous avez laisses dans ltat Activ.
La configuration dune planification de classification vous permet de spcifier un intervalle rgulier auquel
les rgles de classification des fichiers sexcuteront, ce qui vous garantit que les fichiers de votre serveur
sont rgulirement classs et jour avec les dernires proprits de classification.
Dmonstration : Procdure de configuration de la gestion

de la classification
crer une proprit de classification ;
crer une rgle de classification ;
modifier la planification de la classification.
Crer une proprit de classification
1.
Ouvrez le Gestionnaire de ressources du serveur de fichiers, puis dveloppez le nud Gestion de

la classification.
2.
partir du nud Proprits de classification, crez un nud Proprit de classification nomm

Confidentiel, avec Oui/Non comme type de proprit.
Crer une rgle de classification
10-25
1.
partir du nud Rgles de classification, crez un nud Rgle de classification nomm

Documents de paie confidentiels.
2.
Configurez la rgle pour classer les documents en leur attribuant la valeur Oui pour la proprit de
classification Confidentiel si le fichier contient lexpression de chane PAYROLL.
Modifier la planification de la classification

1.
Crez une planification de classification qui sexcute le dimanche 8:30:00.
2.
partir du nud Rgle de classification, lancez manuellement le processus Excuter la

classification avec toutes les rgles maintenant, puis consultez le rapport.
lments prendre en considration pour lutilisation de la classification

des fichiers
Bien que la gestion de classification fournisse un
mcanisme puissant pour cataloguer, classer par
catgorie et classer vos objets du systme de
fichiers, vous devez prendre en considration
certains facteurs lorsque vous lutilisez.
Mode de stockage des proprits

de classification
Les proprits de classification sont enregistres

dans un flux de donnes de substitution, une
fonctionnalit de NTFS. Si un fichier est dplac
entre volumes NTFS, les flux de donnes de
substitution sont dplacs avec ce fichier, mais ils
napparaissent pas dans son contenu. Dans les applications Microsoft Office, les proprits de classification
sont galement enregistres dans des formats de fichier en tant que proprits de document personnalis
ou proprits de document du serveur.
Impact du dplacement sur les proprits de classification
Lorsque vous dplacez un fichier dun systme de fichiers NTFS vers un autre, si vous utilisez un
mcanisme standard tel que la copie ou le dplacement, le fichier conserve ses proprits de classification.
En revanche, si vous dplacez un fichier vers un systme de fichiers non NTFS, quel que soit le mode de
dplacement de ce fichier, les proprits de classification ne sont pas conserves. Si le fichier est le produit
dune application Microsoft Office, les proprits de classification restent attaches, quelle que soit la
faon dont le fichier est dplac.
Processus de gestion de la classification dans Windows Server
Les proprits de classification sont disponibles uniquement sur les serveurs excutant
Windows Server 2008 R2 ou une version ultrieure. Cependant, les documents Microsoft Office
conservent les informations de proprits de classification dans les proprits des documents, qui sont
consultables quel que soit le systme dexploitation utilis.
Rgles de classification en conflit

Parfois, il arrive que des rgles de classification entrent en conflit. Le cas chant, linfrastructure de
classification des fichiers tente de combiner les proprits. Les comportements suivants se produisent
lorsque des rgles de classification en conflit sont dtectes :
Pour les proprits Oui/Non, la valeur OUI est prioritaire sur la valeur NON.
Pour les proprits de liste mise en ordre, la valeur de proprit la plus leve est prioritaire.
Pour les proprits de choix multiples, les jeux de proprits sont combins un en jeu.
Pour les proprits de chane multiple, une valeur de chane multiple contenant toutes les chanes
uniques des diffrentes valeurs de proprit est dfinie.
Pour les autres types de proprits, une erreur se produit.
Certains fichiers ne peuvent tre pris en charge par la gestion de la classification

Linfrastructure de classification des fichiers nidentifie pas les fichiers individuels dans un conteneur, un
fichier tel quun fichier .zip ou .vhd. En outre, elle ne permet pas la classification du contenu des fichiers
chiffrs.
Que sont les tches de gestion de fichiers ?

Les tches de gestion de fichiers automatisent
le processus de recherche des sous-ensembles
de fichiers sur un serveur et dapplication de
commandes simples sur une base planifie. Les
fichiers sont identifis par les proprits de
classification qui ont t attribues au fichier par
une rgle de classification.
Les tches de gestion de fichiers incluent une
commande dexpiration de fichier, et vous pouvez
galement crer des tches personnalises. Vous
pouvez dfinir les fichiers qui seront traits par
une tche de gestion de fichiers laide des
proprits suivantes :
Emplacement
Proprits de classification
Heure de cration
Heure de modification
Date du dernier accs
Nom de fichier
Vous pouvez galement configurer des tches de gestion de fichiers afin dinformer les propritaires de
fichiers de toute stratgie imminente qui sera applique leurs fichiers.
10-26
Tches dexpiration de fichier
10-27
Les tches dexpiration de fichier dplacent automatiquement tous les fichiers qui correspondent
certains critres vers un rpertoire dexpiration spcifi, o un administrateur peut sauvegarder ces fichiers
et les supprimer. Quand vous excutez une tche dexpiration de fichier, un nouveau rpertoire est cr
dans le rpertoire dexpiration. Ce nouveau rpertoire est group daprs le nom du serveur sur lequel la
tche a t excute, et son nom est dfini en fonction de celui de la tche de gestion de fichiers et de
lheure laquelle elle a t excute. Quand un fichier expir est dcouvert, il est dplac vers le nouveau
rpertoire, tout en conservant sa structure de rpertoire initiale.
Tches de gestion de fichiers personnalises
Lexpiration nest pas toujours une action souhaitable sur les fichiers. Les tches de gestion de fichiers vous
permettent dexcuter des commandes personnalises. partir de la bote de dialogue Commandes
personnalises, vous pouvez excuter un fichier excutable, un script ou toute autre commande
personnalise pour excuter une opration sur les fichiers dans le cadre de la tche de gestion de fichiers.
Remarque : Pour configurer des tches personnalises, slectionnez le type Personnalis
sous longlet Action de la fentre Crer une tche de gestion de fichiers.
Dmonstration : Procdure de configuration des tches de gestion

de fichiers
crer une tche de gestion de fichiers ;
configurer une tche de gestion de fichiers pour faire expirer des documents.
Crer une tche de gestion de fichiers
1.
Ouvrez le Gestionnaire de ressources du serveur de fichiers, puis dveloppez le nud Tches de

gestion de fichiers.
2.
Crez une tche de gestion de fichiers nomme Faire expirer les documents confidentiels avec
pour tendue E:\Labfiles\Mod10\Data.
Configurer une tche de gestion de fichiers pour faire expirer des documents
1.
Sous longlet Action, configurez la tche pour lexpiration de fichiers dans

E:\Labfiles\Mod10\Expired.
2.
Ajoutez une condition indiquant que Confidentiel quivaut Oui.
3.
Excutez la tche de gestion de fichiers, puis affichez le rapport.
10-28

Scnario
bas Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes assistent le sige
social de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Chaque client rseau dans le domaine Adatum est fourni avec un dossier de base reposant sur un serveur
qui est utilis pour enregistrer les documents ou fichiers personnels reprsentant les travaux en cours.
Vous avez constat que les dossiers de base sont de plus en plus volumineux et peuvent contenir des
types de fichier tels que les fichiers .MP3 qui ne sont pas approuvs en raison de la stratgie dentreprise.
Vous dcidez dimplmenter les quotas et le filtrage de fichiers FSRM pour rsoudre ce problme.
Objectifs
configurer des quotas FSRM ;
configurer le filtrage de fichiers et gnrer un rapport de stockage.

22411B-LON-DC1
22411B-LON-SVR1
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd
Leon 4
Vue densemble de DFS

Vous pouvez utiliser DFS pour surmonter les difficults de gestion des donnes rencontres par les
succursales en fournissant un accs tolrance de pannes et une rplication des fichiers sur rseau
tendu (WAN) dans lensemble de lentreprise.
dcrire le systme de fichiers DFS ;
dcrire les espaces de noms DFS ;
dcrire la rplication DFS ;
expliquer le fonctionnement des espaces de noms DFS et de la rplication DFS ;
dcrire la dduplication des donnes ;
dcrire les scnarios dans lesquels DFS peut tre utilis ;
expliquer comment installer le rle DFS.
Quest-ce que DFS ?

Les utilisateurs exigent gnralement le nom UNC
(Universal Naming Convention) pour accder au
contenu des dossiers partags. Bon nombre des
grandes entreprises possdent des centaines
de serveurs de fichiers qui sont rpartis
gographiquement au sein de lorganisation.
Les utilisateurs sont confronts un grand
nombre de difficults lorsquils tentent de
rechercher des fichiers et dy accder
efficacement.
10-32
En utilisant un espace de noms, DFS peut

simplifier la structure de dossiers UNC. En
outre, DFS peut rpliquer lespace de noms virtuel et les dossiers partags sur plusieurs serveurs au sein de
lorganisation. Les partages sont alors situs le plus proche possible des utilisateurs, qui bnficient dun
avantage supplmentaire, savoir la tolrance de panne pour les partages rseau.
DFS comprend deux technologies qui sont implmentes en tant que services de rle :
10-33
Espace de noms DFS (DFS-N). Permet aux administrateurs de grouper les dossiers partags se
trouvant sur diffrents serveurs dans un ou plusieurs espaces de noms logiquement structurs.
Chaque espace de noms apparat aux utilisateurs comme un dossier partag unique avec plusieurs
sous-dossiers. Les sous-dossiers indiquent gnralement des dossiers partags qui se trouvent sur
plusieurs serveurs dans diffrents sites gographiques dissmins dans lorganisation.
DFS-R. Moteur de rplication multimatre qui synchronise les fichiers entre des serveurs pour des
connexions des rseaux locaux et tendus. La rplication DFS prend en charge la planification de
rplication et la limitation de bande passante et utilise la compression diffrentielle distance pour
mettre jour uniquement les parties de fichiers qui ont chang depuis la dernire rplication. Vous
pouvez utiliser la rplication DFS conjointement avec les espaces de noms DFS ou comme un
mcanisme de rplication de fichier autonome.
Quest-ce quun espace de noms DFS ?

Les espaces de noms DFS permettent une
reprsentation virtuelle des structures de dossiers
partages. Vous pouvez crer un espace de noms
bas sur un domaine ou autonome. Chaque type
possde des caractristiques diffrentes.
Espace de noms bas sur un domaine

Un espace de noms bas sur un domaine peut
tre utilis dans le cas suivants :
La haute disponibilit de lespace de noms

est requise, ce qui est garanti en rpliquant
lespace de noms sur plusieurs serveurs
despaces de noms.
Vous devez masquer le nom des serveurs despaces de noms aux utilisateurs. Cela simplifie galement
le remplacement dun serveur despace de noms ou la migration de lespace de noms vers un autre
serveur. Les utilisateurs accdent alors au format \\nom_domaine\espace_de_noms au lieu du format
\\nom_serveur\partage.
Si vous choisissez de dployer un espace de noms bas sur un domaine, vous devez galement
choisir entre le mode Microsoft Windows 2000 Server et le mode Windows Server 2008. Le mode
Windows Server 2008 fournit dautres avantages tels que la prise en charge de lnumration base sur
laccs, et il augmente le nombre de cibles de dossier de 5 000 50 000. Avec lnumration base sur
laccs, vous pouvez galement masquer des dossiers que les utilisateurs ne sont pas autoriss afficher.
Pour utiliser le mode Windows Server 2008, vous devez respecter les exigences suivantes :
La fort Active Directory doit tre au niveau fonctionnel de fort Windows Server 2003 ou un
niveau suprieur.
Le domaine Active Directory doit tre au niveau fonctionnel du domaine Windows Server 2008.
Tous les serveurs despaces de noms doivent fonctionner sous Windows Server 2008.
Espace de noms autonome

Un espace de noms autonome est utilis dans les cas suivants :
10-34
Une organisation na pas implment le service de domaine Active Directory (AD DS).
Une organisation ne rpond pas la configuration requise pour le mode Windows Server 2008, un
espace de noms bas sur un domaine, et il existe des besoins concernant plus de 5 000 dossiers DFS.
Les espaces de noms DFS autonomes prennent en charge jusqu 50 000 dossiers avec des cibles.
Une organisation hberge un espace de noms DFS dans un cluster de basculement.
Quest-ce que la rplication DFS ?

La rplication DFS permet dassurer la
synchronisation des dossiers entre les serveurs via
des ordinateurs correctement connects et des
connexions bande passante limite. Veuillez
prendre en compte les points cls suivants
concernant la rplication DFS :
La rplication DFS utilise la compression

diffrentielle distance (RDC). La compression
diffrentielle distance est un protocole
client-serveur qui peut servir mettre jour
des fichiers de manire efficace travers un
rseau bande passante limite. Elle dtecte
les insertions, suppressions ou rorganisations de donnes dans des fichiers, ce qui permet la
rplication DFS de rpliquer uniquement les blocs de fichier modifis lorsque les fichiers sont mis
jour. La compression diffrentielle distance nest utilise que pour des fichiers qui ont une taille
par dfaut de 64 kilo-octets (Ko) ou suprieure. La rplication DFS prend galement en charge la
compression diffrentielle distance entre fichiers, ce qui lui permet de lutiliser mme lorsquun
fichier portant le mme nom nexiste pas sur le poste client. La compression diffrentielle distance
entre fichiers peut dterminer les fichiers qui sont semblables au fichier qui doit tre rpliqu, et elle
utilise des blocs de fichiers semblables qui sont identiques au fichier de rplication pour rduire la
quantit de donnes rpliquer.
10-35
La rplication DFS utilise un dossier intermdiaire masqu pour effectuer une copie intermdiaire
dun fichier avant de lenvoyer ou de le recevoir. Les dossiers intermdiaires agissent comme des
caches pour les fichiers nouveaux et modifis rpliquer depuis des membres denvoi vers des
membres de rception. Le membre denvoi commence crer une copie intermdiaire dun fichier
lorsquil reoit une demande du membre de rception. Le processus implique la lecture du fichier
depuis le dossier rpliqu et la cration dune reprsentation compresse du fichier dans le dossier
intermdiaire. Aprs sa cration, le fichier intermdiaire est envoy au membre de rception ; si la
compression diffrentielle distance est utilise, seule une partie du fichier intermdiaire peut tre
rplique. Le membre de rception tlcharge les donnes et cre le fichier dans son dossier
intermdiaire. Une fois le tlchargement du fichier termin sur le membre de rception, la
rplication DFS dcompresse le fichier et linstalle dans le dossier rpliqu. Chaque dossier rpliqu
possde son propre dossier intermdiaire, qui, par dfaut, se trouve sous le chemin daccs local
du dossier rpliqu dans le dossier DFSrPrivate\Staging.
La rplication DFS dtecte des modifications sur le volume en surveillant le journal du nombre de
squences de mise jour du systme de fichiers, puis rplique les modifications uniquement aprs
la fermeture du fichier.
La rplication DFS utilise une version de protocole dchange vectoriel pour dterminer les fichiers
qui doivent tre synchroniss. Le protocole envoie moins d1 Ko par fichier travers le rseau pour
synchroniser les mtadonnes associes aux fichiers modifis sur les membres denvoi et de rception.
La rplication DFS utilise un heuristique de rsolution de conflit le dernier auteur lemporte pour
les fichiers en conflit (autrement dit, un fichier mis jour simultanment sur plusieurs serveurs) et
le premier crateur lemporte pour les conflits de nom. Les fichiers et les dossiers qui perdent la
rsolution de conflit sont dplacs vers un dossier appel dossier des fichiers en conflit et supprims.
Vous pouvez galement configurer le service de manire dplacer des fichiers supprims vers le
dossier des fichiers en conflit et supprims, en vue dune rcupration en cas de suppression du
fichier ou du dossier. Chaque dossier rpliqu possde son propre dossier masqu des fichiers en
conflit et supprims, qui se trouve sous le chemin daccs local du dossier rpliqu dans le
dossier DFSrPrivate\ConflictandDeleted.
La rplication DFS sauto-adapte et peut rcuprer automatiquement des dpassements de taille de

journal USN, dune perte du journal USN ou de la perte de la base de donnes de rplication DFS.
La rplication DFS utilise un fournisseur Windows Management Instrumentation (WMI) qui fournit des
interfaces pour obtenir des informations sur la configuration et lanalyse du service de rplication DFS.
Fonctionnement des espaces de noms DFS et de la rplication DFS

Bien que les espaces de noms DFS et la
rplication DFS soient des services de rle
distincts, vous pouvez les utiliser ensemble pour
fournir une haute disponibilit et une redondance
des donnes. Le processus suivant explique
comment les espaces de noms DFS et la
rplication DFS fonctionnent ensemble :
10-36
1.
Un utilisateur accde un dossier dans

lespace de noms virtuel. Lorsquil essaie
daccder un dossier dans un espace de
noms, lordinateur client contacte le serveur
qui hberge la racine despace de noms. Le
serveur hte peut tre un serveur autonome qui hberge un espace de noms autonome, ou une
configuration base sur un domaine stocke dans les services de domaine Active Directory (AD DS).
Il est ensuite rpliqu diffrents emplacements pour fournir une haute disponibilit. Le serveur
despace de noms renvoie lordinateur client une rfrence qui contient une liste de serveurs qui
hbergent les dossiers partags (appels cibles de dossier) associs au dossier auquel il accde. DFS
est une technologie oriente site, par consquent les ordinateurs clients peuvent tre configurs pour
accder dabord aux espaces de noms se trouvant dans leur site afin de garantir un accs le plus
fiable possible.
2.
Lordinateur client accde au premier serveur dans la rfrence. Lordinateur client met en cache
les informations de rfrence puis contacte le premier serveur dans la rfrence. Cette rfrence
correspond en gnral un serveur dans le propre site du client, moins que ce dernier ne comporte
aucun serveur. Dans ce cas, ladministrateur peut configurer la priorit cible.
Dans lexemple de la diapositive, le dossier Marketing publi dans lespace de noms contient deux cibles
de dossier. Un partage se trouve sur un serveur de fichiers New York, et lautre partage sur un serveur
de fichiers Londres. La synchronisation des dossiers partags est assure par la rplication DFS. Bien que
plusieurs serveurs hbergent les dossiers source, ceci est transparent pour les utilisateurs, qui accdent
seulement un dossier unique dans lespace de noms. Si lun des dossiers cibles devient indisponible,
les utilisateurs seront redirigs vers les cibles restantes dans lespace de noms.
Quest-ce que la dduplication des donnes ?

Dans Windows Server 2012, vous pouvez activer la
dduplication des donnes pour des volumes nonsystme. La dduplication des donnes optimise le
stockage de volume en recherchant des donnes
redondantes sur un volume et en vrifiant que les
donnes ne sont enregistres quune seule fois sur
le volume. Pour ce faire, les donnes sont stockes
un emplacement unique et une rfrence est
attribue cet emplacement pour les autres
copies redondantes des donnes. Les donnes
sont segmentes en blocs de 32 218 Ko. La
dduplication des donnes permet donc
doptimiser non seulement les fichiers redondants, mais galement les parties de fichiers qui sont
redondantes sur le volume.
10-37
La dduplication des donnes peut tre implmente en mme temps que la rplication DFS pour fournir
une infrastructure de stockage et de rplication encore plus efficace.
Fonctionnement de la dduplication des donnes
Lorsque la dduplication des donnes est active pour un volume, Windows 2012 optimise les volumes en
tenant jour les composants suivants :
Fichiers non optimiss. Il sagit des fichiers qui ne rpondent pas aux critres danciennet pour la
dduplication des donnes. Pour tre optimiss par la dduplication des donnes, les fichiers doivent
rester statiques pendant un certain temps. Les fichiers non optimiss peuvent inclure les fichiers dtat
du systme, les fichiers chiffrs, les fichiers dune taille infrieure 32 Ko, les fichiers avec des attributs
tendus ou les fichiers utiliss par dautres applications.
Fichiers optimiss. Ils sont enregistrs en tant que points danalyse. Un point danalyse contient un
pointeur vers les emplacements des donnes de bloc dans le magasin de blocs ; les blocs respectifs
peuvent donc tre rcuprs en cas de besoin.
Magasin de blocs. Les donnes des fichiers optimiss sont situes dans le magasin de blocs.
Avantages de la dduplication des donnes
La dduplication des donnes peut vous aider faire face la croissance du stockage dans les domaines
suivants :
Optimisation des capacits. La dduplication des donnes permet un serveur de stocker davantage
de donnes dans un espace disque physique rduit.
volutivit et performances. Le dduplication des donnes est trs volutive dans

Windows Server 2012. Elle peut fonctionner sur plusieurs volumes sans affecter dautres services et
applications sexcutant sur le serveur. Il est galement possible de la limiter afin de grer dautres
charges de travail lourdes sur le serveur, de sorte quaucune dgradation des performances ne se
produise pour les tches serveur importantes.
10-38
Intgrit des donnes de fiabilit. Windows Server 2012 utilise une somme de contrle. Cohrence et
validation pour garantir lintgrit des donnes affectes par la dduplication. La dduplication de
donnes gre galement les copies redondantes des donnes utilises le plus souvent sur un volume
pour offrir une protection contre la corruption des donnes.
Efficacit de la bande passante. Associe la rplication DFS ou une autre technologie de

rplication de fichier telle que BranchCache, la dduplication des donnes peut rduire
considrablement la bande passante consomme lors de la rplication des donnes de fichier,
condition que les partenaires de rplication excutent galement Windows Server 2012.
Gestion simple de loptimisation. Windows Server 2012 et Windows PowerShell 3.0 offrent une prise
en charge intgr de la dduplication des donnes. Limplmentation et la gestion dans Windows
Server 2012 sont effectues avec des outils familiers.
Implmentation de la dduplication des donnes

Utilisez le processus suivant pour implmenter la dduplication des donnes sur un serveur :
1.
Installez le service Dduplication des donnes du rle Services de fichiers.

Pour ce faire, utilisez lAssistant Ajout de rles et de fonctionnalits dans le Gestionnaire de serveur,
ou excutez les applets de commande Windows PowerShell suivantes :
Import-Module ServerManager
Add-WindowsFeature -name FS-Data-Deduplication
Import-Module Deduplication
2.
Activez la dduplication des donnes sur un ou plusieurs volumes.

Dans le Gestionnaire de serveur, vous pouvez cliquer avec le bouton droit sur un volume et
slectionner Configurer la dduplication des donnes, ce qui ouvre la page Paramtres de
dduplication des donnes.
Vous pouvez galement utiliser lapplet de commande Windows PowerShell suivante pour activer la
dduplication des donnes (dans le cas prsent, pour le volume E:) :
Enable-DedupVolume E:
3.
ventuellement, configurez des travaux de dduplication des donnes pour un volume.
Par dfaut, des travaux intgrs sont crs et planifis lorsque vous activez la dduplication des
donnes pour un volume. Si ncessaire, vous pouvez configurer manuellement ces travaux ou en
crer dautres afin de grer de manire plus approfondie le fonctionnement de la dduplication des
donnes.
Documentation supplmentaire : Vue densemble de la dduplication des donnes
http://go.microsoft.com/fwlink/?linkID=270996
Scnarios mettant en jeu DFS

Plusieurs scnarios cls peuvent bnficier des
services Espace de noms DFS et Rplication DFS.
Ces scnarios incluent :
le partage de fichiers entre succursales ;
la collecte de donnes ;
la distribution de donnes.
Partage de fichiers entre succursales
10-39
Les grandes organisations qui ont de nombreuses

succursales doivent souvent partager des fichiers
ou collaborer entre ces diffrents sites. La
rplication DFS peut aider rpliquer des fichiers entre des succursales, ou dune succursale vers un site
concentrateur. Avoir des fichiers dans plusieurs succursales arrange galement les utilisateurs qui se
dplacent dune succursale une autre. Les modifications que les utilisateurs apportent leurs fichiers
dans une succursale sont rpliques leur succursale.
Remarque : Ce scnario est recommand uniquement si les utilisateurs peuvent tolrer
des incohrences de fichier lorsque les modifications sont rpliques sur lensemble des serveurs
de succursale. Notez galement que la rplication DFS rplique un fichier uniquement aprs sa
fermeture. Par consquent, elle nest pas recommande pour rpliquer des fichiers de base de
donnes ou tout fichier maintenu ouvert pendant de longues priodes.
Collecte de donnes
Les technologies DFS peuvent collecter des fichiers dune succursale et les rpliquer sur un site
concentrateur, ce qui permet une utilisation des fichiers diffrentes fins. Des donnes essentielles
peuvent tre rpliques sur un site concentrateur laide de la rplication DFS, puis sauvegardes
sur le site concentrateur laide de procdures de sauvegarde standard. Cela augmente la facult de
rcupration des donnes de la succursale en cas dchec dun serveur, car les fichiers seront disponibles
depuis deux emplacements spars et sauvegards. De plus, les socits rduisent les cots relatifs leurs
succursales, le matriel de sauvegarde et le savoir-faire du personnel informatique ntant plus ncessaires
sur site. Les donnes rpliques peuvent galement tre utilises pour que des partages de fichiers de
succursale tolrent les pannes. Si le serveur de la succursale choue, les clients dans la succursale peuvent
accder aux donnes rpliques sur le site concentrateur.
Distribution de donnes
Vous pouvez utiliser les espaces de noms DFS et la rplication DFS pour publier et rpliquer des
documents, des logiciels et dautres donnes mtier travers votre organisation. Les espaces
de noms DFS et les cibles de dossier peuvent accrotre la disponibilit des donnes et rpartir
la charge du client entre plusieurs serveurs de fichiers.
Dmonstration : Procdure dinstallation du rle DFS

La dmonstration suivante montre comment installer le rle DFS.
Installer le rle DFS
Sous le rle Service de fichiers et de stockage (Install), installez les rles de service Espaces
de noms DFS et Rplication DFS.
10-40
Leon 5
Configuration des espaces de noms DFS
10-41
La configuration dun espace de noms DFS est constitue de plusieurs tches comprenant la cration de la
structure despace de noms, la cration de dossiers dans lespace de noms et lajout de cibles de dossier.
Vous pouvez aussi choisir deffectuer des tches de gestion supplmentaires, telles que la configuration
de lordre des rfrences, la restauration du client et limplmentation de la rplication DFS. Cette leon
fournit des informations sur la manire deffectuer ces tches de configuration et de gestion pour
dployer une solution DFS efficace.
dcrire le processus de dploiement despaces de noms pour publier du contenu ;
dcrire les autorisations requises pour crer et grer un espace de noms ;
expliquer comment crer et configurer des espaces de noms et des cibles de dossier DFS ;
dcrire les options doptimisation dun espace de noms.
Dploiement despaces de noms pour publier du contenu

La plupart des implmentations DFS sont
principalement constitues de contenu publi
dans lespace de noms DFS. Pour configurer un
espace de noms pour publier du contenu pour
les utilisateurs, procdez comme suit :
1.
Crer un espace de noms.
Utilisez lAssistant Nouvel espace de noms

pour crer lespace de noms partir de la
console Gestion DFS. Lorsquun nouvel espace
de noms est cr, vous devez fournir le nom
du serveur utiliser comme serveur despace
de noms, ainsi que le nom de lespace de
noms et son type (bas sur un domaine ou autonome). Vous pouvez galement spcifier si lespace
de noms est activ pour le mode Windows Server 2008.
2.
Crer un dossier dans lespace de noms.
Aprs avoir cr lespace de noms, ajoutez-y un dossier pour y placer le contenu que vous souhaitez
publier. Au cours de la cration de dossier, vous pouvez ajouter des cibles de dossier ou effectuer une
autre tche pour ajouter, modifier ou supprimer des cibles de dossier ultrieurement.
3.
Ajouter des cibles de dossier.
10-42
Une fois que vous avez cr un dossier dans lespace de noms, la tche suivante consiste crer des cibles
de dossier. La cible de dossier est un chemin daccs UNC dun dossier partag sur un serveur spcifique.
Vous pouvez rechercher des dossiers partags sur des serveurs distants et crer des dossiers partags si
ncessaire. Vous pouvez galement ajouter plusieurs cibles de dossier pour augmenter la disponibilit
du dossier dans lespace de noms. Si vous ajoutez plusieurs cibles de dossier, pensez utiliser la
rplication DFS pour vous assurer que le contenu est identique entre les cibles.
4.
Dfinir la mthode de classement des cibles dans les rfrences.
Une rfrence est une liste trie de cibles reues par un ordinateur client partir du serveur despace
de noms, lorsquun utilisateur accde une racine despace de noms ou un dossier. Lorsquun client
reoit la rfrence, il essaie daccder la premire cible dans la liste. Si la cible nest pas disponible,
la cible suivante est tente. Par dfaut, les cibles dans le site du client sont toujours rpertories en
premier dans la rfrence. Vous pouvez configurer la mthode pour trier des cibles en dehors du site
du client, sous longlet Rfrences de la bote de dialogue Proprits de espace de noms. Vous
avez le choix entre configurer le cot le plus bas, effectuer un tri de manire alatoire ou configurer
la mthode de tri de manire exclure les cibles en dehors du site du client.
Remarque : Les dossiers hritent des paramtres de rfrence partir de la racine despace
de noms. Vous pouvez remplacer les paramtres despace de noms sous longlet Rfrences de
la bote de dialogue Proprits du dossier, en excluant des cibles en dehors du site du client.
Tches de gestion facultatives

Il existe plusieurs tches de gestion facultatives que vous pouvez prendre en considration :
Dfinir une priorit cible pour remplacer le tri des rfrences. Vous pouvez disposer dune cible de
dossier spcifique que vous souhaitez que tout le monde utilise depuis tous les emplacements de site,
ou dfinir une cible de dossier spcifique qui doit tre utilise en dernier parmi toutes les cibles. Vous
pouvez configurer ces scnarios en remplaant lordre des rfrences sous longlet Avanc de la bote
de dialogue Proprits de cible de dossier.
Activer la restauration automatique du client. Si un client ne peut pas accder une cible
rfrence, la cible suivante est slectionne. La restauration vrifie que les clients sont restaurs
automatiquement la cible dorigine une fois quelle a t restaure. Vous pouvez configurer la
restauration automatique du client sous longlet Rfrences de la bote de dialogue Proprits de
espace de noms, en activant la case cocher Restauration automatique des clients sur les cibles
prfres. Tous les dossiers et cibles de dossier hritent de cette option. Cependant, vous pouvez
galement remplacer un dossier spcifique pour activer ou dsactiver les fonctions de restauration
automatique du client, si ncessaire.
Rpliquer des cibles de dossier laide de la rplication DFS. Vous pouvez utiliser la rplication DFS
pour assurer la synchronisation du contenu de cibles de dossier. La prochaine rubrique prsente
la rplication DFS en dtail.
Autorisations requises pour crer et grer un espace de noms

Pour effectuer des tches de gestion despace de
noms DFS, un utilisateur doit tre membre dun
groupe dadministration ou recevoir une
autorisation spcifique. Pour dlguer les
autorisations requises, cliquez avec le bouton droit
sur lespace de noms, puis cliquez sur Dlguer
les autorisations de gestion.
Le tableau suivant dcrit les groupes qui peuvent
excuter ladministration de DFS par dfaut, ainsi
que la mthode pour dlguer la capacit
deffectuer des tches de gestion DFS.
Tche
Groupes qui peuvent effectuer

la tche par dfaut
Mthode de dlgation
10-43
Crer un espace de noms

bas sur un domaine
Admins du domaine
Cliquez sur Dlguer les

autorisations de gestion.
Ajouter un serveur
despace de noms un
espace de noms bas sur
un domaine
Admins du domaine
Ajoutez des utilisateurs au groupe

dadministrateurs locaux sur le
serveur despace de noms.
Grer un espace de noms

bas sur un domaine
Administrateurs locaux sur chaque

serveur despace de noms


autonome


Grer un espace de noms

autonome


Crer un groupe de
rplication ou activer la
rplication DFS sur un
dossier
Admins du domaine

Dmonstration : Procdure de cration des espaces de noms

crer un espace de noms ;
crer un dossier et une cible de dossier.
1.
Ouvrez la console Gestion du systme de fichiers distribus DFS.
2.
Sur LON-SVR1, crez un espace de noms bas sur un domaine nomm Research.
Crer un dossier et une cible de dossier

1.
Crez un dossier nomm Proposals dans lespace de noms \\Adatum.com\Research.
2.
Crez une cible de dossier pour Proposals qui pointe vers \\LON-SVR1\Proposal_docs.
3.
Vrifiez la fonctionnalit de lespace de noms en accdant \\Adatum.com\Research et en vous

assurant que le dossier Proposals saffiche.
Optimisation dun espace de noms

Les espaces de noms possdent plusieurs options
de configuration grce auxquelles vous pouvez
optimiser leur facilit dutilisation et leurs
performances.
Renommer ou dplacer un dossier

Vous pouvez renommer ou dplacer un dossier
dans un espace de noms. Cela vous permet de
rorganiser la hirarchie de dossiers pour
rpondre du mieux possible aux besoins des
utilisateurs de votre organisation. Par exemple,
lors dune rorganisation de votre socit, vous
pouvez rorganiser lespace de noms pour quil
corresponde la nouvelle structure.
Dsactiver des rfrences un dossier
10-44
Une rfrence est une liste de cibles quun ordinateur client reoit dun contrleur de domaine ou dun
serveur despace de noms lorsque lutilisateur accde une racine ou un dossier avec des cibles despace
de noms. En dsactivant la rfrence dune cible de dossier, vous empchez des ordinateurs clients
daccder cette cible de dossier dans lespace de noms. Cela se rvle utile lorsque vous dplacez des
donnes entre serveurs.
Spcifier la dure du cache de rfrence
Les clients ne contactent pas un serveur despace de noms pour obtenir une rfrence chaque fois quils
accdent un dossier dans un espace de noms ; au lieu de cela, des rfrences de racine de lespace de
noms sont mises en cache. Les clients qui utilisent une rfrence mise en cache renouvellent la valeur
de dure du cache de la rfrence chaque accs un fichier ou un dossier laide de cette rfrence.
Cela signifie que les clients utilisent la rfrence indfiniment, jusqu ce que le cache de la rfrence
soit effac ou que le client soit redmarr. Vous pouvez personnaliser la dure du cache de rfrence.
La valeur par dfaut est de 300 secondes (5 minutes).
Configurer linterrogation despace de noms
10-45
Pour maintenir la cohrence dun espace de noms bas sur un domaine entre les serveurs despace de
noms, ceux-ci doivent interroger priodiquement AD DS pour obtenir les donnes despace de noms les
plus rcentes. Les deux modes dinterrogation despace de noms sont les suivants :
Optimiser pour la cohrence. Les serveurs despace de noms interrogent lmulateur de contrleur de
domaine principal (PDC) chaque fois quune modification de lespace de noms se produit. Il sagit de
la valeur par dfaut.
Optimiser pour lvolutivit. Chaque serveur despace de noms interroge son contrleur de domaine le
plus proche intervalles priodiques.
Leon 6
Configuration et rsolution des problmes

de la rplication DFS
10-46
Pour configurer la rplication DFS efficacement, il est important de comprendre la terminologie et

les spcifications associes la fonctionnalit. Cette leon fournit des informations sur les lments
spcifiques, la configuration requise et les lments dvolutivit prendre en considration lorsquils sont
lis la rplication DFS. Elle fournit galement un processus pour configurer une topologie de rplication
efficace.
dcrire les groupes de rplication et les dossiers rpliqus ;
dcrire le processus de rplication initiale ;
expliquer comment configurer les services Espace de noms DFS et Rplication DFS ;
dcrire les options de rsolution des problmes lis DFS ;
Groupes de rplication et dossiers rpliqus

Un groupe de rplication se compose dun jeu de
serveurs membres qui participe la rplication
dun ou de plusieurs dossiers rpliqus. Il existe
essentiellement deux types principaux de groupes
de rplication :
Groupe de rplication multi-usage.

Ce groupe de rplication permet de
configurer la rplication entre deux serveurs
ou plus pour la publication, le partage de
contenu ou dautres scnarios.
Groupe de rplication pour la collecte de

donnes. Ce groupe de rplication configure
une rplication bidirectionnelle entre deux serveurs, tels quun serveur de succursale et un serveur
concentrateur. Ce type de groupe est utilis pour collecter des donnes depuis le serveur de
succursale vers le serveur concentrateur. Vous pouvez utiliser ensuite le logiciel de sauvegarde
standard pour sauvegarder les donnes du serveur concentrateur.
Un dossier rpliqu est synchronis entre chaque serveur membre. La cration de plusieurs dossiers
rpliqus dans un groupe de rplication unique aide simplifier les lments suivants pour la totalit
du groupe :
Type de groupe de rplication
Topologie
Configuration hub and spoke
Planification de la rplication
Limitation de bande passante
10-47
Les dossiers rpliqus stocks sur chaque membre peuvent se trouver sur diffrents volumes dans le
membre. Les dossiers rpliqus nont pas besoin dtre des dossiers partags ni de faire partie dun espace
de noms, bien que le composant logiciel enfichable Gestion du systme de fichiers distribus DFS facilite
le partage des dossiers rpliqus et les publie ventuellement dans un espace de noms existant.
Topologies de rplication
Lorsque vous configurez un groupe de rplication, vous devez dfinir sa topologie. Vous pouvez choisir
entre les lments suivants :
Hub and Spoke. Pour slectionner cette option, vous avez besoin dau moins trois serveurs membres
dans le groupe de rplication. Cette topologie fonctionne bien dans des scnarios de publication o
les donnes proviennent du concentrateur et sont rpliques sur les membres spoke.
Maille pleine. Si dix membres ou moins font partie du groupe de rplication, cette topologie
fonctionne bien, chaque membre effectuant une rplication vers les autres, en fonction des besoins.
Aucune topologie. Choisissez cette option si vous souhaitez configurer manuellement une topologie
personnalise aprs avoir cr le groupe de rplication.
Processus de rplication initiale

Lorsque vous configurez la rplication pour la
premire fois, vous choisissez un membre principal
qui dispose des fichiers les plus jour rpliquer.
Ce serveur est considr comme faisant autorit
pour toute rsolution de conflit qui se produit
lorsque les membres de rception possdent des
fichiers qui sont plus anciens ou plus rcents par
rapport aux mmes fichiers sur le membre
principal.
Prenez en considration les concepts suivants au sujet du processus de rplication initiale :
10-48
La rplication initiale ne commence pas immdiatement. Les paramtres de topologie et de

rplication DFS doivent tre rpliqus tous les contrleurs de domaine, et chaque membre du
groupe de rplication doit interroger son contrleur de domaine le plus proche pour obtenir
ces paramtres. La latence de rplication Active Directory et le long intervalle dinterrogation
(60 minutes) sur chaque membre dterminent la dure ncessaire.
La rplication initiale se produit toujours entre le membre principal et ses partenaires de rplication
de rception. Aprs avoir reu tous les fichiers du membre principal, un membre rplique des fichiers
sur ses partenaires de rception. Ainsi, la rplication dun nouveau dossier rpliqu dmarre depuis le
membre principal puis progresse pour stendre aux autres membres du groupe de rplication.
Lors de la rception de fichiers du membre principal pendant la rplication initiale, les membres
de rception qui contiennent des fichiers qui ne figurent pas sur le membre principal dplacent ces
fichiers vers leur dossier DFSrPrivate\PreExisting respectif. Si un fichier est physiquement identique
un fichier sur le membre principal, ce fichier nest pas rpliqu. Si la version dun fichier sur le membre
de rception est diffrente de la version du membre principal, la version du membre de rception est
dplace vers le dossier des fichiers en conflit et supprims, et la compression diffrentielle distance
(RDC) peut tre utilise pour tlcharger uniquement les blocs modifis.
Pour dterminer si des fichiers sont identiques sur le membre principal et le membre de rception,
la rplication DFS compare les fichiers laide dun algorithme de hachage. Si les fichiers sont
identiques, seules les mtadonnes minimales sont transfres.
Aprs linitialisation du dossier rpliqu, la dsignation de membre principal est supprime.

(Linitialisation a lieu une fois que tous les fichiers qui existent avant la configuration de la
rplication DFS sont ajouts la base de donnes de rplication DFS). Ce membre est ensuite trait
comme tout autre membre et ses fichiers ne sont plus considrs comme faisant autorit sur dautres
membres qui ont effectu la rplication initiale. Tout membre qui a effectu la rplication initiale est
considr comme faisant autorit sur les membres qui nont pas effectu la rplication initiale.
Dmonstration : Procdure de configuration de la rplication DFS

crer une cible de dossier pour la rplication ;
crer un groupe de rplication.
Crer une cible de dossier pour la rplication
Sur LON-SVR1, crez une cible de dossier pour \\LON-SVR4\Proposal_docs.
Crer un groupe de rplication

1.
Ajoutez le dossier au groupe de rplication pour LON-SVR1 et LON-SVR4.
2.
Dclarez LON-SVR1 en tant que membre principal et crez une rplication de maille pleine.
Rsolution des problmes lis DFS

Windows Server 2012 fournit plusieurs outils
permettant de surveiller et rsoudre les problmes
de rplication DFS. Ces outils sont les suivants :
Rapports de diagnostic. Utilisez cet outil

pour excuter un rapport de diagnostic pour
ce qui suit :
10-49
Rapport dintgrit. Affiche des

statistiques et des rapports complets sur
lintgrit et lefficacit de la rplication.
Test de propagation. Gnre un fichier de

test dans un dossier rpliqu pour vrifier
la rplication et fournir des statistiques sur le rapport de propagation.
Rapport de propagation. Fournit des informations sur la progression pour le fichier de test qui est
gnr pendant un test de propagation. Ce rapport permet de sassurer que la rplication est
fonctionnelle.
Vrifier la topologie. Utilisez cet outil pour vrifier le statut de la topologie du groupe de rplication et
gnrer un rapport correspondant. Ce rapport enregistre tous les membres qui sont dconnects.
Dfsrdiag.exe. Utilisez cet outil de ligne de commande pour surveiller ltat de rplication du service de
rplication DFS.
Rsolution des problmes lis DFS

Les problmes lis DFS tombent en gnral dans une des catgories suivantes :
Impossibilit daccder lespace de noms DFS. Assurez-vous que le service Ouverture de session
rseau et le service DFS sont en cours dexcution sur tous les serveurs qui hbergent lespace de
noms.
Impossibilit de trouver les dossiers partags. Si les clients ne peuvent pas se connecter un dossier
partag, utilisez les techniques de rsolution des problmes standard pour vrifier que le dossier est
accessible et que les clients disposent dautorisations. Noubliez pas que les clients se connectent au
dossier partag directement.
Impossibilit daccder aux liens et aux dossiers partags DFS. Vrifiez que le dossier sous-jacent est
accessible et que le client a des autorisations dessus. Si un rplica existe, dterminez si le problme est
li la latence de la rplication (reportez-vous lentre de cette liste concernant la latence de la
rplication).
Problme li la scurit. Noubliez pas que le client accde au dossier partag directement. Par
consquent, vous devez vrifier le dossier partag et les autorisations de liste de contrle daccs sur
le dossier.
Latence de la rplication. Gardez lesprit que la topologie de rplication DFS est enregistre dans les
services AD DS du domaine. Par consquent, une latence est ncessaire avant quune modification
apporte lespace de noms DFS soit rplique sur tous les contrleurs de domaine.

Scnario
10-50
A. Datum Corporation a dploy une nouvelle succursale. Ce bureau a un serveur unique. Pour prendre
en charge les exigences lies au personnel de la succursale, vous devez configurer DFS. Pour viter davoir
effectuer des sauvegardes distance, un partage de fichiers par service dans la succursale sera rpliqu
au sige social afin de centraliser la sauvegarde, et les fichiers de donnes de la succursale seront
rpliqus sur le serveur de la succursale afin de fournir un accs plus rapide.
Objectifs
installer le service de rle DFS ;
configurer un espace de noms DFS ;
configurer la rplication DFS.

22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-SVR4
Nom dutilisateur
Administrateur
Mot de passe
Pa$$w0rd

11-1
Module 11
Configuration du chiffrement et de laudit avanc
Table des matires :
11-1
Leon 1 : Chiffrement des fichiers laide du systme EFS

11-2
Leon 2 : Configuration de laudit avanc
11-6
Atelier pratique : Configuration du chiffrement et de laudit avanc
11-14
11-18
En tant quadministrateur du systme dexploitation Windows Server 2012, vous devez assurer la scurit
continue des fichiers et des dossiers sur vos serveurs. Vous pouvez chiffrer des fichiers sensibles laide
des outils Windows Server 2012 natifs. Cependant, vous devez prendre en compte certains lments et
certaines mthodes dimplmentation afin de fournir un environnement fiable.
En utilisant Windows Server 2012, vous pouvez comprendre comment les fichiers et les dossiers sont
utiliss sur vos ordinateurs Windows Server 2012. Vous pouvez galement auditer laccs aux fichiers et
dossiers. Laudit de laccs aux fichiers et dossiers vous donne un aperu de lutilisation gnrale, ainsi que
des informations plus critiques, telles que les tentatives dutilisation non autorises.
Ce module dcrit les outils de Windows Server 2012 qui peuvent vous aider fournir une scurit de
systme de fichiers accrue sur vos serveurs.
Objectifs
chiffrer des fichiers laide du systme EFS ;
configurer laudit avanc.
Leon 1
Chiffrement des fichiers laide du systme EFS

Le systme EFS est un composant intgr du systme de fichiers NTFS qui permet le chiffrement
et le dchiffrement du contenu des fichiers et des dossiers sur un volume NFTS. Il est important de
comprendre le fonctionnement du systme EFS avant de limplmenter dans votre environnement.
Vous devez galement savoir comment rcuprer les fichiers chiffrs, et rsoudre les problmes quand
le chiffrement EFS ne fonctionne pas correctement.
dcrire EFS ;
expliquer le fonctionnement du systme EFS ;
expliquer comment rcuprer des fichiers chiffrs au format EFS ;
expliquer comment chiffrer un fichier laide du systme EFS.
Quest-ce que EFS ?

Le systme EFS est une fonctionnalit qui peut
chiffrer des fichiers stocks sur une partition au
format NTFS. Par dfaut, cette option est
accessible tous les utilisateurs. Vous pouvez
galement utiliser le systme EFS pour chiffrer
des fichiers sur un partage de fichiers.
Une fois quun fichier est chiffr laide du
systme EFS, seuls les utilisateurs autoriss
peuvent y accder. Si un utilisateur est autoris,
laccs au fichier est transparent et il peut tre
ouvert comme un fichier non chiffr. Si un
utilisateur nest pas autoris, les tentatives
douverture du fichier gnreront un message daccs refus.
Le chiffrement EFS agit comme une couche de scurit supplmentaire, en plus des autorisations NTFS.
Si des utilisateurs reoivent une autorisation NTFS pour lire un fichier, ils doivent quand mme tre
autoriss par le systme EFS pour dchiffrer le fichier.
11-2 Configuration du chiffrement et de laudit avanc
11-3
La configuration par dfaut du systme EFS ne requiert aucune tche dadministration. Les utilisateurs
peuvent commencer chiffrer immdiatement les fichiers, et le systme EFS gnre automatiquement un
certificat utilisateur avec une paire de cls pour un utilisateur si elle nexiste pas. Lutilisation dune
autorit de certification (CA) pour mettre des certificats utilisateur amliore la facilit de gestion des
certificats.
Vous pouvez dsactiver le systme EFS sur les ordinateurs clients laide de la stratgie de groupe. Dans
les proprits de la stratgie, naviguez jusqu Configuration ordinateur\Stratgies\Paramtres
Windows\Paramtres de scurit\Stratgies de cl publique\Systme de fichiers EFS (Encrypting File
System), puis cliquez sur Ne pas autoriser.
Remarque : Si vous nutilisez pas des certificats manant dune autorit de certification et
souhaitez autoriser lutilisation du systme EFS sur un partage de fichiers, vous devez configurer
le compte du serveur de fichiers pour quil soit approuv pour la dlgation. Par dfaut, les
contrleurs de domaine sont approuvs pour la dlgation.
Fonctionnement de la virtualisation des postes de travail (EFS)

Le systme EFS utilise une combinaison de
chiffrements par cl publique et cl symtrique
pour protger les fichiers contre les attaques. Il
utilise une cl symtrique pour chiffrer le fichier, et
une cl publique pour protger la cl symtrique.
Le chiffrement par cl symtrique utilise la mme
cl pour chiffrer et dchiffrer un fichier. Ce type de
chiffrement est plus rapide et performant que le
chiffrement par cl publique. Comme il est difficile
de scuriser la cl symtrique pendant un transfert
entre rseaux, une scurit supplmentaire est
requise. Le chiffrement par cl symtrique est la
mthode standard pour chiffrer de grandes quantits de donnes.
Le systme EFS utilise le chiffrement par cl publique pour protger la cl symtrique qui est requise pour
dchiffrer le contenu des fichiers. Chaque certificat utilisateur contient une cl prive et une cl publique
qui est utilise pour chiffrer la cl symtrique. Seul lutilisateur disposant du certificat et de sa cl prive
peut dchiffrer la cl symtrique.
Le processus de chiffrement de fichiers se prsente comme suit :
1.
Quand un utilisateur chiffre un fichier, le systme EFS gnre une cl de chiffrement de fichier
(FEK, File Encryption Key) pour chiffrer les donnes. La cl FEK est chiffre avec la cl publique de
lutilisateur, puis la cl FEK chiffre est stocke avec le fichier. Ainsi, seul lutilisateur qui possde la cl
prive de chiffrement EFS correspondante peut dchiffrer le fichier. Une fois quun utilisateur a chiffr
un fichier, ce dernier demeure chiffr tant quil est stock sur le disque.
2.
Pour dchiffrer des fichiers, lutilisateur peut ouvrir le fichier et supprimer lattribut de chiffrement, ou
dchiffrer le fichier laide de la commande cipher. Dans ce cas, le systme EFS dchiffre la cl FEK
avec la cl prive de lutilisateur, puis dchiffre les donnes laide de la cl FEK.
Remarque : En plus de lutilisateur qui a chiffr le fichier, des copies supplmentaires de la

cl symtrique sont chiffres avec la cl publique de lagent de rcupration, et sont accessibles
aux autres utilisateurs autoriss.
Rcupration de fichiers chiffrs au format EFS

Si un utilisateur qui a chiffr un fichier laide du
systme EFS perd la cl prive pour une raison
quelconque, une mthode est ncessaire pour
rcuprer le fichier chiffr au format EFS. La cl
prive fait partie dun certificat utilisateur utilis
pour le chiffrement. La sauvegarde dun certificat
utilisateur est une mthode pour rcuprer des
fichiers chiffrs au format EFS. Le certificat
utilisateur sauvegard peut tre import dans
un autre profil et vous pouvez lutiliser pour
dchiffrer le fichier. Cependant, cette mthode est
difficile implmenter quand les utilisateurs sont
nombreux.
Une meilleure mthode pour rcuprer des fichiers chiffrs au format EFS consiste utiliser un agent de
rcupration. Un agent de rcupration est une personne autorise dchiffrer tous les fichiers chiffrs au
format EFS. Lagent de rcupration par dfaut est ladministrateur de domaine. Cependant, vous pouvez
dlguer le rle dagent de rcupration nimporte quel utilisateur.
Quand vous ajoutez un nouvel agent de rcupration laide de la stratgie de groupe, il est
automatiquement ajout tous les nouveaux fichiers chiffrs, mais il nest pas automatiquement ajout
aux fichiers chiffrs existants. Comme lagent de rcupration dun fichier est dfini au moment o le
fichier est chiffr, un fichier chiffr doit tre accessible et enregistr pour mettre jour lagent de
rcupration.
11-5
Pour sauvegarder le certificat dagent de rcupration, vous devez toujours exporter le certificat avec la
cl prive et le conserver dans un emplacement scuris. Deux raisons justifient la sauvegarde de la cl
prive pour lagent de rcupration (ou la cl de rcupration) :
Se protger contre une dfaillance du systme. La cl dadministrateur de domaine utilise par dfaut
pour la rcupration EFS nest stocke que sur le premier contrleur du domaine. Si ce contrleur de
domaine rencontre un problme, la rcupration EFS est impossible.
Pour rendre la cl de rcupration portable. La cl de rcupration nest pas automatiquement

accessible lagent de rcupration sur tous les ordinateurs. Elle doit tre installe dans le profil de
lagent de rcupration. Si les profils itinrants ne sont pas utiliss, lexportation et limportation de la
cl de rcupration est une mthode pour mettre jour le profil de lagent de rcupration sur un
ordinateur particulier.
Dmonstration : Chiffrement dun fichier laide du systme EFS

vrifier quun compte dordinateur prend en charge le systme EFS sur un partage rseau ;
utiliser le systme EFS pour chiffrer un fichier sur un partage rseau ;
afficher le certificat utilis pour le chiffrement ;
tester laccs un fichier chiffr.
Vrifier quun compte dordinateur prend en charge le systme EFS sur
un partage rseau
1.
Sur LON-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.
2.
Vrifiez que LON-DC1 est approuv pour la dlgation un service.
Utiliser le systme EFS pour chiffrer un fichier sur un partage rseau

1.
Connectez-vous LON-CL1 en tant quADATUM\Doug avec le mot de passe Pa$$w0rd.
2.
Naviguez jusqu \\LON-DC1\Mod11Share.
3.
Crez un document Microsoft Word nomm MonFichierChiffr.
4.
Ouvrez MonFichierChiffr, tapez Mes donnes secrtes, puis enregistrez le fichier.
5.
Chiffrez MonFichierChiffr.
6.
Fermez la session sur LON-CL1.
Afficher le certificat utilis pour le chiffrement
1.
Sur LON-DC1, naviguez jusqu C:\Utilisateurs\. Notez que Doug a un profil sur lordinateur. Il sagit
de lemplacement de stockage du certificat auto-sign. Il ne peut pas tre affich dans le composant
logiciel enfichable Certificats de la console MMC (Microsoft Management Console) moins que Doug
se connecte localement au serveur.
2.
Naviguez jusqu C:\Utilisateurs\Doug\AppData\Roaming\Microsoft\SystemCertificates\

My\Certificates. Il sagit du dossier de stockage du certificat auto-sign pour Doug.
Tester laccs un fichier chiffr

1.
Connectez-vous LON-CL1 en tant quADATUM\Alex.
2.
Tentez douvrir \\LON-DC1\Mod11Share\MonFichierChiffr avec Microsoft Word. La tentative

choue car le fichier est chiffr par Doug.
Leon 2
Configuration de laudit avanc
11-7
Les journaux daudit enregistrent diverses activits de votre entreprise dans le journal de scurit
Windows. Vous pouvez surveiller ces journaux daudit pour identifier les problmes qui ncessitent
un examen approfondi. Laudit peut galement enregistrer les activits russies, pour fournir une
documentation des modifications. Il peut galement enregistrer les tentatives infructueuses et
potentiellement malveillantes daccs aux ressources de lentreprise. Lors de la configuration de laudit,
vous devez spcifier les paramtres daudit, activer une stratgie daudit et surveiller les vnements des
journaux de scurit.
dcrire les stratgies daudit ;
expliquer comment spcifier les paramtres daudit pour un fichier ou un dossier ;
expliquer comment activer une stratgie daudit ;
expliquer comment valuer les vnements du journal de scurit ;
dcrire la configuration avance de la stratgie daudit ;
expliquer comment configurer laudit avanc.
Vue densemble des stratgies daudit

Une stratgie daudit configure un systme pour
auditer des catgories dactivits. Si la stratgie
daudit nest pas active, un serveur naudite pas
ces activits.
Vous pouvez afficher les stratgies daudit

dans Stratgie de groupe, sous Configuration
ordinateur. Dans Configuration ordinateur,
dveloppez Stratgies\Paramtres
Windows\Paramtres de scurit\Stratgies
locales, puis cliquez sur Stratgie daudit. Pour
configurer laudit, vous devez dfinir le paramtre
de stratgie. Dans lditeur de gestion des
stratgies de groupe, double-cliquez sur un paramtre de stratgie et activez la case cocher Dfinir
ces paramtres de stratgie. Choisissez ensuite si vous souhaitez activer laudit des vnements ayant
russi, des vnements ayant chou ou des deux.
Le tableau suivant dfinit chaque stratgie daudit et ses paramtres par dfaut sur un contrleur de
domaine Windows Server 2012.
Paramtre de
stratgie daudit
Description
Paramtre par dfaut
Auditer les
vnements de
connexion aux
comptes
Cre un vnement quand un utilisateur ou un

ordinateur tente de sauthentifier laide dun
compte Active Directory. Par exemple, quand un
utilisateur se connecte un ordinateur du domaine,
un vnement de connexion au compte est gnr.
Les connexions au
compte russies sont
audites.
Auditer les
vnements de
connexion
Cre un vnement quand un utilisateur se

connecte en mode interactif (localement) un
ordinateur ou au rseau ( distance). Par exemple, si
une station de travail et un serveur sont configurs
pour auditer les vnements de connexion, la
station de travail audite un utilisateur qui se
connecte directement cette station de travail.
Quand lutilisateur se connecte un dossier partag
sur le serveur, le serveur enregistre cette connexion
distante. Quand un utilisateur se connecte, le
contrleur de domaine enregistre un vnement de
connexion car les scripts et les stratgies de
connexion sont rcuprs partir du contrleur de
domaine.
Les connexions russies

sont audites.
Auditer la gestion
des comptes
Audite les vnements, y compris la cration, la

suppression ou la modification de comptes
dutilisateur, de groupe ou dordinateur, et la
rinitialisation des mots de passe utilisateur.
Les activits de gestion

de compte russies sont
audites.
Auditer laccs au
service dannuaire
Audite les vnements spcifis dans la liste de

contrle daccs systme (SACL, System Access
Control List), qui saffiche dans la bote de dialogue
Paramtres de scurit avancs des proprits dun
objet Active Directory. Outre la dfinition de la
stratgie daudit laide de ce paramtre, vous
devez galement configurer laudit du ou des objets
spcifiques laide de la liste SACL du ou des objets.
Cette stratgie est similaire la stratgie Auditer
laccs aux objets que vous utilisez pour auditer des
fichiers et dossiers, mais elle sapplique aux objets
Active Directory.
Les vnements daccs

au service dannuaire
russis sont audits, mais
les listes SACL de
quelques objets
spcifient les paramtres
daudit.
Auditer les
modifications de
stratgie
Audite les modifications apportes aux stratgies

dattribution des droits utilisateur, aux stratgies
daudit ou aux stratgies dapprobation.
Les modifications de
stratgie russies sont
audites.
Auditer lutilisation
des privilges
Audite lutilisation dun privilge ou dun droit

utilisateur. Consultez le texte explicatif de cette
stratgie dans lditeur de gestion des stratgies de
groupe.
Aucun audit nest

effectu par dfaut.
(suite)
Paramtre de
stratgie daudit
Description
11-9
Paramtre par dfaut
Auditer les
vnements
systme
Audite le redmarrage ou larrt du systme, ou les

modifications qui affectent les journaux systme ou
de scurit.
Les vnements systme

russis sont audits.
Auditer le suivi des

processus
Audite les vnements tels que lactivation de

programmes et la sortie de processus. Consultez le
texte explicatif de cette stratgie dans lditeur de
gestion des stratgies de groupe.
Aucun vnement nest

audit.
Auditer laccs aux

objets
Audite laccs aux objets tels que les fichiers, les

dossiers, les cls de Registre et les imprimantes qui
ont leurs propres listes SACL. Outre lactivation de
cette stratgie daudit, vous devez configurer les
entres daudit dans les listes SACL des objets.
Aucun vnement nest

audit.
Notez que la plupart des principaux vnements Active Directory sont dj audits par les contrleurs de
domaine, dans lhypothse o les vnements sont russis. Par consquent, la cration dun utilisateur, la
rinitialisation du mot de passe dun utilisateur, la connexion au domaine et la rcupration des scripts de
connexion dun utilisateur sont toutes enregistres.
Cependant, tous les vnements ayant chou ne sont pas audits par dfaut. Vous devrez peut-tre
implmenter un audit supplmentaire des checs en fonction des stratgies et des exigences en matire
de scurit informatique de votre organisation. Par exemple, si vous auditez les checs de connexion aux
comptes, vous pouvez exposer les tentatives malveillantes daccs au domaine en essayant de faon
rpte de vous connecter en tant que compte dutilisateur du domaine sans connatre le mot de passe
du compte. Laudit des checs de gestion des comptes peut rvler un utilisateur malveillant qui tente de
manipuler lappartenance dun groupe sensible sur le plan de la scurit.
Lune des tches les plus importantes que vous devez effectuer consiste quilibrer et aligner la
stratgie daudit sur les stratgies de votre entreprise, et sur ce qui est raliste. La stratgie de votre
entreprise peut stipuler que tous les checs de connexion et toutes les modifications russies des
utilisateurs et groupes Active Directory doivent tre audits. Pour ce faire, il suffit dutiliser les Services
de domaine Active Directory (AD DS). Mais comment, exactement, allez-vous utiliser ces informations ?
Les journaux daudit dtaills sont inutiles si vous ne savez pas comment grer efficacement ces journaux,
ou ne disposez pas des outils ncessaires pour les grer. Pour implmenter laudit, vous devez avoir une
stratgie daudit bien configure et disposer doutils permettant de grer les vnements audits.
Spcification des paramtres daudit pour un fichier ou un dossier

De nombreuses organisations choisissent dauditer
laccs au systme de fichiers pour fournir des
dtails concernant lutilisation des ressources et les
problmes de scurit potentiels. Windows
Server 2012 prend en charge laudit granulaire
bas sur les comptes dutilisateurs ou de groupes
et les actions spcifiques excutes par ces
comptes. Pour configurer laudit, vous devez
effectuer trois tapes : spcifier les paramtres
daudit, activer la stratgie daudit et valuer les
vnements du journal de scurit.
Vous pouvez auditer laccs un fichier ou un
dossier en ajoutant des entres daudit sa liste SACL. Pour cela, procdez comme suit :
1.
Ouvrez la bote de dialogue Proprits du fichier ou du dossier, puis cliquez sur longlet Scurit.
2.
Sous longlet Scurit, cliquez sur Avanc.
3.
Cliquez sur Audit.
4.
Pour ajouter une entre, cliquez sur Modifier. Longlet Audit souvre en mode dition.
5.
Cliquez sur Ajouter pour slectionner lutilisateur, le groupe ou lordinateur auditer.
6.
Dans la bote de dialogue Entre daudit, indiquez le type daccs auditer.
lments prendre en compte pour configurer laudit de fichiers et de dossiers

Vous pouvez auditer les succs, les checs ou les deux lorsque lutilisateur, le groupe ou lordinateur
spcifi tente daccder la ressource en utilisant un ou plusieurs niveaux daccs granulaires.
Vous pouvez auditer les succs aux fins suivantes :
11-10
pour enregistrer laccs aux ressources pour la cration de rapports et la facturation ;
pour surveiller les accs qui suggreraient que les utilisateurs excutent des actions plus importantes
que ce que vous aviez prvu, ce qui indiquerait que les autorisations sont trop gnreuses ;
pour identifier les accs inhabituels pour un compte particulier, ce qui pourrait indiquer quun
compte dutilisateur a t pirat.
Vous pouvez auditer les checs aux fins suivantes :
pour surveiller les tentatives malveillantes daccs une ressource dont laccs a t refus ;
pour identifier les tentatives infructueuses daccs un fichier ou dossier auquel un utilisateur a
besoin daccder. Cela indiquerait que les autorisations ne sont pas suffisantes pour rpondre aux
besoins dune entreprise.
11-11
Les entres daudit demandent aux systmes dexploitation Windows dauditer les activits russies ou
non dun principal de scurit (utilisateur, groupe ou ordinateur) pour utiliser une autorisation spcifique.
Le contrle total comprend tous les niveaux daccs individuels ; par consquent, cette entre couvre tout
type daccs. Par exemple, si vous attribuez un contrle total au groupe Consultant, et si un membre de ce
groupe tente un type daccs et choue, cette activit est enregistre.
En gnral, les entres daudit refltent les entres dautorisation de lobjet, mais les entres daudit et les
entres dautorisation peuvent ne pas toujours correspondre. Dans le scnario ci-dessus, gardez lesprit
quun membre du groupe Consultants peut galement appartenir un autre groupe qui est autoris
accder au dossier. Comme cet accs est russi, lactivit nest pas enregistre. Par consquent, si vous
souhaitez restreindre laccs au dossier et en interdire laccs aux utilisateurs, vous devez surveiller les
tentatives daccs infructueuses. Cependant, vous devez galement auditer les accs russis pour identifier
les situations o un utilisateur accde au dossier par le biais dune autre appartenance de groupe qui est
potentiellement incorrecte.
Remarque : Les journaux daudit peuvent devenir volumineux assez rapidement. Par
consquent, configurez le strict minimum requis pour rpondre aux besoins de scurit de votre
socit. Quand vous spcifiez dauditer les succs et les checs dun dossier de donnes actif pour
le groupe Tout le monde en utilisant un contrle total (toutes les autorisations), cela gnre des
journaux daudit volumineux qui peuvent affecter les performances du serveur, et rendre presque
impossible la localisation dun vnement daudit spcifique.
Activation de la stratgie daudit

La configuration des entres daudit dans le
descripteur de scurit dun fichier ou dun dossier
nactive pas en soi laudit. Laudit doit tre activ
en dfinissant le paramtre de stratgie Auditer
laccs aux objets appropris dans la stratgie
de groupe.
Une fois que laudit est activ, le sous-systme
de scurit commence enregistrer laccs,
comme indiqu par les paramtres daudit.
Le paramtre de stratgie doit tre appliqu au

serveur qui contient lobjet audit. Vous pouvez
configurer le paramtre de stratgie dans lobjet
de stratgie de groupe local du serveur, ou vous pouvez utiliser un objet de stratgie de groupe limit
en tendue au serveur.
Vous pouvez ensuite dfinir la stratgie pour auditer les vnements ayant russi, les vnements ayant
chou ou les deux. Le paramtre de stratgie doit spcifier laudit des tentatives ayant russi ou chou
qui correspondent au type dentre daudit dans la liste SACL de lobjet. Par exemple, pour enregistrer
une tentative daccs infructueuse du groupe Consultants au dossier Donnes confidentielles, vous devez
configurer la stratgie Auditer laccs aux objets pour auditer les checs, et vous devez configurer la liste
SACL du dossier Donnes confidentielles pour auditer les checs. Si la stratgie daudit audite uniquement
les succs, les entres ayant chou dans la liste SACL du dossier ne dclenchent pas la journalisation.
Emplacement des paramtres de la stratgie daudit

Dans la fentre Gestion des stratgies de groupe dAD DS, il existe un groupe de paramtres standard
dans un objet de stratgie de groupe qui contrlent le comportement daudit. Cet ensemble de
paramtres de stratgie daudit se trouve sous Configuration ordinateur, dans le nud suivant :
Paramtres Windows\Scurit\Stratgies locales\Stratgie daudit. Les paramtres de stratgie
daudit rgissent les paramtres de base suivants :
Auditer les vnements de connexion aux comptes
Auditer la gestion des comptes
Auditer laccs au service dannuaire
Auditer les vnements de connexion
Auditer laccs aux objets
Auditer les modifications de stratgie
Auditer lutilisation des privilges
Auditer le suivi des processus
Auditer les vnements systme
Remarque : Gardez lesprit que laccs audit et consign est la combinaison des
paramtres de la stratgie daudit et des entres daudit de fichiers et dossiers spcifiques. Si vous
avez configur les entres daudit pour enregistrer les checs, mais la stratgie active uniquement
lenregistrement des succs, vos journaux daudit demeurent vides.
valuation des vnements du journal de scurit

Une fois que vous avez activ le paramtre de
stratgie Auditer laccs aux objets et spcifi
laccs que vous souhaitez auditer laide des
listes SACL, le systme commence enregistrer
laccs en fonction des entres daudit. Vous
pouvez afficher les vnements obtenus dans
le journal de scurit du serveur. Pour ce faire,
dans Outils dadministration, ouvrez la console
Observateur dvnements, puis dveloppez
Journaux Windows\Scurit.
11-12
Dans le journal de scurit, les vnements daudit

sont reprsents en tant que types dvnement
Succs de laudit et chec de laudit. Le champ Dtails de chaque vnement contient des informations
pertinentes, selon le type dvnement audit. De nombreuses catgories daudit retournent un grand
nombre dvnements. Ces vnements peuvent tre fastidieux parcourir, par consquent, leur filtrage
est recommand. Vous pouvez filtrer en fonction du champ Dtails, et inclure des informations
appropries, telles que le nom dun utilisateur ou le nom dun fichier ou dossier audit.
11-13
Stratgies daudit avances
Dans Windows Server 2012 et Windows

Server 2008 R2, les administrateurs peuvent
auditer des aspects plus spcifiques du
comportement client sur lordinateur ou le rseau.
Cela permet ladministrateur didentifier plus
facilement les comportements prsentant le plus
dintrt. Par exemple, dans Configuration
ordinateur\Stratgies\Paramtres
Windows\Paramtres de scurit\Stratgies
locales\Stratgie daudit, il nexiste quun seul
paramtre de stratgieAuditer les vnements
de connexionpour les vnements de
connexion. Dans Configuration ordinateur\Stratgies\Paramtres Windows\Paramtres de
scurit\Configuration avance de la stratgie daudit\Stratgies daudit, vous pouvez choisir parmi dix
paramtres de stratgie diffrents dans la catgorie Ouverture/Fermeture de session. Cela vous fournit
un contrle plus dtaill des aspects douverture et de fermeture de session que vous pouvez suivre.
Ces amliorations de laudit de la scurit peuvent aider assurer la conformit de laudit de votre
organisation aux rgles dentreprise et de scurit importantes grce au suivi prcis dactivits dfinies,
telles que :
Un administrateur de groupe a modifi les paramtres ou donnes sur les serveurs contenant des
informations financires.
Un employ au sein dun groupe dfini a accd un fichier important.
La liste SACL correcte est applique chaque fichier et dossier ou la cl de Registre sur un partage
dordinateurs ou de fichiers, en tant que dispositif de protection vrifiable contre les accs non
dtects.
Description des paramtres de stratgie daudit avancs

Il existe dix groupes de paramtres de stratgie daudit avancs que vous pouvez configurer dans la
stratgie de groupe pour Windows Server 2012 :
Connexion de compte. Ces paramtres activent laudit de la validation des informations

didentification et dautres vnements de ticket et dauthentification propres Kerberos.
Gestion des comptes. Vous pouvez activer laudit des vnements relatifs la modification de
comptes dutilisateur, de comptes dordinateur et de groupes avec le groupe de paramtres Gestion
des comptes.
Suivi dtaill. Ces paramtres contrlent laudit des vnements de chiffrement, des vnements
de cration et darrt de processus Windows et des vnements dappel de procdure distante
(RPC, Remote Procedure Call).
Accs DS. Ces paramtres daudit impliquent laccs aux services dannuaire, y compris laccs gnral,
les modifications et la rplication.
11-14
Ouverture/Fermeture de session. Les vnements douverture et de fermeture de session standard

sont audits par ce groupe de paramtres. Dautres activits propres aux comptes, telles que IPsec
(Internet Protocol Security), le serveur NPS (Network Policy Server) et dautres vnements
douverture et de fermeture de session non classs sont galement audits.
Accs lobjet. Ces paramtres activent laudit pour tout accs AD DS, au Registre, une application
et au stockage de fichiers.
Changement de stratgie. Quand vous configurez ces paramtres, les modifications internes
des paramtres de stratgie daudit sont audites.
Utilisation de privilge. Dans lenvironnement Windows, Windows Server 2012 audite les tentatives
dutilisation de privilges quand vous configurez ces paramtres.
Systme. Les paramtres systme sont utiliss pour auditer les modifications de ltat du sous-systme
de scurit.
Audit de laccs global aux objets. Ces paramtres permettent de contrler les paramtres SACL de
tous les objets sur un ou plusieurs ordinateurs. Quand les paramtres de ce groupe sont configurs et
appliqus laide de la stratgie de groupe, lappartenance SACL est dtermine par la configuration
du paramtre de stratgie, et les listes SACL sont configures directement sur le serveur proprement
dit. Vous pouvez configurer les listes SACL pour laccs au systme de fichiers et au Registre sous
Audit de laccs global aux objets.
Dmonstration : Configuration de laudit avanc

Cette dmonstration montre comment crer et modifier un objet de stratgie de groupe pour
la configuration de la stratgie daudit.
Crer et modifier un objet de stratgie de groupe pour la configuration
de la stratgie daudit
1.
Sur LON-DC1, ouvrez Gestion des stratgies de groupe.
2.
Crez un objet de stratgie de groupe appel Audit de fichier.
3.
Modifiez lobjet de stratgie de groupe Audit de fichier et activez les vnements daudit Succs et
chec pour les paramtres Auditer le partage de fichiers dtaill et Auditer le stockage amovible.
4.
Fermez Gestion des stratgies de groupe.
Atelier pratique : Configuration du chiffrement

et de laudit avanc
Scnario
11-15
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est bas
assister le sige social de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure
Vous devez configurer lenvironnement Windows Server 2012 pour protger les fichiers sensibles, et
vrifier que laccs aux fichiers sur le rseau est audit convenablement. Vous devez galement configurer
laudit du nouveau serveur.
Objectifs
chiffrer et rcuprer des fichiers laide des outils de gestion EFS ;
configurer laudit avanc.

22411B-LON-DC1
22411B-LON-CL1
22411B-LON-SVR1
Nom dutilisateur
Mot de passe
Pa$$w0rd

12-1
Module 12
Implmentation de la gestion des mises jour
Table des matires :
12-1
Leon 1 : Vue densemble de WSUS
12-2
Leon 2 : Dploiement des mises jour avec WSUS
12-5
Atelier pratique : Implmentation de la gestion des mises jour
12-9
12-14
Windows Server Update Services (WSUS) amliore la scurit en appliquant des mises jour de scurit
aux serveurs au moment opportun. Il fournit linfrastructure permettant de tlcharger, de tester et
dapprouver les mises jour de scurit. Lapplication rapide de mises jour de scurit permet dviter
les incidents rsultant de vulnrabilits connues. Lorsque vous implmentez WSUS, vous devez garder
lesprit la configuration matrielle et logicielle requise, les paramtres configurer, et les mises jour
approuver ou supprimer selon les besoins de votre entreprise.
Objectifs
dcrire le rle de WSUS ;
dployer des mises jour avec WSUS.
Leon 1
Vue densemble de WSUS
12-2 Implmentation de la gestion des mises jour
Le rle WSUS fournit un point central de gestion des mises jour de vos ordinateurs sous Windows.
WSUS vous permet de crer un environnement de mise jour plus efficace dans votre entreprise et
dtre mieux inform de ltat gnral des mises jour des ordinateurs de votre rseau. Cette leon vous
prsente WSUS et dcrit les principales fonctionnalits du rle serveur WSUS.
dcrire les services WSUS ;
expliquer le processus de gestion des mises jour de WSUS ;
identifier la configuration serveur requise pour WSUS.
Quest-ce que WSUS ?

WSUS est un rle serveur compris dans le systme
dexploitation Windows Server 2012, qui
tlcharge et distribue des mises jour aux
clients et aux serveurs Windows. WSUS peut
obtenir les mises jour qui sappliquent au
systme dexploitation et aux applications
Microsoft classiques, telles que Microsoft Office
et Microsoft SQL Server.
Dans sa configuration la plus simple, une petite
entreprise peut disposer dun seul serveur WSUS
qui tlcharge les mises jour de Microsoft
Update. Le serveur WSUS distribue alors ces mises
jour aux ordinateurs configurs pour obtenir des mises jour automatiques du serveur WSUS. Vous
devez approuver les mises jour avant que les clients puissent les tlcharger.
Les entreprises plus importantes peuvent crer une hirarchie des serveurs WSUS. Dans ce scnario,
un seul serveur WSUS centralis obtient les mises jour de Microsoft Update et dautres serveurs WSUS
obtiennent les mises jour du serveur WSUS centralis.
Vous pouvez organiser les ordinateurs par groupes pour simplifier lapprobation des mises jour. Par
exemple, vous pouvez configurer un groupe pilote pour tre le premier tre utilis pour tester les mises
jour.
WSUS peut gnrer des rapports pour faciliter le contrle de linstallation des mises jour. Ces derniers
peuvent identifier les ordinateurs nayant pas appliqu les mises jour rcemment approuves. Vous
pouvez utiliser ces rapports pour dterminer pourquoi des mises jour ne sont pas appliques.
Processus de gestion des mises jour de WSUS

Le processus de gestion des mises jour vous
permet de grer WSUS et les mises jour quil
rcupre. Ce processus est un cycle continu
pendant lequel vous pouvez rvaluer et adapter
le dploiement de WSUS pour rpondre aux
besoins changeants. Les quatre phases du
processus de gestion des mises jour sont :
lestimation ;
lidentification ;
lvaluation et la planification ;
Dployer
Phase destimation
Lobjectif de la phase destimation consiste configurer un environnement de production prenant en
charge la gestion des mises jour pour des scnarios de routine et durgence. Il sagit dun processus
constant que vous utilisez pour dterminer la topologie la plus efficace de mise lchelle des
composants WSUS. mesure que votre entreprise volue, vous pouvez identifier la ncessit
dajouter dautres serveurs WSUS dautres emplacements.
Phase didentification
La phase didentification consiste identifier les nouvelles mises jour disponibles et dterminer
si elles sont appropries pour lentreprise. Vous pouvez soit configurer WSUS pour quil rcupre
automatiquement toutes les mises jour, soit rcuprer uniquement certains types de mises jour.
WSUS identifie galement les mises jour concernant les ordinateurs inscrits.
Phase dvaluation et de planification
12-3
Une fois les mises jour pertinentes identifies, vous devez dterminer si elles fonctionnent correctement
dans votre environnement. Il est toujours possible que la combinaison spcifique de logiciels de votre
environnement rencontre des problmes avec une mise jour.
Pour valuer les mises jour, vous devez disposer dun environnement de test dans lequel vous appliquez
ces dernires afin de vrifier quelles fonctionnent correctement. Ce processus peut vous aider identifier
des dpendances permettant une mise jour de fonctionner correctement, et vous pouvez planifier
toutes les modifications devant tre apportes.
Phase de dploiement
Aprs avoir soigneusement test une mise jour et dtermin les ventuelles dpendances, vous pouvez
approuver son dploiement dans le rseau de production. Dans lidal, vous devez approuver la mise
jour pour un groupe pilote dordinateurs avant de lapprouver pour lensemble de lentreprise.
Configuration serveur requise pour les services WSUS

Vous pouvez utiliser le gestionnaire de serveur
pour installer et configurer le rle serveur WSUS.
Cependant, pour que vous puissiez implmenter
WSUS, votre serveur doit respecter une
configuration matrielle et logicielle minimale.
Le logiciel requis pour WSUS 3.0 SP2 comprend
les lments suivants :
Windows Server 2012,

Windows Server 2008 R2,
Windows Server 2008 Service Pack 1 (SP1) ou
version ultrieure, Windows Server 2003 SP1
ou version ultrieure,
Windows Small Business Server 2008 ou Windows Small Business Server 2003
Services Internet (IIS) version 6.0 ou ultrieure
Microsoft .NET Framework 2.0 ou version ultrieure
Microsoft Management Console (MMC) 3.0
Microsoft Report Viewer Redistributable 2008 ou version ultrieure
SQL Server 2012, SQL Server 2008, SQL Server 2005 SP2 ou Base de donnes interne Windows
La configuration matrielle minimale requise pour WSUS est peu prs identique celle des systmes
dexploitation Windows Server. Cependant, vous devez prendre en compte lespace disque dans le cadre
de votre dploiement. Un serveur WSUS a besoin denviron 10 gigaoctets (Go) despace disque et vous
devez allouer au moins 30 Go despace disque pour les mises jour tlcharges.
Un seul serveur WSUS peut prendre en charge des milliers de clients. Par exemple, un serveur WSUS
possdant 4 Go de RAM et deux UC quadruples cur peut prendre en charge jusqu 100 000 clients.
Cependant, dans la plupart des cas, une entreprise possdant autant de clients dispose gnralement
de plusieurs serveurs WSUS pour rduire la charge sur les liaisons rseau tendu.
Leon 2
Dploiement des mises jour avec WSUS
12-5
Cette leon explique les caractristiques du dploiement des mises jour avec WSUS sur les ordinateurs
client. Le dploiement des mises jour sur les clients Windows Update via WSUS peut comporter
de nombreux avantages. Vous pouvez configurer les mises jour pour quelles soient tlcharges,
approuves et installes automatiquement, sans intervention de la part dun administrateur. Vous pouvez
galement contrler davantage le processus de mise jour et fournir un environnement contrl dans
lequel dployer ces dernires. Vous pouvez effectuer des tests dans un groupe isol dordinateurs de test
avant dapprouver une mise jour dans lensemble de lentreprise.
dcrire comment configurer la fonction Mises jour automatiques pour quelle utilise WSUS ;
expliquer comment administrer WSUS ;
identifier les groupes dordinateurs dans WSUS ;
dcrire les options dapprobation des mises jour de WSUS.
Configuration des mises jour automatiques

Quand vous activez la fonction Mises jour
automatiques sur un serveur, la configuration
par dfaut tlcharge automatiquement les mises
jour depuis Microsoft Update et les installe.
Aprs avoir implment WSUS, vos clients doivent
tre configurs pour obtenir les mises jour
automatiquement depuis le serveur WSUS.
Lemplacement partir duquel la fonction Mises

jour automatiques obtient les mises jour est
contrl par une cl de Registre. Il est possible
de configurer la cl de Registre manuellement
laide de loutil Regedit, mais cette action nest pas
recommande, sauf dans le cas o lordinateur ne se trouve pas dans un domaine. Sil se trouve dans
un domaine, il est bien plus efficace de crer un objet de stratgie de groupe (GPO) qui configure la cl
de Registre.
Pour les environnements Active Directory Domain Services (AD DS), la fonction Mises jour
automatiques est gnralement configure dans un objet de stratgie de groupe en dfinissant les
paramtres situs sous Configuration ordinateur. Pour accder ces paramtres, dveloppez Stratgies,
Modles dadministration, Composants Windows, puis localisez le nud Windows Update.
En plus de configurer la source pour les mises jour, vous pouvez galement utiliser un objet de stratgie
de groupe pour configurer les paramtres suivants :
La frquence des mises jour. Ce paramtre dtermine quelle frquence les mises jour sont
dtectes.
Le calendrier dinstallation des mises jour. Ce paramtre dtermine quel moment les mises jour
sont installes. Il dtermine galement le moment o les mises jour sont reprogrammes,
lorsquelles nont pas pu tre installes lheure planifie.
Le comportement de redmarrage automatique. Ce paramtre dtermine si lordinateur redmarre

automatiquement si une mise jour le demande.
Le groupe dordinateurs par dfaut dans WSUS. Ce paramtre dtermine le groupe dordinateurs
dans lequel lordinateur sera enregistr lors de linscription initiale avec WSUS.
Administration de WSUS
La console dadministration de WSUS est un
composant logiciel enfichable MMC que vous
pouvez utiliser pour administrer WSUS. Vous
pouvez utiliser cet outil pour :
identifier et tlcharger les mises jour ;
approuver le dploiement des mises jour ;
organiser les ordinateurs en groupes ;
examiner ltat des mises jour des

ordinateurs ;
gnrer des rapports.
La surveillance fait partie intgrante de la gestion dun service. WSUS consigne des informations
dintgrit dtailles dans le journal des vnements. En outre, vous pouvez tlcharger un pack
dadministration pour faciliter la surveillance dans Microsoft System Center 2012 - Operations Manager.
Contrle des mises jour sur les ordinateurs client
Les ordinateurs client effectuent des mises jour en fonction dune configuration manuelle ou, dans la
plupart des environnements dAD DS, dune stratgie de groupe. Dans certains cas, vous souhaitez peuttre lancer le processus de mise jour en dehors du calendrier habituel. Vous pouvez utiliser loutil
wuauclt.exe pour contrler le comportement de mise jour automatique sur des ordinateurs client
Windows Update. La commande suivante lance la dtection des mises jour Microsoft daprs
Windows Update.
Wuauclt.exe /detectnow
Administration avec Windows PowerShell
12-7
Dans Windows Server 2012, WSUS comprend des applets de commande Windows PowerShell, que vous
pouvez utiliser pour grer votre serveur WSUS. Le tableau ci-aprs rpertorie ces applets de commande.
Applet de commande
Description
Add-WsusComputer
Ajoute un ordinateur client spcifi un groupe cible spcifi.
Approve-WsusUpdate
Approuve lapplication dune mise jour aux clients.
Deny-WsusUpdate
Refuse le dploiement de la mise jour.
Get-WsusClassification
Obtient la liste de toutes les classifications de WSUS

actuellement disponibles dans le systme.
Get-WsusComputer
Obtient lobjet Ordinateur WSUS qui reprsente lordinateur

client.
Get-WsusProduct
Obtient la liste de tous les produits actuellement disponibles sur

WSUS par catgorie.
Get-WsusServer
Obtient la valeur de lobjet Serveur de mise jour WSUS.
Get-WsusUpdate
Obtient lobjet Mise jour WSUS avec des dtails concernant la

mise jour.
Invoke-WsusServerCleanup
Excute le processus du nettoyage sur un serveur WSUS spcifi.
Set-WsusClassification
Dfinit si les classifications des mises jour que WSUS

synchronise sont actives ou non.
Set-WsusProduct
Dfinit si le produit reprsentant la catgorie de mises jour

synchroniser est activ ou non.
Set-WsusServerSynchronization
Dfinit si le serveur WSUS effectue une synchronisation depuis

Microsoft Update ou depuis un serveur en amont, en utilisant les
proprits de ce dernier.
Que sont les groupes dordinateurs ?

Les groupes dordinateurs constituent une faon
dorganiser les ordinateurs pour lesquels un
serveur WSUS dploie des mises jour. Il existe
deux groupes dordinateurs par dfaut : Tous les
ordinateurs et Ordinateurs non affects. Les
nouveaux ordinateurs qui contactent le serveur
WSUS sont automatiquement affects ces deux
groupes.
Vous pouvez crer des groupes dordinateurs personnaliss pour contrler la manire dont les mises
jour sont appliques. En gnral, les groupes dordinateurs personnaliss contiennent des ordinateurs
possdant des caractristiques semblables. Par exemple, vous pouvez crer un groupe dordinateurs
personnalis pour chaque service de votre entreprise. Vous pouvez galement crer un groupe
dordinateurs personnalis pour un environnement de test o vous dployez dabord les mises jour
pour les tester. Il est galement frquent de regrouper les serveurs sparment des ordinateurs client.
Lorsque vous affectez manuellement de nouveaux ordinateurs un groupe dordinateurs personnalis,

cette opration est appele ciblage ct serveur. Vous pouvez galement utiliser le ciblage ct client
pour affecter des ordinateurs un groupe dordinateurs personnalis. Pour utiliser le ciblage ct client,
vous devez configurer pour lordinateur une cl de Registre ou un objet de stratgie de groupe qui
spcifie le groupe dordinateurs personnalis rejoindre lors de linscription initiale avec le serveur WSUS.
Le ciblage ct serveur permet aux administrateurs de grer manuellement ladhsion au groupe
dordinateurs WSUS. Cela est utile lorsque la structure dAD DS ne prend pas en charge le ct client
logique pour des groupes dordinateurs, ou lorsque des ordinateurs doivent tre dplacs entre plusieurs
groupes pour effectuer des tests ou autre. Le ciblage ct client est le plus gnralement utilis dans les
grandes entreprises o laffectation automatise est requise et o des ordinateurs doivent tre affects
des groupes spcifiques.
Approbation des mises jour

La configuration par dfaut de WSUS napprouve
pas automatiquement les mises jour des
applications sur les ordinateurs. Bien quil soit
possible dapprouver automatiquement les mises
jour, cette action nest pas recommande. Le
processus recommand pour approuver les mises
jour consiste tout dabord les tester dans un
environnement de test, puis dans un groupe
pilote, avant de passer lenvironnement de
production. Vous rduisez ainsi le risque quune
mise jour entrane un problme inattendu dans
votre environnement de production. Vous
leffectuez en approuvant des mises jour pour des groupes dordinateurs spcifiques avant de les
approuver pour le groupe Tous les ordinateurs.
Certaines mises jour ne sont pas considres comme critiques et nont aucune implication en termes de
scurit. Vous pouvez dcider de ne pas implmenter certaines de ces mises jour. Pour toutes les mises
jour que vous dcidez de ne pas implmenter, vous pouvez refuser la mise jour. Une fois une mise jour
refuse, elle est supprime de la liste des mises jour sur le serveur WSUS dans laffichage par dfaut.
Si vous appliquez une mise jour et dcouvrez quelle provoque des problmes, vous pouvez utiliser
WSUS pour la supprimer. Cependant, cela est possible uniquement si cette mise jour spcifique prend
en charge la suppression. La plupart des mises jour prennent en charge la suppression.
Lorsque vous regardez les dtails dune mise jour, ils vous indiquent si cette dernire est remplace par
une autre mise jour. Les mises jour remplaces ne sont en gnral plus requises, car une mise jour
plus rcente comprend entre autres les changements de celle-ci. Les mises jour remplaces ne sont pas
refuses par dfaut, car elles sont parfois encore requises. Par exemple, une mise jour plus ancienne
peut tre requise si certains serveurs nexcutent pas le dernier Service Pack.
12-9
Atelier pratique : Implmentation de la gestion des mises

jour
Scnario
A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social se situe
assister le site de Londres et dautres succursales. A. Datum a rcemment dploy une infrastructure
A. Datum appliquait manuellement les mises jour sur les serveurs dun site distant. Elle a ainsi rencontr
des difficults identifier les serveurs pour lesquels des mises jour avaient ou non t appliques.
Il sagit dun problme de scurit potentiel. Vous avez t invit automatiser le processus de mise
jour en tendant le dploiement du WSUS dA. Datum pour quil comprenne la succursale.
Objectifs
implmenter le rle serveur WSUS ;
configurer des paramtres de mise jour ;
approuver et dployer une mise jour laide de WSUS.

22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-SVR4
22411B-LON-CL1
Nom dutilisateur
Mot de passe
Pa$$w0rd

13-1
Module 13
Surveillance de Windows Server 2012
Table des matires :
13-1
Leon 1 : Outils danalyse
13-2
Leon 2 : Utilisation de lAnalyseur de performances
13-9
Leon 3 : Analyse des journaux dvnements
13-18
13-21
13-27
13-31
Quand une dfaillance du systme ou un vnement qui affecte les performances systme se produit,
vous devez pouvoir rapidement et efficacement procder au dpannage ou la rsolution du problme.
Les variables et les possibilits de lenvironnement rseau moderne tant nombreuses, la capacit
dterminer la cause premire repose souvent sur un ensemble de mthodes et doutils efficaces danalyse
des performances.
Il est possible dutiliser des outils danalyse des performances pour identifier les composants qui
ncessitent des rglages et des rsolutions de problmes supplmentaires. En identifiant ces composants,
vous pouvez amliorer le rendement de vos serveurs.
Objectifs
dcrire les outils danalyse pour Windows Server 2012 ;
utiliser lAnalyseur de performances pour afficher et analyser les statistiques de performance

des programmes qui sexcutent sur vos serveurs ;
surveiller les journaux des vnements pour afficher et interprter les vnements survenus.
Leon 1
Outils danalyse
Windows Server 2012 comporte plusieurs outils permettant danalyser le systme dexploitation et les
applications sur un ordinateur. Vous pouvez utiliser ces outils pour optimiser votre systme et rsoudre
des problmes. Utilisez ces outils et compltez-les avec vos propres outils lorsque cela est ncessaire.
dcrire le Gestionnaire des tches ;
dcrire lAnalyseur de performances ;
Ouvrez le dcrire le Moniteur de ressources ;
dcrire lObservateur dvnements.
Vue densemble du Gestionnaire des tches

Le Gestionnaire des tches a t amlior dans
Windows Server 2012 pour fournir plus
dinformations vous permettant didentifier et
de rsoudre les problmes lis aux performances.
Il contient les onglets suivants :
13-2 Surveillance de Windows Server 2012
Processus. Longlet Processus affiche la liste

des programmes en cours dexcution,
subdiviss en applications et en processus
Windows internes. Pour chaque processus
en cours dexcution, cet onglet affiche un
rsum de lutilisation du processeur et de
la mmoire.
Performances. Longlet Performances affiche un rsum de lutilisation du processeur et de la

mmoire, ainsi que des statistiques rseau.
Utilisateurs. Longlet Utilisateurs affiche la consommation de ressources par utilisateur. Vous pouvez
galement dvelopper la vue Utilisateur pour afficher des informations plus dtailles sur les
processus spcifiques excuts par un utilisateur.
13-3
Dtails. Longlet Dtails rpertorie tous les processus en cours dexcution sur le serveur et fournit
des statistiques sur la consommation du processeur, de la mmoire et sur toute autre consommation
de ressources. Vous pouvez utiliser cet onglet pour grer les processus en cours dexcution. Par
exemple, vous pouvez arrter un processus, arrter un processus et tous les processus associs et
modifier les valeurs de priorit des processus. En modifiant la priorit dun processus, vous
dterminez sa consommation de ressources de processeur. En augmentant la priorit, le processus
peut demander plus de ressources de processeur.
Services. Longlet Services fournit une liste des services Windows en cours dexcution, ainsi que les
informations relatives, notamment si le service est en cours dexcution et la valeur didentit de
processeur (PID) du service en cours dexcution. Vous pouvez dmarrer et arrter des services en
utilisant la liste situe dans longlet Services.
En gnral, pensez utiliser le Gestionnaire des tches lorsquun problme li aux performances se
produit pour la premire fois. Par exemple, vous pouvez examiner les processus en cours dexcution
pour dterminer si un programme particulier utilise des ressources de processeur excessives. Gardez
toujours lesprit que le Gestionnaire des tches affiche une capture instantane de la consommation
de ressources actuelle, et vous pouvez galement tre amen examiner les donnes dhistorique pour
avoir une ide prcise des performances et de la rponse sous la charge dun serveur.
Vue densemble de lAnalyseur de performances

LAnalyseur de performances vous permet
dafficher les statistiques actuelles sur les
performances, ou dafficher les donnes
dhistorique collectes en utilisant des
ensembles de collecteurs de donnes.
Windows Server 2012 vous permet danalyser les
performances du systme dexploitation laide
des objets de performance et des compteurs dans
chaque objet. Windows Server 2012 recueille les
donnes des compteurs de diffrentes manires,
savoir :
valeur de capture instantane en temps rel ;
total depuis le dernier dmarrage de lordinateur ;
moyenne sur un intervalle de temps spcifique ;
moyenne des dernires valeurs ;
nombre par seconde ;
valeur maximale ;
valeur minimale.
LAnalyseur de performances fonctionne en vous fournissant une collection dobjets et de compteurs qui
enregistrent les donnes relatives lutilisation des ressources de lordinateur.
Il existe de nombreux compteurs que vous pouvez analyser et surveiller en fonction de vos besoins.
Principaux compteurs de processeur

Les compteurs de processeur sont une fonctionnalit du processeur de lordinateur qui enregistre le
nombre dvnements matriels. Les principaux compteurs de processeur sont les suivants :
Processeur > % Temps processeur. Ce compteur mesure le pourcentage de temps que le processeur
utilise pour excuter des threads actifs. Si ce pourcentage est suprieur 85 %, le processeur est
surcharg et le serveur peut ncessiter un processeur plus rapide. En dautres termes, ce compteur
affiche le pourcentage de temps quun thread donn a utilis pour excuter des instructions. Une
instruction est lunit dexcution de base dans un processeur, et un thread est lobjet qui excute des
instructions. Le code qui gre certaines interruptions matrielles et les conditions dinterception sont
inclus dans ce compte.
Processeur > Interruptions/s. Ce compteur affiche la frquence, en incidents par seconde, laquelle
le processeur a reu et gr les interruptions matrielles.
Systme > Longueur de la file du processeur. Ce compteur affiche un nombre approximatif de

threads gr par chaque processeur. Si cette valeur est plus de deux fois suprieure au nombre
de processeurs pendant une priode prolonge, le processeur du serveur nest pas assez puissant.
La longueur de la file du processeur, parfois dsigne sous le nom de profondeur de la file du
processeur, qui est enregistre par ce compteur est une valeur instantane qui est reprsentative
uniquement dune capture instantane actuelle du processeur. Par consquent, vous devez observer
ce compteur pendant une priode prolonge pour dterminer les tendances de donnes. En outre, le
compteur Systme > Longueur de la file du processeur enregistre la longueur totale de la file pour
tous les processeurs, pas la longueur pour chaque processeur.
Principaux compteurs de mmoire
Lobjet de performances Mmoire se compose de compteurs qui dcrivent le comportement de la

mmoire physique et virtuelle de lordinateur. La mmoire physique est la quantit de mmoire vive
(RAM) sur lordinateur. La mmoire virtuelle comprend lespace dans la mmoire physique et sur le
disque. La plupart des compteurs de mmoire surveillent la pagination, qui est le dplacement de pages
de code et de donnes entre le disque et la mmoire physique.
Le compteur Mmoire > Pages/s mesure la frquence laquelle les pages sont lues ou crites sur le
disque pour rsoudre les dfauts de page. Si une pagination excessive produit une valeur suprieure
1 000, il peut y avoir une fuite de mmoire. En dautres termes, le compteur Mmoire > Pages/s affiche
le nombre de dfauts de page par seconde. Un dfaut de page se produit quand la page de mmoire
demande est introuvable dans la mmoire RAM car elle existe actuellement dans le fichier de pagination.
Une augmentation de ce compteur indique quune pagination supplmentaire se produit, ce qui suggre
un manque de mmoire physique.
Principaux compteurs de disque
13-5
Lobjet de performances Disque physique se compose de compteurs qui surveillent les disques durs ou
fixes. Les disques contiennent les donnes de fichiers, de programmes et de pagination. Ils sont lus pour
rcuprer ces lments, et sont crits pour y enregistrer des modifications. Les valeurs totales des
compteurs de disque physique correspondent au total de toutes les valeurs des disques logiques (ou
partitions) dans lesquels elles sont divises. Les principaux compteurs de disque sont les suivants :
Disque physique > Pourcentage du temps disque. Ce compteur indique lactivit dun disque
particulier, et il mesure le pourcentage de temps pendant lequel le disque tait occup pendant
lintervalle dchantillonnage. Un compteur avoisinant 100 pour cent indique que le disque est
occup presque tout le temps, et un goulot dtranglement au niveau des performances est peut-tre
imminent. Vous pouvez ventuellement remplacer le systme de disque actuel par un autre plus
rapide.
Disque physique > Longueur moyenne de file dattente du disque. Ce compteur indique le nombre
de demandes de disque en attente de traitement par le gestionnaire dE/S dans Windows 7 un
moment donn. Si cette valeur est plus de deux fois plus importante que le nombre de piles, le
disque lui-mme peut tre engorg. Plus la file est longue, moins le dbit du disque est satisfaisant.
Remarque : Le dbit est la quantit totale de trafic qui passe par un point de connexion
rseau donn pour chaque unit de temps. La charge de travail est la quantit de traitement
effectu par lordinateur un moment donn.
Principaux compteurs de rseau

La plupart des charges de travail ncessitent laccs aux rseaux de production pour assurer la
communication avec les autres applications et services, et pour communiquer avec les utilisateurs.
La configuration rseau requise comprend des lments tels que le dbit et la prsence de plusieurs
connexions rseau.
Les charges de travail peuvent ncessiter laccs plusieurs rseaux diffrents qui doivent rester scuriss.
Cest le cas notamment des connexions pour :
laccs au rseau public ;
les rseaux pour effectuer des sauvegardes et dautres tches de maintenance ;
les connexions de gestion distance ddies ;
lassociation de cartes rseau pour les performances et le basculement ;
les connexions lordinateur hte physique ;
les connexions aux modules de stockage bass sur un rseau.
En analysant les compteurs de performance du rseau, vous pouvez valuer les performances de votre
rseau. Les principaux compteurs de rseau sont les suivants :
Interface rseau > Bande passante actuelle. Ce compteur indique la bande passante actuelle utilise
sur linterface rseau en bits par seconde (bits/s). La plupart des topologies de rseau ont des bandes
passantes potentielles maximales exprimes en mgabits par seconde (Mbits/s). Par exemple,
Ethernet peut fonctionner des bandes passantes de 10 Mbits/s, 100 Mbits/s, 1 Gigabit par
seconde (Gbits/s) et plus. Pour interprter ce compteur, divisez la valeur donne par 1 048 576 pour
Mbits/s. Si la valeur est proche de la bande passante potentielle maximale du rseau, vous pouvez
implmenter un rseau commut ou effectuer une mise niveau vers un rseau qui prend en charge
des bandes passantes plus leves.
Interface rseau > Longueur de la file dattente de sortie. Ce compteur indique la longueur actuelle
de la file dattente des paquets de sortie sur linterface rseau slectionne. Une valeur croissante, ou
constamment suprieure deux, peut indiquer un goulot dtranglement du rseau qui ncessite un
examen.
Interface rseau > Total des octets/s. Mesure la frquence laquelle les octets sont envoys et reus
sur chaque carte rseau, y compris les caractres de trame. Si plus de 70 % de linterface est utilise,
le rseau est satur.
Vue densemble du Moniteur de ressources

Linterface Moniteur de ressources dans Windows
Server 2012 fournit une analyse dtaille des
performances en temps rel de votre serveur.
Vous pouvez utiliser le Moniteur de ressources
pour analyser en temps rel lutilisation et les
performances du processeur, du disque, du rseau
et de la mmoire. Vous pouvez ainsi identifier les
conflits de ressources et les goulots
dtranglement afin de les rsoudre.
En dveloppant les lments analyss, les

administrateurs systme peuvent dterminer quels
processus utilisent quelles ressources. En outre,
vous pouvez utiliser le Moniteur de ressources pour suivre un ou des processus en activant les cases
cocher correspondantes. Quand vous slectionnez un processus, il reste slectionn dans chaque volet du
Moniteur de ressources, qui affiche les informations dont vous avez besoin concernant ce processus en
haut de lcran, quel que soit lendroit o vous tes dans linterface.
Vue densemble de lObservateur dvnements

LObservateur dvnements Windows
fournit un accs aux journaux dvnements
de Windows Server 2012. Les journaux
dvnements fournissent des informations
concernant les vnements systme qui se
produisent dans Windows. Ces vnements
comprennent les messages dinformation,
davertissement et derreur sur les composants
Windows et les applications installes.
13-7
LObservateur dvnements fournit des listes

classes par catgorie des vnements essentiels
du journal Windows, y compris les vnements
dapplication, de scurit, de configuration et systme, ainsi que des groupements de journal pour
les applications individuelles installes et des catgories de composants Windows spcifiques. Les
vnements individuels fournissent des informations dtailles concernant le type dvnement qui sest
produit, la date laquelle lvnement sest produit, la source de lvnement, ainsi que des informations
techniques dtailles pour vous aider rsoudre lvnement.
En outre, lObservateur dvnements vous permet de consolider les journaux de plusieurs ordinateurs sur
un ordinateur centralis laide dabonnements. Enfin, vous pouvez configurer lObservateur dvnements
pour excuter une action en fonction dun vnement ou dvnements spcifiques. Cela peut inclure
lenvoi dun message lectronique, le lancement dune application, lexcution dun script ou dautres
actions de maintenance qui peuvent vous informer dun problme potentiel ou tenter de le rsoudre.
LObservateur dvnements de Windows Server 2012 contient les fonctionnalits importantes suivantes :
Inclusion de plusieurs nouveaux journaux. Vous pouvez accder aux journaux de plusieurs
composants et sous-systmes individuels.
Possibilit dafficher plusieurs journaux. Vous pouvez filtrer des vnements spcifiques dans plusieurs
journaux, ce qui facilite lexamen et la rsolution des problmes susceptibles dapparatre dans
plusieurs journaux.
Inclusion de vues personnalises. Vous pouvez utiliser le filtrage pour limiter la recherche aux
vnements qui vous intressent, et vous pouvez sauvegarder ces vues filtres.
Possibilit de configurer les tches planifies pour sexcuter en rponse des vnements. Vous
pouvez automatiser les rponses aux vnements. LObservateur dvnements est intgr au
Planificateur de tches.
Possibilit de crer et de grer les abonnements aux vnements. Vous pouvez collecter des
vnements partir dordinateurs distants, et les enregistrer localement.
Remarque : Pour collecter des vnements partir dordinateurs distants, vous devez crer
une rgle entrante dans le Pare-feu Windows pour permettre la gestion du journal des
vnements Windows.
LObservateur dvnements suit les informations dans plusieurs journaux diffrents. Ces journaux
fournissent des informations dtailles qui comprennent :
description de lvnement ;
numro didentification de lvnement ;
composant ou sous-systme qui a gnr lvnement ;
tat Information, Avertissement ou Erreur ;
date de loccurrence ;
nom de lutilisateur pour le compte duquel lvnement sest produit ;
ordinateur sur lequel lvnement sest produit ;
lien vers Microsoft TechNet pour obtenir des informations supplmentaires sur lvnement.
Journaux Windows Server

LObservateur dvnements comporte plusieurs journaux intgrs, y compris ceux contenus dans
le tableau suivant.
Journal intgr
Description et utilisation
Journal des applications
Ce journal contient les erreurs, les avertissements et les vnements

dinformation relatifs au fonctionnement dapplications telles que
Microsoft Exchange Server, le service SMTP (Simple Mail Transfer Protocol)
et dautres applications.
Journal de scurit
Ce journal enregistre les rsultats de laudit, si vous lactivez. Les

vnements daudit sont dcrits comme ayant russi ou chou, selon
lvnement. Par exemple, le journal enregistre les succs ou les checs de
laccs dun utilisateur un fichier.
Journal de configuration
Ce journal contient les vnements relatifs la configuration des

applications.
Journal systme
Les vnements gnraux sont enregistrs par les composants et services

Windows, et sont classs en tant querreur, avertissement ou information.
Windows prdtermine les vnements enregistrs par les composants
systme.
vnements transfrs
Ce journal enregistre les vnements collects partir dordinateurs

distants. Pour collecter des vnements partir dordinateurs distants, vous
devez crer un abonnement aux vnements.
Journaux des applications et des services

Les journaux des applications et des services stockent les vnements dune application ou
dun composant plutt que les vnements qui peuvent avoir un impact lchelle du systme.
Cette catgorie de journaux comprend quatre sous-types :
Admin
Oprations
Analyse
Dbogage
13-9
Les journaux dadministration prsentent un intrt pour les professionnels de linformatique qui utilisent
lObservateur dvnements pour rsoudre des problmes. Ces journaux expliquent comment rsoudre
des problmes, et ciblent principalement les utilisateurs finaux, les administrateurs et le personnel de
support. Les vnements des canaux dadministration indiquent un problme et une solution bien dfinie
sur lesquels un administrateur peut agir.
Les vnements du journal des oprations sont galement utiles pour les professionnels de linformatique,
mais ils peuvent ncessiter une interprtation supplmentaire. Vous pouvez utiliser les vnements
oprationnels pour analyser et diagnostiquer un problme ou une occurrence et dclencher des outils
ou des tches en fonction du problme ou de loccurrence.
Les journaux danalyse et de dbogage ne sont pas aussi conviviaux. Les journaux danalyse stockent les
vnements qui suivent un problme, et ils enregistrent souvent un volume lev dvnements.
Les dveloppeurs utilisent les journaux de dbogage quand ils dboguent des applications. Par dfaut, les
journaux danalyse et de dbogage sont masqus et dsactivs.
Par dfaut, les fichiers journaux Windows ont une taille de 1 028 kilo-octets (Ko), et les vnements sont
remplacs autant que ncessaire. Si vous souhaitez effacer un journal manuellement, vous devez tre
connect au serveur en tant quadministrateur local. Si vous souhaitez configurer de manire centralise
les paramtres des journaux dvnements, vous pouvez utiliser la stratgie de groupe. Ouvrez lditeur
de gestion des stratgies de groupe pour votre objet de stratgie de groupe slectionn, puis naviguez
jusqu Configuration ordinateur\Stratgies\Modles dadministration\Composants Windows\
Service Journal des vnements.
Pour chaque journal, vous pouvez dfinir :
lemplacement du fichier journal ;
la taille maximale du fichier journal ;
les options de sauvegarde automatique ;
les autorisations sur les journaux ;
le comportement qui se produit quand le journal est plein.
Leon 2
Utilisation de lAnalyseur de performances
13-10
Vous pouvez utiliser lAnalyseur de performances pour collecter, analyser et interprter les donnes lies
aux performances des serveurs de votre organisation. Cela vous permet de prendre des dcisions avises
relatives la planification de la capacit. Cependant, pour prendre des dcisions avises, il est important
que vous sachiez comment tablir une base de rfrence des performances, utiliser des ensembles de
collecteurs de donnes et utiliser des rapports pour vous aider comparer les donnes de performances
votre base de rfrence.
dcrire une base de rfrence ;
dcrire des ensembles de collecteurs de donnes ;
expliquer comment capturer les donnes de compteur avec un ensemble de collecteurs de donnes ;
expliquer comment configurer une alerte ;
expliquer comment afficher les rapports de lAnalyseur de performances ;
identifier les principaux paramtres que vous devez suivre lors de la surveillance des services
dinfrastructure rseau ;
identifier les lments prendre en considration pour la surveillance dordinateurs virtuels.
Base de rfrence, tendances et planification de la capacit

En calculant les bases de rfrence des
performances pour votre environnement serveur,
vous pouvez interprter avec une plus grande
prcision les informations de surveillance en
temps rel. Une base de rfrence des
performances de votre serveur indique
lapparence de vos statistiques danalyse des
performances pendant une utilisation normale,
et vous pouvez tablir une base de rfrence en
analysant les statistiques de performances sur une
priode spcifique. Quand un problme ou un
symptme se produit en temps rel, vous pouvez
comparer vos statistiques de rfrence vos statistiques en temps rel et identifier les anomalies.
Analyse des tendances
Vous devez examiner attentivement la valeur des donnes de performance pour vrifier quelles refltent
votre environnement serveur rel.
En outre, vous devez envisager une analyse des performances, ainsi que des plans de croissance et de
mise niveau commerciaux ou technologiques. Il est possible de rduire le nombre de serveurs en service
une fois que vous avez mesur les performances et valu lenvironnement requis.
13-11
En analysant les tendances de performance, vous pouvez prdire quand la capacit existante sera puise.
Examinez lanalyse de lhistorique par rapport aux besoins de votre entreprise et dterminez partir de
vos conclusions quand la capacit des serveurs devra tre augmente. Certains pics sont associs aux
activits uniques telles que les commandes importantes. Dautres pics se produisent rgulirement,
comme le paiement mensuel des salaires. Ces pics peuvent ncessiter une capacit plus importante pour
rpondre laugmentation du nombre demploys.
La prvision des besoins en termes de capacit des serveurs est obligatoire pour toutes les entreprises.
Dans le cadre de la planification des besoins, laugmentation de la capacit des serveurs est souvent
ncessaire pour rpondre aux objectifs de lentreprise. En alignant votre stratgie informatique sur la
stratgie de votre entreprise, vous pouvez atteindre les objectifs fixs.
En outre, vous devez galement envisager de virtualiser votre environnement pour rduire le nombre de
serveurs physiques requis. Vous pouvez consolider les serveurs en implmentant le rle Hyper-V dans
lenvironnement Windows Server 2012.
Planification de la capacit
La planification de la capacit est centre sur lvaluation de la charge de travail du serveur, du nombre
dutilisateurs quil peut prendre en charge et des mthodes dvolutivit du systme pour quil puisse
rpondre ultrieurement une charge de travail plus importante et un plus grand nombre dutilisateurs.
Lajout de services et dapplications de serveur ont un impact sur les performances de votre infrastructure
informatique. Ces services peuvent recevoir le matriel ddi bien quils utilisent souvent le mme rseau
local (LAN) et la mme infrastructure de rseau sans fil (WAN). La planification des besoins en termes
de capacit doit inclure tous les composants matriels et doit tenir compte de limpact des nouveaux
serveurs, services et applications sur linfrastructure existante. Les facteurs tels que lalimentation, le
refroidissement et la capacit du rack sont souvent oublis pendant les premires phases de planification
de laugmentation de la capacit. Vous devez rflchir la manire dont vous allez adapter vos serveurs
une augmentation de la charge de travail.
Les tches telles que la mise niveau vers Windows Server 2008 R2 et la mise jour des systmes
dexploitation peuvent avoir un impact sur vos serveurs et votre rseau. Une mise jour peut parfois
produire un problme avec une application. Une analyse prcise des performances avant et aprs
lapplication des mises jour peut identifier les problmes.
Laugmentation de lactivit dune entreprise implique un plus grand nombre dutilisateurs prendre
en charge. Vous devez tenir compte des besoins de lentreprise lorsque vous achetez du matriel. Vous
devrez ainsi augmenter le nombre de serveurs ou la capacit du matriel existant lorsque de nouveaux
besoins lexigent.
Les besoins en termes de capacit sont les suivants :
plus de serveurs ;
matriel supplmentaire ;
rduction des charges des applications ;
rduction du nombre dutilisateurs.
Description des goulots dtranglement
13-12
Un goulot dtranglement au niveau des performances se produit quand un ordinateur ne peut pas grer
les demandes actuelles pour une ressource spcifique. La ressource peut tre un composant cl, tel quun
disque, une mmoire, un processeur ou un rseau. La pnurie dun composant dans un package
dapplications peut provoquer le goulot dtranglement.
En utilisant rgulirement les outils danalyse des performances et en comparant les rsultats votre base
de rfrence et aux donnes dhistorique, vous pouvez identifier les goulots dtranglement au niveau des
performances avant quils affectent les utilisateurs.
Une fois que vous avez identifi un goulot dtranglement, vous devez dcider comment le supprimer.
Les options de suppression dun goulot dtranglement sont les suivantes :
excution dun nombre rduit dapplications ;
ajout de ressources lordinateur.
Un ordinateur confront une grave pnurie de ressources peut cesser de traiter les demandes des
utilisateurs, ce qui ncessite une attention immdiate. Cependant, si votre ordinateur rencontre un goulot
dtranglement, mais continue de fonctionner dans des limites acceptables, vous pouvez dcider de
diffrer les modifications jusqu ce que vous rsolviez la situation ou que vous ayez la possibilit
de prendre des mesures correctives.
Analyse des composants matriels cls

En comprenant comment votre systme dexploitation utilise les quatre composants matriels cls
(processeur, disque, mmoire et rseau) et comment ils interagissent entre eux, vous commencez
comprendre comment optimiser les performances du serveur.
Processeur
La vitesse du processeur est un facteur important pour dterminer la capacit globale du processeur de
votre serveur. Elle est dtermine par le nombre doprations excutes dans une priode mesure. Les
serveurs quips de plusieurs processeurs ou de processeurs plusieurs curs, excutent gnralement
les tches qui sollicitent beaucoup le processeur avec une plus grande efficacit, et sont souvent plus
rapides que les ordinateurs quips dun processeur unique ou de processeurs cur unique.
Larchitecture du processeur est galement importante. Les processeurs 64 bits peuvent accder
davantage de mmoire et ont un impact significatif sur les performances. Cependant, il est important
de noter que Windows Server 2012 et Windows Server 2008 R2 sont disponibles en versions 64 bits
uniquement.
Disque
Les disques durs stockent les programmes et les donnes. Par consquent, le dbit des disques affecte
la vitesse de la station de travail ou du serveur, en particulier quand la station de travail ou le serveur
excute des tches qui sollicitent beaucoup les disques. La plupart des disques durs ont des composants
mobiles, et le placement des ttes de lecture et dcriture sur la partie approprie du disque pour
rcuprer les informations demandes peut prendre du temps.
13-13
En slectionnant des disques plus rapides et en utilisant des collections de disques pour optimiser les
temps daccs, vous pouvez limiter le risque que le sous-systme de disque cre un goulot dtranglement
au niveau des performances.
Vous devez galement garder lesprit que les informations sur le disque sont dplaces dans la mmoire
avant quelles soient utilises. Sil y a un excdent de mmoire, le systme dexploitation Windows Server
cre un cache de fichier pour les lments rcemment crits ou lus partir des disques. Linstallation
dune mmoire supplmentaire dans un serveur peut souvent amliorer les performances du soussystme de disque, car laccs au cache est plus rapide que le dplacement des informations dans la
mmoire.
Mmoire
Les programmes et les donnes sont chargs partir du disque dans la mmoire avant que le programme
manipule les donnes. Dans les serveurs qui excutent plusieurs programmes ou lorsque les ensembles de
donnes sont trs volumineux, laugmentation de la quantit de mmoire installe peut aider amliorer
les performances du serveur.
Windows Server utilise un modle de mmoire dans lequel les demandes de mmoire excessives ne sont
pas refuses, mais traites par un processus appel pagination. Pendant la pagination, les donnes et les
programmes en mmoire qui ne sont pas en cours dutilisation par les processus sont dplacs dans une
zone du disque dur, appele fichier de pagination. Cela libre de la mmoire physique pour rpondre aux
demandes excessives, mais comme un disque dur est comparativement lent, il a un impact ngatif sur
les performances de la station de travail. En ajoutant de la mmoire et en utilisant une architecture de
processeur 64 bits qui prend en charge une mmoire de plus grande taille, vous pouvez rduire la
ncessit dune pagination.
Rseau
Il est facile de sous-estimer limpact dun rseau aux performances mdiocres, car il nest pas aussi facile
dterminer ou mesurer que les trois autres composants de la station de travail. Cependant, le rseau est
un composant crucial pour lanalyse des performances, car les priphriques rseau stockent un grand
nombre de programmes, de donnes de traitement et dapplications.
Que sont les ensembles de collecteurs de donnes ?

Un ensemble de collecteurs de donnes est la
base de lanalyse et de la cration de rapports
sur les performances de Windows Server dans
lAnalyseur de performances.
Vous pouvez utiliser des ensembles de collecteurs
de donnes pour collecter des informations sur les
performances et dautres statistiques systme, sur
lesquelles vous pouvez effectuer une analyse avec
dautres outils de lAnalyseur de performances ou
des outils tiers.
Bien quil soit utile danalyser lactivit actuelle des

performances dun serveur, il peut savrer plus
utile de collecter des donnes de performances sur une priode dfinie, puis de les analyser et de les
comparer aux donnes que vous avez collectes prcdemment. Vous pouvez utiliser cette comparaison
de donnes pour dterminer lutilisation des ressources en vue de planifier leur augmentation et
didentifier des problmes de performances potentiels.
13-14
Les ensembles de collecteurs de donnes peuvent contenir les types de collecteurs de donnes suivants :
Compteurs de performance. Ce collecteur de donnes fournit les donnes de performances du

serveur.
Donnes de suivi dvnements. Ce collecteur de donnes fournit des informations sur les activits et
les vnements du systme, qui sont souvent utiles pour la rsolution des problmes.
Informations sur la configuration systme. Ce collecteur de donnes vous permet denregistrer ltat
actuel des cls de Registre, ainsi que les modifications apportes ces cls.
Vous pouvez crer un ensemble de collecteurs de donnes partir dun modle, dun ensemble de
collecteurs de donnes existant dans un affichage Analyseur de performances ou en slectionnant des
collecteurs de donnes individuels et en dfinissant chaque option dans les proprits de lensemble de
collecteurs de donnes.
Dmonstration : Capture de donnes de compteur avec un ensemble

de collecteurs de donnes
crer un ensemble de collecteurs de donnes ;
crer une charge sur le serveur ;
analyser les donnes obtenues dans un rapport.
Crer un ensemble de collecteurs de donnes
1.
Basculez vers LON-SVR1, puis connectez-vous avec le nom dutilisateur ADATUM\Administrateur

et le mot de passe Pa$$w0rd.
2.
Ouvrez lAnalyseur de performances.
3.
Crez un ensemble de collecteurs de donnes Dfini par lutilisateur avec les compteurs cls
suivants :
4.
Processeur > % Temps processeur
Mmoire > Pages/s
Disque physique > Pourcentage du temps disque
Disque physique > Longueur moyenne de file dattente du disque
Systme > Longueur de la file du processeur
Interface rseau > Total des octets/s
Dmarrez lensemble de collecteurs de donnes.
Crer une charge de disque sur le serveur

1.
Ouvrez une invite de commandes, puis utilisez la commande fsutil pour crer un fichier volumineux.
2.
Copiez le fichier sur le serveur LON-DC1 pour gnrer la charge du rseau.
3.
Crez une copie du fichier volumineux sur le disque dur local en le copiant partir de LON-DC1.
4.
Supprimez tous les nouveaux fichiers crs.
Analyser les donnes obtenues dans un rapport
13-15
1.
Basculez vers lAnalyseur de performances, puis arrtez lensemble de collecteurs de donnes.
2.
Slectionnez loutil Analyseur de performances,, puis slectionnez Affiche les donnes du journal.
3.
Ajoutez les donnes que vous avez collectes dans lensemble de collecteurs de donnes
au graphique.
4.
Basculez vers la vue Rapport.
Dmonstration : Configuration dune alerte
Les compteurs dalerte vous permettent de crer un ensemble de collecteurs de donnes personnalis
qui contient les compteurs de performance pour lesquels vous pouvez configurer des actions qui se
produisent selon que les compteurs mesurs sont suprieurs ou infrieurs aux limites que vous dfinissez.
Une fois que vous avez cr lensemble de collecteurs de donnes, vous devez configurer les actions que
le systme excutera quand les critres dalerte seront remplis.
Les compteurs dalerte sont utiles dans les situations o un problme de performances apparat
priodiquement, et vous pouvez utiliser les actions pour excuter des programmes, gnrer des
vnements ou une combinaison de ces lments.
crer un ensemble de collecteurs de donnes avec un compteur dalerte ;
gnrer une charge de serveur qui dpasse le seuil configur ;
examiner le journal dvnements pour lvnement obtenu.
Crer un ensemble de collecteurs de donnes avec un compteur dalerte
1.
Crez un ensemble de collecteurs de donnes Dfini par lutilisateur.
2.
Utilisez loption Alerte de compteur de performance, puis ajoutez uniquement le compteur

Processeur > % Temps processeur.
3.
Dfinissez le seuil de telle sorte quil soit suprieur 10 pour cent et quil gnre une entre dans le
journal dvnements lorsque cette condition est remplie.
4.
Dmarrez lensemble de collecteurs de donnes.
Gnrer une charge de serveur qui dpasse le seuil configur

1.
Ouvrez une invite de commandes, puis excutez un outil pour gnrer une charge sur le serveur.
2.
Quand loutil a t excut pendant une minute, arrtez-le.
Examiner le journal dvnements pour lvnement obtenu
Ouvrez lObservateur dvnements et examinez le journal Diagnosis-PLA pour les alertes de

performances.
Dmonstration : Affichage de rapports dans lAnalyseur de performances

Cette dmonstration explique comment afficher un rapport de performances.
Afficher un rapport de performances
1.
Dans le volet de navigation, dveloppez Rapports/Dfinis par lutilisateur/Performances

de LON-SVR1.
2.
Dveloppez le dossier sous Performances de LON-SVR1. Le prcdent processus de collecte

de lensemble de collecteurs de donnes a gnr ce rapport. Vous pouvez passer de laffichage
Graphique un autre affichage pris en charge.
3.
Fermez toutes les fentres.
Surveillance des services dinfrastructure rseau

Puisque les services dinfrastructure rseau
constituent une base essentielle de beaucoup
dautres services bass sur un serveur, il est
important quils soient configurs correctement
et sexcutent de faon optimale.
Votre organisation peut tirer parti de plusieurs
faons de la collecte de donnes lies aux
performances sur vos services dinfrastructure
rseau, notamment :
13-16
Elle aide optimiser les performances du

serveur dinfrastructure rseau. En fournissant
des bases de performances et des donnes de
tendance, vous pouvez aider votre organisation optimiser les performances du serveur
dinfrastructure rseau.
Elle permet de rsoudre les problmes de serveurs. L o les performances du serveur ont dcru, au
fil du temps ou au cours des pointes dactivit, vous pouvez aider identifier des causes possibles et
prendre les mesures ncessaires. Ainsi, il est possible de rtablir le service dans les limites de votre
contrat de niveau de service (SLA).
Elle vous permet dutiliser lAnalyseur de performances pour collecter et analyser les donnes
appropries.
Analyse du service DNS
13-17
Le systme DNS (Domain Name System) fournit des services de rsolution de noms sur votre rseau.
Vous pouvez surveiller le rle serveur DNS de Windows Server 2012 pour dterminer les aspects suivants
de votre infrastructure DNS :
des statistiques gnrales sur le serveur DNS, y compris le total des requtes et des rponses qui sont
traites par le serveur DNS ;
les compteurs des protocoles UDP (User Datagram Protocol) ou TCP (Transmission Control Protocol),
pour mesurer les requtes DNS et les rponses qui sont traites par le serveur DNS, respectivement,
laide de lun ou lautre de ces protocoles de transport ;
les compteurs de mise jour dynamiques et scuriss, pour mesurer les activits dinscription et de
mise jour qui sont gnres par les clients dynamiques ;
le compteur dutilisation de la mmoire, pour mesurer les modles dutilisation et dallocation de

mmoire du systme qui sont crs en faisant fonctionner le serveur en tant que serveur DNS ;
les compteurs de recherche rcursive, pour mesurer des requtes et des rponses quand le service
Serveur DNS utilise la rcursivit pour rechercher et rsoudre entirement des noms DNS la
demande des clients ;
les compteurs de transfert de zone, y compris les compteurs spcifiques pour mesurer ce qui suit :
tout transfert de zone (AXFR), transfert incrmentiel de zone (IXFR) et toute activit de notification
de mise jour.
Analyse du service DHCP
Le service de protocole DHCP (Dynamic Host Configuration Protocol) fournit des services dynamiques de
configuration IP sur votre rseau. Vous pouvez surveiller le rle serveur DHCP de Windows Server 2012
pour dterminer les aspects suivants de votre serveur DHCP :
La longueur moyenne de file dattente indique la longueur actuelle de la file dattente interne des
messages du serveur DHCP. Cette valeur reprsente le nombre de messages non traits que reoit le
serveur. Une valeur leve pourrait indiquer un trafic serveur lev.
Le compteur de millisecondes par paquet (moy.) indique le temps moyen en millisecondes ncessaire
au serveur DHCP pour traiter chaque paquet quil reoit. Cette valeur varie en fonction du serveur et
de son sous-systme dE/S. La prsence dun pic pourrait indiquer un problme, soit avec le soussystme dE/S devenant plus lent, soit en raison dune surcharge de traitement intrinsque sur le
serveur.
lments prendre en considration pour la surveillance dordinateurs

virtuels
La virtualisation de serveur est un lment du
systme dexploitation Windows Server depuis la
version de Windows Server 2008 et lintroduction
du rle Hyper-V. De nombreuses organisations
ont migr une partie ou lensemble de leurs
charges de travail de serveur sur des ordinateurs
virtuels qui sexcutent sur la plateforme Hyper-V.
Dun point de vue de la surveillance, il est
important de garder lesprit que les serveurs qui
sexcutent en tant quordinateurs virtuels invits
utilisent des ressources de la mme manire que
les serveurs htes physiques.
La virtualisation de serveur Hyper-V vous permet de crer des ordinateurs virtuels distincts et de les
excuter simultanment en utilisant les ressources du systme dexploitation dun serveur unique.
Ces ordinateurs virtuels sont appels invits, alors que lordinateur excutant Hyper-V est lhte.
13-18
Les ordinateurs virtuels invits fonctionnent comme des ordinateurs normaux. Les ordinateurs virtuels
invits qui sont hbergs sur le mme hyperviseur restent indpendants les uns des autres. Vous pouvez
excuter plusieurs ordinateurs virtuels qui utilisent diffrents systmes dexploitation sur un serveur hte
de manire simultane, condition que le serveur hte dispose de suffisamment de ressources.
Quand vous crez un ordinateur virtuel, vous configurez les caractristiques qui dfinissent les ressources
disponibles pour cet invit. Ces ressources comprennent la mmoire, les processeurs, la configuration du
disque et la technologie de stockage et la configuration de la carte rseau. Ces ordinateurs virtuels
fonctionnent dans les limites des ressources que vous leur allouez, et peuvent rencontrer les mmes
goulots dtranglement des performances que les serveurs htes. Par consquent, il est important que
vous surveilliez les ordinateurs virtuels de la mme manire, et avec les mmes outils, que vous surveilliez
vos serveurs htes.
Remarque : Outre la surveillance des ordinateurs virtuels invits, gardez toujours lesprit
que vous devez surveiller lhte qui les excute.
Microsoft fournit un outil, Contrle des ressources Hyper-V, qui vous permet de surveiller lutilisation de
ressources sur vos ordinateurs virtuels.
Le contrle des ressources vous permet de suivre lutilisation des ressources des ordinateurs virtuels
hbergs sur des ordinateurs Windows Server 2012 o le rle Hyper-V est install.
Grce au contrle des ressources, vous pouvez mesurer les paramtres suivants sur des ordinateurs
virtuels Hyper-V individuels :
utilisation GPU (Graphics Processing Unit) moyenne ;
utilisation moyenne de la mmoire physique, notamment :

o
utilisation mmoire minimum ;
utilisation mmoire maximum.
allocation despace disque maximum ;
trafic rseau entrant pour une carte rseau ;
trafic rseau sortant pour une carte rseau.
13-19
En mesurant la quantit de ressources utilise par chaque ordinateur virtuel, une organisation peut
facturer des services ou des clients en fonction de lutilisation de leurs ordinateurs virtuels hbergs,
au lieu dappliquer un forfait fixe par ordinateur virtuel. Une organisation comportant uniquement des
clients internes peut galement utiliser ces mesures pour dgager des modles dutilisation et prvoir
de futures extensions.
Vous effectuez des tches de contrle des ressources laide des applets de commande
Windows PowerShell du module Hyper-V Windows PowerShell. Il nexiste pas doutil dinterface
graphique utilisateur qui vous permet deffectuer cette tche. Vous pouvez utiliser les applets de
commande suivants pour effectuer des tches de contrle des ressources :
Enable-VMResourceMetering. Dmarre la collecte de donnes sur chaque ordinateur virtuel.
Disable-VMResourceMetering. Dsactive le contrle des ressources sur chaque ordinateur virtuel.
Reset-VMResourceMetering. Rinitialise les compteurs de contrle des ressources sur les

ordinateurs virtuels.
Measure-VM. Affiche des statistiques de contrle des ressources pour un ordinateur virtuel spcifique.
Leon 3
Analyse des journaux dvnements
13-20
LObservateur dvnements fournit un emplacement pratique et accessible pour vous permettre

dafficher les vnements qui se produisent et que Windows Server enregistre dans un de plusieurs
fichiers journaux selon le type dvnement qui se produit. Pour aider vos utilisateurs, vous devez savoir
comment accder rapidement et facilement aux informations sur les vnements, et comment interprter
les donnes du journal des vnements.
dcrire une vue personnalise ;
expliquer comment crer une vue personnalise ;
dcrire les abonnements aux vnements ;
expliquer comment configurer un abonnement aux vnements.
Quest-ce quune vue personnalise ?

Les journaux dvnements contiennent des
quantits importantes de donnes, et il peut tre
difficile de limiter lensemble des vnements aux
vnements qui vous intressent. Dans les versions
antrieures de Windows, vous pouviez appliquer
des filtres aux journaux, mais vous ne pouviez pas
enregistrer ces filtres. Dans Windows Server 2008
et Windows Server 2012, les vues personnalises
vous permettent dinterroger et de trier
uniquement les vnements que vous souhaitez
analyser. Vous pouvez galement enregistrer,
exporter, importer et partager ces vues
personnalises.
LObservateur dvnements vous permet de filtrer des vnements spcifiques dans plusieurs journaux,
et dafficher tous les vnements qui peuvent tre lis au problme que vous examinez. Pour spcifier
un filtre qui couvre plusieurs journaux, vous devez crer une vue personnalise.
Crez des vues personnalises dans le volet Actions de lObservateur dvnements. Vous pouvez filtrer
les vues personnalises en fonction de plusieurs critres, notamment :
heure denregistrement de lvnement ;
niveau dvnement afficher, tel que des erreurs ou des avertissements ;
journaux partir desquels inclure les vnements ;
identificateurs dvnement spcifiques inclure ou exclure ;
contexte utilisateur de lvnement ;
ordinateur sur lequel lvnement sest produit.
Dmonstration : Cration dune vue personnalise

afficher les vues personnalises de rles serveur ;
crer une vue personnalise.
Afficher les vues personnalises de rles serveur
2.
13-21
Dans lObservateur dvnements, examinez les vues personnalises Rles du serveur prdfinies.
Crer une vue personnalise

1.
Crez une vue personnalise pour slectionner les types dvnement suivants :
o
Critique
Avertissement
Erreur
Slectionnez les journaux suivants :

o
Systme
Application
3.
Nommez la vue personnalise en tant que Vue personnalise Adatum.
4.
Affichez les vnements filtrs obtenus dans le volet dinformations.
Quest-ce quun abonnement aux vnements ?
LObservateur dvnements vous permet de

consulter des vnements sur un ordinateur
distant unique. Cependant, vous devez parfois
examiner un ensemble dvnements stocks
dans plusieurs journaux rpartis sur plusieurs
ordinateurs pour pouvoir rsoudre un problme.
cet effet, lObservateur dvnements offre la
possibilit de collecter des copies dvnements
partir de plusieurs ordinateurs distants et
de les stocker localement. Pour spcifier les
vnements collecter, crez un abonnement aux
vnements. Une fois labonnement activ et les
vnements collects, il est possible de consulter et de manipuler ces vnements transfrs comme tout
autre vnement stock localement.
Pour utiliser la fonctionnalit de collecte dvnements, vous devez configurer les ordinateurs de transfert
et de collecte. La fonctionnalit de collecte dvnements repose sur les services Gestion distance de
Windows (WinRM) et Collecteur dvnements Windows (Wecsvc). Ces deux services doivent tre excuts
sur les ordinateurs qui participent au transfert et la collecte des vnements.
Activation dabonnements
Pour activer les abonnements, effectuez les tches suivantes :
1.
Sur chaque ordinateur source, excutez la commande suivante linvite de commandes avec
lvation de privilges pour activer WinRM :
winrm quickconfig
2.
Sur lordinateur de collecte, tapez la commande suivante linvite de commandes avec lvation de
privilges pour activer Wecsvc :
wecutil qc
3.
Ajoutez le compte dordinateur de lordinateur de collecte au groupe local Administrateurs sur

chaque ordinateur source.
Dmonstration : Configuration dun abonnement aux vnements

configurer lordinateur source ;
configurer lordinateur collecteur ;
crer et afficher le journal abonn.
Configurer lordinateur source
1.
Basculez vers LON-DC1 et, si ncessaire, connectez-vous avec le nom dutilisateur

ADATUM\Administrateur et le mot de passe Pa$$w0rd.
2.
Excutez la commande winrm quickconfig linvite de commandes.

Remarque : le service est dj en cours dexcution.
3.
13-22
Ouvrez Utilisateurs et ordinateurs Active Directory et ajoutez lordinateur LON-SVR1 en tant que
membre du groupe local de domaine Administrateurs.
Configurer lordinateur collecteur

1.
Basculez vers LON-SVR1, puis ouvrez une invite de commandes.
2.
Excutez la commande wecutil qc.
Crer et afficher le journal abonn

1.
Basculez vers lObservateur dvnements.
2.
Crez un abonnement pour collecter des vnements partir de LON-DC1 :.

o
initialisation par le collecteur ;
ordinateur source LON-DC1 ;
tous les types dvnements ;
les 30 derniers jours.

Scnario
13-23
assister le sige social de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure
Comme lentreprise a dploy de nouveaux serveurs, il est important dtablir une base de rfrence des
performances avec une charge normale pour ces nouveaux serveurs. Vous tes charg de travailler sur ce
projet. En outre, pour faciliter le processus de surveillance et de rsolution de problmes, vous dcidez
deffectuer une surveillance centralise des journaux des vnements.
Objectifs
tablir une base de rfrence des performances ;
identifier la source des problmes de performances ;
afficher et configurer des journaux dvnements centraliss.

22411B-LON-DC1
22411B-LON-SVR1
Nom dutilisateur
Mot de passe
Pa$$w0rd
valuation du cours
Votre valuation de ce cours aidera Microsoft
comprendre la qualit de votre exprience de
formation.
Consultez votre formateur pour accder au
formulaire d'valuation du cours.
Votre valuation est strictement confidentielle et
vos rponses cette enqute seront utilises dans
le seul but d'amliorer la qualit des prochains
cours Microsoft. Vos commentaires ouverts et
honntes sont trs prcieux.
13-31

22411B-FR-Administration de Windows Server® 2012

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

22411B-FR-Administration de Windows Server® 2012

Transféré par

Droits d'auteur :

Formats disponibles

P R O D U I T

Administration de Windows Server 2012

Administration de Windows Server 2012

Module 2 : Configuration et rsolution des problmes du systme DNS

Module 3 : Gestion des services de domaine Active Directory

Module 4 : Gestion des comptes dutilisateurs et de service

xiv Administration de Windows Server 2012

Module 5 : Implmentation dune infrastructure de stratgie de groupe

Module 6 : Gestion des bureaux des utilisateurs avec la stratgie de groupe

Module 7 : Configuration et rsolution des problmes daccs distance

Module 8 : Installation, configuration et rsolution des problmes du rle de serveur NPS

Module 9 : Implmentation de la protection daccs rseau

Administration de Windows Server 2012

Module 10 : Optimisation des services de fichiers

Module 11 : Configuration du chiffrement et de laudit avanc

Module 12 : Implmentation de la gestion des mises jour

Module 13 : Surveillance de Windows Server 2012

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Leon 1 : Vue densemble des services de dploiement Windows

Leon 2 : Implmentation dun dploiement avec les services

Leon 3 : Administration des services de dploiement Windows

Atelier pratique : Utilisation des services de dploiement Windows

Contrle des acquis et lments retenir

Vue densemble du module

Dcrire les principales fonctionnalits et caractristiques des services de dploiement Windows.

Configurer les services de dploiement Windows dans Windows Server 2012.

Excuter des dploiements avec les services de dploiement Windows.

Dploiement et maintenance des images de serveur

Vue densemble des services de dploiement Windows

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

dcrire le fonctionnement des services de dploiement Windows ;

dcrire les composants des services de dploiement Windows ;

dcrire les avantages des services de dploiement Windows ;

Que sont les services de dploiement Windows ?

Ils vous permettent dexcuter des

Ils simplifient le processus de dploiement

Ils prennent en charge le dploiement sur les

Ils fournissent des solutions de dploiement

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

Les services de dploiement Windows permettent le dploiement automatis de systmes dexploitation

Windows Server 2003

Windows Vista avec Service Pack 1 (SP1)

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Systmes dexploitation avec composants

Dploiement et maintenance des images de serveur

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Composants des services de dploiement Windows

Serveur PXE (Pre-Boot Execution

Il se lie aux interfaces rseau.

Il dtecte les requtes PXE entrantes.

Client des services de dploiement Windows

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

Avec les services de dploiement Windows, la transmission dimages de systme dexploitation

La diffusion planifie. Il existe deux faons de configurer une diffusion planifie :

Pourquoi utiliser les services de dploiement Windows ?

Dploiement et maintenance des images de serveur

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Dmarrer votre ordinateur de rfrence partir du rseau en utilisant lenvironnement PXE.

Excuter une installation standard de Windows 8 partir de limage install.wim.

Gnraliser lordinateur de rfrence avec loutil de prparation systme (Sysprep).