Académique Documents
Professionnel Documents
Culture Documents
Preparation Pour 70-640
Preparation Pour 70-640
Chapitre 1
512 Mo de RAM
10 Go d’espace disque libre
Un processeur x86 cadencé au minimum à 1 GHz
Un processeur x64 cadencé au minimum à 1,4 GHz
- Active Directory n’est qu’une solution de gestion des identités et des accès (IDA,
Identity and Access).
Mémoriser les informations sur les utilisateurs, les groupes et les autres identités.
Authentifier une identité (Authentification Kerberos dans un domaine).
Contrôler les accès (Exemple : ACL).
Fournir une trace d’audit.
Dans les versions précédentes de Windows Server, ce composant était appelé ADAM
(Active Directory Application Mode).
Ce composant prend en charge les applications fonctionnant avec un annuaire.
L’annuaire AD LDS ne stocke et ne réplique que les informations associés aux
applications.
AD LDS permet de déployer un schéma personnalisé pour prendre en charge une
application sans modifier celui d’AD DS.
Chaque application peut être déployée avec son propre schéma AD LDS.
AD LDS ne dépend pas d’AD DS et peut être installé sur un environnement autonome
comme un groupe de travail.
Active Directory permet déjà de sécuriser l’accès à une ressource au moyen d’une
ACL mais rien ne contrôle ce qui arrive au document ou à son contenu une fois que
l’utilisateur l’a ouvert. AD RMS permet de contrôler l’intégrité des ressources au-delà
du contrôle d’accès standard.
AD RMS permet ainsi de protéger l’information au moyen de stratégies qui
définissent les usages autorisés ou interdit sur une ressource.
A l’aide d’une stratégie AD RMS, il est ainsi possible d’autoriser un utilisateur à lire
un document mais pas de l’imprimer, ni de copier son contenu.
Pour l’utilisation de cette technologie, il faut disposer au minimum d’un domaine
Active Directory sous Windows 2000 Server SP3, IIS, un serveur de base de données
tel que Microsoft SQL, un navigateur web supportant RMS comme Internet Explorer
et le pack Microsoft Office.
AD RMS peut être couplé à AD CS pour protéger les documents à l’aide de certificats.
Le schéma permet de définir les différentes classes d’objets et attributs que peut
contenir un annuaire Active Directory.
Un compte d’utilisateur dans un domaine Active Directory sera définit dans le schéma
à l’aide de la classe d’objet « User » et possèdera les attributs « Nom », « Prénom »,
« login », « mot de passe », etc…
- Le catalogue global :
Cette partition d’Active Directory contient des informations sur tous les objets de
l’annuaire. Elle contient une réplique partielle d’objets de l’annuaire.
C’est une sorte d’index qui permet de localiser des objets dans l’annuaire.
« %SystemRoot%\Ntds\Ntds.dit »
- Une forêt :
- Un arbre :
C’est un ensemble de domaines situés sous une racine unique formant un espace de
nom DNS contigus.
Plusieurs arbres dont l’espace de noms DNS n’est pas contigu constituent une forêt.
Les objets d’un domaine peuvent être contenus dans un conteneur nommé « unité
d’organisation » ou « OU ».
Une OU permet d’organiser les objets d’un domaine afin de les gérer à l’aide d’objets
de stratégies de groupe.
- Un site :
- A l’identique de Windows Vista, l’installation de Windows Server 2008 est basé sur
une image au format « Install.wim » (Environnement WinPE).
- Pour installer la version minimale de Windows Server 2008, il faut disposer au moins :
256 Mo de RAM
3 Go d’espace disque libre
Un processeur x86 cadencé au minimum à 1 GHz
Un processeur x64 cadencé au minimum à 1,4 GHz
Chapitre 2
- Dans les « Best Practices Microsoft », un administrateur doit toujours ouvrir une
session sur sa machine cliente avec un compte d’utilisateur standard, et démarrer les outils
d’administration en utilisant la commande « Exécuter en tant qu’administrateur ».
Cette commande recherchera tous les utilisateurs dont le nom commence par « James »
Exemple 2 : OU=Utilisateurs,DC=contoso,DC=com
- Les autorisations d’un objet sont appelés des entrées de contrôles d’accès (ACE,
Access Control Entries) et son affectés à des groupes ou des ordinateurs (appelés entités de
sécurité)
- Les ACE sont sauvegardés dans la liste de contrôle d’accès discrétionnaire (DACL,
Discretionary Access Control List).
- Pour accéder à l’ACL (Access Control List) d’un objet, il suffit d’afficher les
Fonctionnalités avancées de la console Utilisateurs et Ordinateurs Active Directory, d’afficher
les propriétés d’un objet et cliquer sur l’onglet « Sécurité ».
- Pour afficher la DACL d’un objet, il suffit de cliquer sur le bouton « Avancé » dans
l’onglet « Sécurité » d’un objet :
- La délégation est le résultat des autorisations, ou ACE, sur la DACL des objets AD.
- Une délégation est l’action d’attribuer à une personne ou un groupe, des droits
administratifs sur des objets de l’AD.
- Pour vérifier avec efficacité les autorisations d’un objet, tapez la commande suivante :
- Best Practice : Lorsqu’on conçoit une structure d’où dans un AD, il faut créer des OU
par type d’objet. Par exemple, une OU nommée « People » sera dédiée à héberger le compte
des utilisateurs et non des ordinateurs.
- Par défaut et pour des raisons de sécurité, un compte d’utilisateur standard n’a pas le
droit de se connecter sur un contrôleur de domaine. Pour l’autoriser temporaire à des fins de
tests, vous pouvez ajouter le compte de l’utilisateur dans le groupe « Opérateurs
d’impression ».
- Avec Windows Server 2008, il est possible d’ouvrir plusieurs session localement sur
un contrôleur de domaine afin de switcher entre les sessions ouvertes sont fermer les
programmes de l’utilisateur en cours.
Chapitre 3
- Lorsqu’on utilise les commandes CSVDE ou LDIFDE, il faut utiliser les paramètres
« -i » pour spécifier le mode « importation », « -f » pour spécifier le nom du fichier à importer
et « -k » pour spécifier que l’on souhaite exécuter la commande en ignorant les erreurs.
Exemple :
Exemple :
- Il est également possible de créer des objets dans l’AD avec Vbscript.
Exemple :
objUser.SetInfo()
Chapitre 4
- Dans l’AD, il existe 7 types de groupes différents : Deux types de groupes de domaine
avec trois étendues chacun et des groupes de sécurité locaux.
- Lorsqu’on créé des groupes dans AD, il faut s’assurer qu’on respecte une convention de
nommage définit à l’avance.
- Il existe deux types de groupe : Des groupes de sécurité et des groupes de
distribution.
- Les groupes de sécurité sont des entités de sécurité dotées d’identificateur de sécurité
(SID). En conséquence, ils peuvent faire office d’entrée d’autorisation dans des ACL pour
contrôler la sécurité de l’accès aux ressources. Les groupes de sécurité peuvent être utilisé
comme groupes de distribution par les applications de messagerie.
- Dans les best Practices, si vous avez un groupe qui ne sert que de liste de distribution,
il est recommandé de le créer en tant que groupe de distribution. Sinon le groupe reçoit un
SID qui est ajouté au jeton d’accès de sécurité de l’utilisateur ce qui peut conduire à un
problème d’augmentation des jetons (token bloat).
- Les groupes locaux ne servent qu’à gérer la sécurité des ressources sur un système et
sont créés uniquement dans la base de données SAM d’un serveur membre du domaine. Les
groupes locaux peuvent héberger tout types de ressource en provenance de n’importe quel
domaine approuvé.
- Les groupes de domaines locaux ne servent qu’à gérer des entités de sécurité dans le
domaine. Ils peuvent héberger tout type de ressource en provenance de n’importe quel
domaine approuvé et sont répliqués sur l’ensemble des contrôleurs de domaine.
- Les groupes globaux ne servent qu’à définir des collections d’objets des domaines
basés sur des rôles. Ces derniers ne peuvent héberger uniquement des ordinateurs, des
utilisateurs ou des groupes globaux du même domaine. Ils sont répliqués vers l’ensemble des
contrôleurs de domaine.
- Une fois qu’un groupe est créé, il est possible de modifier sont étendue.
- Un « Shadow Group » est un concept dans l’Active Directory qui consiste à créer un
groupe de sécurité qui contiendrait tous les utilisateurs d’une unité d’organisation afin d’y
gérer des droits d’accès sur des ressources.
- Les groupes par défaut sont des groupes qui existent à l’installation de l’OS ou de
l’AD. Exemple : Le groupe administrateur de l’entreprise, administrateur du domaine,
opérateur de serveur, opérateur de compte, opérateur d’impression etc.
- Une unité spéciale est un groupe particulier qui est gérer par le système d’exploitation.
Exemple : Groupe tout le monde, ouverture de session anonyme, interactif, réseau, etc.
Chapitre 5
- Afin de rediriger le répertoire par défaut des ordinateurs qui joigne un domaine, il suffit
d’utiliser la commande « redircmp » : redircmp [DN pour les nouveaux objets ordinateurs]
- Par défaut, les utilisateurs peuvent joindre 10 machines au domaine avec leur compte.
Si on veut interdire la possibilité de joindre une machine au domaine pour un compte
standard, il suffit d’utiliser ADSI et de modifier l’attribut « ms-DS-MachineAccountQuota »
à 0.
- Il est recommandé de nommé les comptes d’ordinateur de façon a pouvoir les identifier
rapidement dans l’AD ou même reconnaitre plus facilement la différence entre un portable et
un ordinateur fixe.
- Tout comme les objets utilisateurs, il est possible d’utiliser les commandes Powershell,
CSVDE, LDIFDE, NETDOM ou les commandes DS pour gérer, importer ou exporter les
comptes d’ordinateurs.
- Pour recycler un ordinateur et l’utiliser à d’autres fins tout en gardant son appartenance
aux différents groupes de sécurité, il suffit juste de réinitialiser son mot de passe et joindre
une machine au domaine.
RAPPEL : Chaque objet Active Directory possède un GUID (Globally Unique IDentifier)
qui identifie de manière unique l’objet dans l’annuaire.
Chapitre 6
- Une stratégie de groupe (GPO, Group Policy Objet) est un objet qui permet
d’appliquer des paramètres personnalisés aux objets d’une OU.
- Pour éditer une GPO, il faut utiliser le composant « Gestion de Stratégie de groupe »
(GPMC, Group Policy Management Console)
- Les GPO basés sur le domaine sont stockés sur les contrôleurs de domaines.
- Le client de stratégie de groupe est un service qui se charge de télécharger les GPO qui
ne sont pas encore en cache. Une fois téléchargé, une série de processus appelé extension côté
client (CSE, Client-Side Extension) se chargent d’interpréter les paramètres du GPO.
- Le GPC est un objet Active Directory stocké dans le conteneur Objets de stratégie de
groupe. Ce dernier définit les attributs du GPO mais ne contient aucuns paramètres. Le GUID
de cet objet définira le nom de la collection de fichier (GUID GPO)
- Le GPT désigne les paramètres du GPO qui sont stockés dans une collection de fichiers
stockée dans le dossier SYSVOL des contrôleurs de domaine à l’emplacement suivant :
- GPSI (Group Policy Software Installation) est un élément de la stratégie de groupe qui
permet de gérer l’installation de logiciel.
- Dans un domaine AD, les GPC sont répliqués par l’Agent de Réplication (DRA,
Directory Replication Agent) et les GPT sont répliqués via le service de réplication de
fichiers (FRS, File Replication Service). Si tous les contrôleurs de domaine exécutent
Windows Server 2008, il est possible de configurer la réplication du répertoire SYSVOL avec
DFS (DFS-R, Distributed File System Replication).
- Si la réplication des GPC et GPT n’est plus synchrone, il est possible d’utiliser l’outil
« gpotool.exe » afin de dépanner l’état des GPO.
- Les modèles d’administration sont une collection de paramètres stockés dans un fichier
« *.ADM / *.ADMX / *.ADML ». Lorsqu’on importe un de ces fichiers, l’éditeur de
stratégie de groupe (GPME, Group Policy Management Editor) les extraits depuis le poste
local.
- Le Magasin Central est un dossier unique dans SYSVOL qui permet de centraliser
l’importation des fichiers d’administration pour l’ensemble des contrôleurs de domaine.
- Un GPO Starter est une nouvelle fonctionnalité de Windows Server 2008. Elle
permet de créer un nouveau GPO pré peuplé des paramètres du GPO Starter.
- On dit qu’un paramètre de stratégie est « géré » lorsque ce dernier n’applique plus les
paramètres du GPO une fois désactivé, supprimé ou que l’ordinateur n’est plus dans l’étendue
du GPO.
- On dit qu’un paramètre de stratégie est « non géré » lorsque ce dernier s’applique
encore après que le GPO soit désactivé, supprimé ou que l’ordinateur n’est plus dans
l’étendue du GPO.
- Windows Server 2008 donne la possibilité d’attacher des commentaires aux GPO.
- L’héritage des GPO fonctionne à l’aide d’un système de priorités. Un GPO avec une
priorité « 1 » prévaut sur les autres GPO. Par défaut, l’arborescence de l’AD contient des
niveaux de priorités différents (Un site AD étant le niveau le plus haut). Dans l’ordre de
priorité la plus élevé : Site, Domaine, OU
- Il est possible de bloquer l’héritage des droits administratifs sur une OU.
- L’option « Filtrage de Sécurité » d’un GPO permet de spécifier les utilisateurs
concernés par le GPO.
- L’option « Appliqué » du paramètre d’un GPO permet de définir une priorité de niveau
supérieur aux autres GPO.
Fusionner : Une fois que les paramètres des GPO étendus à l’utilisateur sont
appliqués, le système applique les paramètres de stratégie de groupe étendus à
l’ordinateur.
Remplacer : Les paramètres de la configuration utilisateur des GPO étendus à
l’utilisateur ne sont pas appliqués. En lieu et place, seuls les paramètres de la
configuration utilisateur des GPO étendus à l’ordinateur le sont.
- La GPMC possède un outil qui permet de générer des rapports du jeu de stratégie
résultant sur une machine distante ou locale. Les prés requis liés à cet outil sont les suivants :
- Les rapports du jeu de stratégie résultant sont disponibles au format DHTML (HTML
Dynamique)
- La GPMC possède un outil qui permet de modéliser l’application des paramètres de
Stratégie de groupe. Grâce à cet outil, il est possible de simuler l’impacte des paramètres
d’une GPO sur un système avant de l’appliquer.
Chapitre 7
- Tous les serveurs Windows 2008 possède un GPO local qui peut être configuré via le
composant « Editeur d’objet de stratégie de groupe » ou via la console « Stratégie de
sécurité locale ». Les contrôleurs de domaine quant à eux ne disposent pas de GPO local mais
des paramètres de sécurités configurés au niveau des GPO de domaine nommé « Default
Domain Policy » et « Domain Controllers Policy »
- Lors de l’installation d’un contrôleur de domaine, un modèle de sécurité par défaut est
appliqué par Windows. Ce dernier est situé à l’emplacement suivant :
%SystemRoot%\Security\Templates\DC security.inf
- Le composant logiciel enfichable « Configuration et Analyse de la Sécurité » permet
d’appliquer un modèle de sécurité mais également d’analyser la configuration actuelle de la
sécurité d’un système et de la comparer à une base (fichier *.sdb) enregistrée sous forme de
modèle de sécurité.
« %SystemRoot%\Security\Msscw\Kbs ».
- Lorsqu’on utilise des GPO pour installer des logiciels, il est possible d’attribuer ou
publier des applications
Attribuer : Une application est dite « attribuée » lorsque celle-ci est installée sur
l’ordinateur lors du processus de démarrage. Une application peut être attribuée à un
utilisateur ou à un ordinateur.
Publier : Une application est dite « publiée » lorsque celle-ci est rendue disponible à
l’utilisateur dans le menu « Ajout suppression de programmes » à l’ouverture de
session. L’utilisateur a le choix d’installer l’application en cliquant dessus dans le
panneau de configuration ou en cliquant sur un type de fichier associé à l’application.
Il n’est pas possible de publier une application pour un ordinateur mais seulement à un
utilisateur.
- Par défaut, GPSI test les performances du réseau avant d’appliquer le paramètre de
stratégie de groupe. Si une liaison lente est détecté (Moins de 500 Kbits/s), les paramètres lié
à GPSI ne seront pas traités. Il est possible de modifier la vitesse de connexion qui définie une
connexion lente en configurant un seuil plus bas via les modèles d’administration d’un GPO à
l’emplacement suivant :
- La stratégie d’audit configure un système pour qu’il audite des catégories d’activités.
Par défaut, tous les évènements d’échec ne sont pas audités. Il est important de définir à
l’avance ce que l’on souhaite auditer car manipuler les audites via les journaux d’évènement
peut se relever bien compliquer à évaluer.
- Auditer les évènements d’échec permet de contrôler les tentatives malveillantes d’accès
aux ressources pour lesquelles l’accès est refusé ou d’identifier les tentatives d’accès à un
fichier ou un dossier auquel l’utilisateur demande à accéder.
- Il ne faut pas abuser de l’audit Windows car les journaux ont tendance à grossir très
rapidement.
- Configurer les entrées d’audit sur un fichier ou un dossier n’active pas en soi l’audit.
L’audit doit être activé en définissant le paramètre « Auditer l’accès aux objets » dans un
GPO (Local ou de domaine étendu au serveur qui contient l’objet à auditer).
- Pour évaluer les évènements relatifs à l’activation de l’audit sur un serveur, il suffit
d’ouvrir les journaux de sécurité Windows depuis les outils d’administration.
- Windows Server 2008 introduit une nouvelle catégorie d’audit appelée « Modification
du service d’annuaire ». Cela permet d’avoir accès aux valeurs précédentes d’un objet audité
lorsque ces attribues sont modifiés. Cette catégorie n’est pas activé par défaut car il faut taper
la ligne de commande suivante pour :
- Il faut toujours modifier la liste SACL d’un objet pour spécifier les attributs à auditer.
Chapitre 8
- Une nouvelle notion dans Windows Server 2008, ce sont les contrôleurs de domaine
en lecture seul (RODC : Read Only Domain Controller)
- Par défaut, dans un domaine Windows Server 2008, les utilisateurs doivent changer
leur mot de passe tous les 42 jours. Ce mot de passe doit contenir au moins 7 caractères et
répondre à des exigences de complexité.
- « Les stratégies de mot de passe à grain fin » permettent de configurer une stratégie
de mot de passe dont l’étendue sera un ou plusieurs groupes, ou un ou plusieurs utilisateurs.
Pour utiliser ces nouvelles stratégies, il faut être dans un niveau fonctionnel de domaine
Windows Server 2008. Les paramètres de cette nouvelle stratégie sont identiques aux
paramètres de stratégie de mot de passe du domaine, sauf qu’ils ne s’appliquent pas en tant
que GPO mais sont contenu dans une class d’objet spécifique qui maintient le paramétrage de
ces stratégies : PSO, Password Settings Objet
- Un PSO possède dispose d’un attribue qui défini sa priorité. Cette priorité est définie
par un nombre supérieur à 0. Le chiffre 1 indique que la priorité est la plus élevé.
- L’audit permet de journaliser des évènements qui concernent plusieurs types d’activités
qu’ils soient une réussite ou un échec.
- Un RODC (Read Only Domain Controller) permet d’authentifier des utilisateurs situés
dans une succursale d’une entreprise et qui contient une copie de tous les objets du domaine et
de tous les attributs à l’exception des données confidentielles comme les mots de passe. Pour
authentifier un utilisateur, un RODC transmet les requêtes d’authentification à contrôleur de
domaine principal (en écriture).
- Etant données que les mots de passes des utilisateurs ne sont pas stockées sur les
RODC, il est possible de configurer une stratégie de réplication des mots de passe appelé
PRP (Password Replication Policy).
- Pour déployer un RODC, il est impératif que le niveau fonctionnel de domaine soit au
minimum en Windows Server 2003 et qu’un contrôleur de domaine Windows Server 2008
en écriture soit accessible.
- Pour séparer les rôles d’administratif sur un RODC, il suffit de taper la commande
suivante : dsmgmt
Chapitre 9
- DNS (Domain Name System) est une composante essentielle des services AD DS. Sans
DNS il n’y aurait pas d’Internet car ce système permet de convertir une adresse IP en nom de
domaine plus commode à mémoriser.
- DNS fonctionne sur les protocoles IPv4 (32 bits) et IPv6 (128 bits)
- DNS communique sur l’Internet ou le réseau interne via le port TCP/IP 53. Tous les
clients DNS sont configurés sur ce port pour localiser des informations sur les noms des
ordinateurs.
- IPv6 est intégré à Windows Server 2008, et les adresses IP sont composées de huit
sections de 16 bits pour créer une adresse en 128 bits généralement affiché au format
hexadécimal.
- Lorsqu’il n’y a pas de serveur DHCP (Dynamic Host Configuration Protocol) sur le
réseau, les cartes réseaux configurées avec le protocole IPv6 reçoivent l’adresse « FE80 :: »
qui est l’équivalent de l’adresse APIPA (Automatic Private IP Adressing).
- Dans l’adresse « FE80 :: », les deux doubles points représentent toutes les sections de
16 bits qui sont composés de zéros.
Attribué par défaut lorsqu’IPv6 est activé. C’est l’équivalent de l’adressage APIPA sur
IPv4 (169.254.0.0/16)
Ces adresses peuvent être routées localement uniquement. Il n’est pas possible de les
router vers Internet. C’est l’équivalent des adresses de classe A, B et C sous IPv4
(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
Ces adresses sont routables sur Internet et permettent une communication directe avec
tout type de périphérique. C’est l’équivalent des adresses IP publique sous IPv4.
L’avantage sous IPv6 est que l’attribution des adresses IP peut atteindre au totale 340
milliards de milliards de milliards de milliards – soit 2 puissance 128 adresses.
- Le protocole PNRP peut s’étendre à des milliards de noms contrairement à DNS qui
n’héberge qu’un petit nombre de noms. Grâce à ce système distribué, PNRP est donc tolérant
aux pannes. La publication de noms est instantanée, gratuite et n’exige pas d’intervention
humaines.
- Les serveurs DNS dynamiques (DDNS, Dynamique Domain Name Server) autorisent
la mise à jour automatique des clients qui peuvent s’auto-inscrire sur le serveur DNS.
- Les serveurs DNS en lecture seule sont également nommés « serveur DNS
secondaire ». Les données ne peuvent pas être modifiées manuellement car la réplication est
unidirectionnelle du serveur principal. Ce type de serveur est également installé sur les
RODC.
- Le « Whole-brain » est le fait d’utiliser un nom de domaine Internet différent que celui
du domaine Active Directory interne. Il est recommandé d’utiliser cette méthode.
Zone DNS intégrée à Active Directory : C’est une zone qui est hébergé dans la base
de données des services AD DS (NTDS.Edit).
Vieillissement : On donne cette appellation à un enregistrement DNS qui a expiré en
raison de sa durée de vie jugée trop vieux pour être considéré comme toujours actif.
Partition d’annuaire d’application : C’est une partition personnalisée qui peut
héberger les données d’annuaire liés aux applications ou des données DNS liés au
domaine racine d’une forêt.
DDNS : Ce service DNS peut être mis à jour automatiquement par les clients
possédant un compte AD DS. Par défaut, l’installation des services AD DS installent
le service DDNS.
Notification DNS : Ce sont des alertes automatiques qui avertissent un serveur DNS
secondaire que des mises à jour sont disponibles afin de lancer le processus de
transfert de zone vers des serveurs en lecture seule.
Zone DNS de domaine : C’est une zone qui contient les enregistrements d’un
domaine particulier qu’il soit issue d’un domaine racine, d’un domaine enfant ou au
sein d’une forêt AD DS.
Zone DNS de forêt : C’est une zone qui contient les enregistrements qui se rapportent
à l’ensemble d’une forêt AD DS.
Recherche directe : Ce mode de fonctionnement du serveur DNS à pour but de faire
correspondre les requêtes FQDN (transmise par un client) à une adresse IP
Zone de recherche directe : C’est un conteneur DNS qui contient les
correspondances FQDN/IP pour les recherches directes
Redirecteur : C’est un mécanisme qui permet aux serveurs DNS de transférer les
requêtes inconnues reçus des clients vers des serveurs DNS externes approuvé.
Zones GlobalNames Zone : C’est une zone DNS qui a été conçu pour remplacer les
serveurs WINS sur un réseau Windows. Ces zones gèrent des noms NetBIOS.
Zone de stub : C’est une zone spéciale qui n’héberge que les enregistrements des
autres serveurs DNS qui assurent la maintenance de la zone en cours.
TTL (Time to Live) : C’est la valeur qui est attribué à un enregistrement et qui
détermine sa durée de vie avant de considérer l’enregistrement comme expiré.
Recherche inversée : Ce mode de fonctionnement du serveur DNS à pour but de faire
correspondre les requêtes de résolution d’adresses IP en nom FQDN.
Enregistrement SOA (Start of Authority) : C’est un enregistrement qui contient des
informations de domaine, comme la planification des mises à jour des enregistrements,
les intervalles utilisés par les autres serveurs pour vérifier les mises à jour et la date et
l’heure de la dernière mise à jour…
Enregistrement SRV : Désigne l’emplacement d’un service dans un enregistrement
DNS qui comprend l’adresse IP du serveur et le port associé au service.
Alias (CNAME) : C’est un enregistrement DNS utilisé pour indiqué un alias d’un
nom déjà spécifié comme étant un autre type d’enregistrement dans une zone
spécifique. On l’appel aussi enregistrement de nom canonique.
Serveur de messagerie (MX) : Cet enregistrement désigne les noms des serveurs de
messagerie vers lesquels les messages électroniques d’un domaine doivent être
acheminés
- Le protocole WPAD (Web Proxy Automatic Discovery Protocol) est utilisé par les
navigateurs web pour rechercher automatiquement les paramètres de proxy.
- Les listes rouges de requêtes globales permettent d’accroitre la sécurité des protocoles
WPAD et ISATAP en bloquant des plages d’adresses spécifiques.
- Par défaut, lors de l’installation du service DNS dans un environnement AD DS, une
zone de recherche directe sera créée pour toute la forêt et portera le nom suivant :
_msdcs.nomdomain
- L’attaque des serveurs DNS par déni de service (DoS, Denial-of-Service) est la plus
fréquente. Cette opération consiste à inonder de requête le service DNS jusqu’à ce qu’il ne
puisse plus répondre à des requêtes valides.
- L’attaque des serveurs DNS par encombrement du réseau consiste à modifier les
données d’un serveur afin de le rediriger vers un serveur DNS qui est sous le contrôle du
pirate.
- Chaque enregistrement de noms se voit attribuer un TTL. Lorsque cette valeur expire,
l’enregistrement doit être supprimé pour que les utilisateurs effectuant une recherche
n’obtiennent pas de résultats faussement positifs. C’est pourquoi il est important de
configurer le nettoyage de la zone pour tous les serveurs DNS.
- Les enregistrements SOA indique les divers intervalles et paramètres temporels des
enregistrements, l’intervalle d’actualisation et la durée de vie.
- Il est utile de créer des ZRI (Zone de Recherche Inversée) si vous possédez des
applications sur votre réseau qui nécessite d’utiliser la résolution d’une adresse IP en nom ou
si votre réseau dépasse les 500 ordinateurs.
- Pour créer des enregistrements dans une Zone de recherche directe GlobalNames
(Fonction de remplacement du Wins), il faut d’abord activer la fonction via la commande
suivante :
- Une fois la ZRD GlobalNames activée, il faut ajouter des enregistrements de noms en
une seule partie via la commande suivante :
- Pour modifier une liste rouge de requêtes globale, il faut exécuter la commande
suivante :
- Sous Windows Server 2003, les réplications AD étaient gérer via le système FRS (File
Replication Service). Avec Windows Server 2008, une nouvelle fonctionnalité visant à
remplacer FRS a été ajouté : DFS-R (Distributed File System Replication)
- Pour créer un contrôleur de domaine via un fichier de réponse, il suffit de taper la ligne
de commande suivante :
[DCINSTALL]
ReplicaOrNewDomain=domain
NewDomain=forest
InstallDN S=yes
SafeModeAdminPassword=mot de passe
RebootOnCompletion=yes
- Si on souhaite installer un contrôleur de domaine Windows Server 2008 dans une forêt
qui contient des serveurs Windows 2000 ou Windows 2003, il est important de préparer la
forêt afin de mettre à jour le schéma Active Directory existant avec les nouveaux objets de
l’AD 2008.
- Pour préparer une forêt Windows 2000 ou Windows 2003, il faut identifier le
contrôleur de domaine ayant le rôle FSMO « Contrôleur de schéma », puis copier le contenu
du répertoire « \Sources\Adprep » du DVD de Windows Server 2008. Ensuite, il faut ouvrir
une invite de commande en se positionnant dans le dossier « Adprep » pour taper la
commande suivante :
adprep /forestprep
Une fois la forêt préparée. Il faut identifier le contrôleur de domaine ayant le rôle FMSO
« Maître d’infrastructure » pour y copier le contenu du répertoire « \Sources\Adprep » du
DVD de Windows Server 2008. Ensuite, il faut ouvrir une invite de commande en se
positionnant dans le dossier « Adprep » pour taper la commande suivante :
Adprep /rodcprep
- Pour organiser l’installation d’un contrôleur de domaine en lecture seule dans une
succursale qui ne dispose pas de personnel informatique, il est possible de créer le compte
d’ordinateur pour le RODC soit même dans l’OU « Domain Controller » :
Ensuite, il ne reste plus qu’à utiliser une ligne de commande sur le serveur RODC pour
joindre le domaine :
Ou
Exécuter Ntdsutil.exe dans une invite de commande et taper : activate instance ntds puis
ifm
Ensuite, il faut taper une des lignes de commande suivante pour créer le support :
Create sysvol full [chemin] : Crée le support d’installation avec SYSVOL pour un
DC accessible en écriture dans le dossier spécifié par [chemin]
Create full [chemin] : Crée le support d’installation sans SYSVOL pour un
contrôleur de domaine accessible en écriture ou une instance AD LDS (Active
Directory Lightweight Directory Services) dans le dossier spécifié par [chemin]
Create sysvol rodc [chemin] : Crée un support d’installation avec SYSVOL pour un
contrôleur de domaine en lecture seule dans le dossier spécifié par [chemin]
Create rodc [chemin] : Crée le support d’installation sans SYSVOL pour un
contrôleur de domaine en lecture seule dans le dossier spécifié par [chemin]
Quand le support est créé, il faut exécuter l’assistant Installation des services de domaine
Active Directory en cochant la case « Utiliser l’installation en mode avancé ». Choisir
ensuite « Répliquer les données à partir d’un support à l’emplacement suivant ».
Maîtres d’opérations
Rôles de maîtres d’opérations
Rôles de maître unique
Jetons d’opérations
Rôles FSMO (Flexible Simple Master Operations)
- Le maître RID (Relative Identifier) joue un rôle majeur dans la génération des SID
(Identificateur de sécurité) pour des entités de sécurité telles que les utilisateurs, les groupes et
les ordinateurs. Le SID d’une entité de sécurité doit être unique. Comme n’importe quel
contrôleur de domaine peut créer des comptes et donc des SID, il doit exister un mécanisme
qui garantisse que les SID générés par un contrôleur de domaine soient uniques. Les
contrôleurs de domaine Active Directory génèrent des SID en assignant un ID relatif (RID) au
SID du domaine pour chaque objet de l’annuaire. Le maître RID du domaine alloue des pools
de RID uniques à chaque contrôleur de domaine du domaine. Ainsi, chacun d’eux peut être
certains que les SID qu’il génère sont uniques.
NB : Le maître RID se comporte exactement un serveur DHCP pour les SID. Au lieu
d’affecter des adresses IP unique aux ordinateurs d’un réseau, le maître RID affectera des
pools RID aux contrôleurs de domaine pour la création des SID.
- Il est recommandé de placer les rôles « maître RID » et « maître d’émulateur PDC »
sur le même contrôleur de domaine.
- Pour identifier les contrôleurs de domaine qui possèdent les « rôles de maître RID »,
« maître d’émulateur PDC » et « maître d’infrastructure », il suffit d’ouvrir le composant
logiciel enfichable « Utilisateur et ordinateurs Active Directory », de faire un clic droit sur
le domaine et de cliquer sur « Maîtres d’opérations » :
- Pour identifier le contrôleur de domaine qui héberge le rôle « maître d’attribution des
noms de domaines », il suffit d’ouvrir le composant logiciel enfichable « Domaines et
approbations Active Directory », de faire un clic droit sur le nœud racine et de cliquer sur
« Maîtres d’opérations » :
- Pour identifier le contrôleur de domaine qui héberge le rôle « contrôleur de schéma »,
il suffit d’ouvrir le composant logiciel enfichable « Schéma Active Directory », de faire un
clic droit sur le nœud racine et de cliquer sur « Maîtres d’opérations » :
- Pour identifier les maîtres d’opérations, il est possible d’utiliser les commandes
suivantes :
Ntdsutil roles connections connect to server « list roles for connected server »
- Pour transférer des rôles FSMO, il est possible d’utiliser les outils d’administration
correspondant à chaque rôle. En se connectant sur le contrôleur de domaine adéquat, il est
possible de transférer le rôle via le menu « Maître d’opérations » :
- Si un contrôleur de domaine crash alors qu’il héberge un rôle FSMO, il est possible de
prendre le rôle FMSO manquant et le dédier à un autre contrôleur de domaine en récupérant le
jeton des opérations.
- Lorsqu’on prend possession d’un des rôles suivant, il n’est pas possible de remettre
en ligne le contrôleur de domaine qui accomplissait le rôle :
Maitre RID
Contrôleur de schéma
Maître d’attribution des noms de domaine
- Lorsqu’on prend possession d’un des rôles suivant, il est possible de remettre en ligne
le contrôleur de domaine qui accomplissait le rôle puis de lui transférer de nouveau le rôle à
sa reconnexion :
Emulateur PDC
Maître d’infrastructure
Ntdsutil
Roles
Connections
Connect to server [FQDN_DU_SERVEUR]
Quit
Seize role
o Contrôleur de schéma
o Maître de schema
o Maître d’attribution des noms de domaine
o Maître RID
o Emulateur PDC
o Maître d’infrastructure
- Dans les précédentes versions de Windows Server, le répertoire SYSVOL était répliqué
sur l’ensemble des contrôleurs de domaine via le service FRS (File Replication Service). Sous
Windows Server 2008, nous disposons désormais du service DFS-R (Distributed File
System – Replication) qui est plus fiable et plus robuste que le système FRS.
« dfsrmig.exe »
NB : En cas de problème lors du passage d’un état vers un autre, il est possible de revenir
aux états précédents en utilisant l’option « setglobalstate ». Toutefois, après avoir utilisé
l’option « setglobalstate » pour spécifier l’état 3 (eliminated), il est impossible de revenir aux
états précédents.
Chapitre 11
- Les sites Active Directory sont des objets de l’annuaire qui se trouvent dans le
conteneur « Configuration » : CN=Configuration,DC=domaine racine de la forêt
- Un réseau moins fortement connectés est représenté par des connexions lentes, moins
fiables ou coûteuses. Il n’est donc pas indispensable de répliquer les changements
immédiatement sur ce type de réseau afin d’optimiser les performances, réduire les coûts ou
économiser de la bande passante.
- Les sites Active Directory aident à localiser les services, y compris ceux fournis par les
contrôleurs de domaine. A l’ouverture de session, les clients Windows sont automatiquement
dirigés vers un contrôleur de domaine de leur site. Si aucun DC n’est disponible dans le site,
ils sont redirigés vers le DC d’un autre site qui sera capable de les identifier.
- Certains documents indiquent qu’une liaison est lente lorsque son débit est inférieur à
512 Kbit/s. Il est donc recommandé de créer un site pour déterminer cette partie du réseau.
- Il est recommandé de créer un site pour une partie du réseau qui héberge au minimum
un contrôleur de domaine ou un service de ressource DFS répliquée.
- Pour définir un site, il faut créer un objet de classe « Site ». Cet objet est un conteneur
qui permet de gérer la réplication entre les contrôleurs de domaines.
- Il est recommandé de renommer le site par défaut afin de lui donner un nom plus
représentatif de la situation de l’entreprise.
- Un site est utile que lorsque les clients et les serveurs savent à quel site ils
appartiennent. Pour ce faire, l’adresse IP du système client doit être associée au site, et ce sont
les objets sous-réseau qui réalisent cette association. Il faut donc définir les sous réseaux :
- Un sous réseau est associé à un site. Lorsqu’un client se connectera au domaine, il sera
identifié avec son adresse IP afin d’être redirigé vers le contrôleur de domaine de son site.
- Il est important de définir chaque sous réseau IP en tant qu’objet sous-réseau Active
Directory (LAN, WAN, VPN). Si l’adresse IP d’un client n’est pas comprise dans la page
d’adresses d’un sous réseau, ce client sera incapable de déterminer à quel sous-réseau il
appartient et cela peut entrainer des problèmes de performance.
- Chaque serveur qui rejoint un domaine annonce ces services en créant des
enregistrements DNS « Emplacement de service » ou enregistrement SRV :
Domaine : Contient tous les objets stockés dans un domaine (users, ordinateurs et
groupes et stratégies de groupes).
Configuration : Contient les objets qui représentent la structure logique de la forêt –
les domaines – et la topologie physique – les sites, les sous-réseaux et les services.
Schéma : Définit les classes d’objets et leurs attributs
- Un groupe universel peut contenir des objets provenant de tous les domaines de la
forêt. L’appartenance aux groupes universels est répliquée dans le catalogue global.
- Lorsqu’un utilisateur ouvre une session, son appartenance au groupe universel est
obtenue depuis un serveur de catalogue global. Si le serveur de catalogue global est
indisponible, l’appartenance au groupe universel l’est également. Pour empêcher un incident
de sécurité, Windows empêche un utilisateur appartenant à groupe universel de s’authentifier
sur le domaine lorsque le catalogue global est indisponible. Ce fonctionnement ne se produit
pas si tous les contrôleurs de domaine font office de catalogue global.
- Dans une topologie de réplication, il ne peut y avoir plus de trois sauts. Cela permet
d’optimiser la réplication et limiter le trafic sur le réseau. Dans un réseau composé de 3 à 5
contrôleurs de domaine, à raison d’environs 15 secondes d’attente par saut, une modification
dans l’AD sera entièrement répliquée en moins d’une minute.
- Les liens de sites permettent de définir les chemins que la réplication doit emprunter en
créant des objets « Liens de sites ». Un lien de site contient deux ou plusieurs sites. Le
générateur de topologie inter-sites (ITSTG, Intersite Topology Generator), un composant du
KCC, construit des objets connexion entre les serveurs de chacun des sites pour permettre la
réplication inter-sites.
- Par défaut lorsqu’on crée une forêt, l’objet lien de sites « DEFAULTIPSITELINK »
est créé dans le composant logiciel enfichable « Sites et services Active Directory ». Dans
une structure AD composé de plusieurs sites, il est recommandé de créer manuellement des
liens de sites qui reflètent la topologie physique du réseau.
- Chaque site peut être configuré pour disposer d’un serveur de tête de pont qui
répliquera les données vers un serveur de tête de pont d’un autre site :
- Les liens de sites sont transitifs par défaut, ce qui veut dire qu’ils sont reliés entre eux
pour augmenter la tolérance de panne lié à la réplication. Pour désactiver la transitivité des
liens de sites, il suffit de désactiver la case « Relier tous les liens de sites » dans les
propriétés du protocole « IP » :
- Les coûts de liens de site sont utilisés pour gérer le flux du trafic de réplication. Les
coûts les plus élevés sont utilisés pour les liens lents et les coûts les plus faibles pour les liens
rapides. Par défaut, tous les liens sont configurés avec un coût de « 100 » :
- Lorsque la transitivité des liens de sites à été désactivé, il est possible de créer soit
même des liens de sites via des « ponts de sites ».
- La réplication inter-site est basée sur la scrutation : Il n’y a pas de notification de
modification pour démarrer le processus de réplication. Par défaut, toutes les 3 heures
(180 minutes), un serveur de tête de pont va interroger ses partenaires de réplication pour
déterminer si des modifications sont disponibles. Il est possible de modifier cette valeur pour
réduire l’intervalle de scrutation sachant que la valeur minimale est de 15min.
Chapitre 12
Windows 2000 Natif : Autorise les systèmes d’exploitation suivant sur les serveurs :
Windows 2000 Server, Windows Server 2003 et Windows Server 2008
Windows Server 2003 : Autorise les systèmes d’exploitation suivant sur les serveurs :
Windows Server 2003 et Windows Server 2008. Ce niveau fonctionnel apporte
plusieurs nouvelles fonctionnalités comme le renommage d’un contrôleur de domaine,
l’attribut « LastLogonTimestamp », l’attribut « userPassword », la redirection du
conteneur d’utilisateur et d’ordinateurs par défaut, la stratégie du gestionnaire
d’autorisation, la délégation contrainte et l’authentification sélective.
Windows Server 2008 : Autorise uniquement les systèmes d’exploitation Windows
Server 2008. Ce niveau fonctionnel de domaine apporte de nouvelles fonctionnalités
au domaine comme la réplication DFS-R de SYSVOL, les services de chiffrement
avancé (AES 128 et AES256 pour Kerberos), l’enregistrement des dernières
informations d’ouverture de session interactive et la stratégie de mot de passe à grain
fin.
Windows 2000 : Dans ce niveau fonctionnel, les domaines peuvent s’exécuter dans
tous les niveaux fonctionnels de domaine pris en charge.
Windows Server 2003 : Dans ce niveau fonctionnel, les domaines peuvent s’exécuter
dans les niveaux fonctionnels Windows Server 2003 et Windows Serveur 2008. Ce
niveau fonctionnel de forêt apporte de nouvelle fonctionnalité comme l’approbation de
forêt, le renommage de domaine, la réplication de valeurs liées, les algorithmes du
vérificateur de cohérences des données (KCC) améliorés, la conversion d’objets
inetOrgPerson en objet utilisateur, la prise en charge de la classe auxiliaire
dynamicObjet, la prise en charge des groupes d’applications et des groupes de
requêtes LDAP et les contrôleurs de domaine en lecture seul.
Windows Server 2008 : Ce niveau fonctionnel de forêt autorise uniquement des
domaines s’exécutant dans un niveau fonctionnel de forêt Windows Serveur 2008 et
n’apporte aucunes nouvelles fonctionnalités.
- Pour augmenter le niveau fonctionnel d’un domaine, il faut ouvrir le composant logiciel
enfichable « Domaines et approbations Active Directory », de faire un clic droit sur le
domaine puis de choisir « Augmenter le niveau fonctionnel du domaine » :
- Pour augmenter le niveau fonctionnel d’une forêt, il faut ouvrir le composant logiciel
enfichable « Domaines et approbations Active Directory », de faire un clic droit sur la
racine et cliquer sur « Augmenter le niveau fonctionnel de la forêt » :
- Les domaines qui exécutent des niveaux fonctionnels de domaine inférieurs à Windows
Server 2008 ne peuvent prendre en charge qu’une seule stratégie de mot de passe et de
verrouillage des comptes. Seuls les domaines au niveau fonctionnel de domaine peuvent
utiliser les stratégies de mot de passe à grain fin.
- Dans un contexte multi domaine, un administrateur peut être amené à déplacer des
objets d’un domaine A vers un domaine B (Utilisateurs, ordinateurs, etc).
- Une migration intraforêt consiste à déplacer des objets issus de domaines Active
Directory de la même forêt.
- Une migration inter forêt consiste à déplacer des objets issus de domaines Active
Directory distinct. L’opération consiste à conserver le domaine source et cloner/copier des
comptes dans le domaine cible. Cette méthode permet de revenir en arrière en cas de
problèmes.
- Pour effectuer des migrations d’objets, il faut utiliser un outil tiers ou tout simplement
l’outil de migration Active Directory version 3 nommé ADMT v3 (Administration
Domain Migration Tools : Disponible sur Internet).
- Lors de la migration d’un objet dans un autre domaine, ce dernier est copié dans le
domaine cible, récupérant ainsi un nouveau SID. Du fait que l’objet récupère dans un
nouveau SID, il ne possède donc plus d’accès aux ressources du domaine source. Pour
contourner ce problème, il existe ce que l’on appel les sIDHistory qui sont des attributs de
l’objet contenant le SID de l’objet dans le domaine source. Cet astuce permet à un compte
d’utilisateur copié dans un nouveau domaine de pouvoir accéder aux mêmes ressources
malgré le fait que sont SID ai été recréé dans le nouveau domaine.
- Lorsqu’un utilisateur ouvre une session dans un domaine Active Directory, le jeton de
l’utilisateur est peuplé avec le SID principal et l’attribut sIDHistory du compte de
l’utilisateur et des groupes auxquels ce dernier appartient. Le processus système LSASS
utilise les SID de l’attribut de sIDHistory comme tout autre SID situé dans le jeton pour
maintenir l’accès de l’utilisateur vers des ressources du domaine source.
- Le processus qui consiste à remapper des ACL vers des comptes migrés dans le
domaine cible est également appelé re-ACLing. Il suffit d’utiliser l’utilitaire ADMT pour ce
type d’opérations.
- Dans une migration AD inter forêts, il faut d’abord migrer les groupes du domaine
source vers le domaine cible car s’il s’agit de groupe Globaux, par défaut, ces derniers ne
peuvent accepter que des utilisateurs issue du même domaine, ce qui poserait un problème
pour la migration des utilisateurs. Ces groupes une fois migré maintiendront les SID des
groupes source dans leurs attributs sIDHistory, ce qui contribuera à conserver l’accès aux
ressources.
- Dans une migration AD intra forêts, un groupe global est créé dans le domaine cible en
tant que groupe universel afin de pouvoir contenir un utilisateur des domaines source et cible.
Le nouveau groupe obtient un nouveau SID et son attribut sIDHistory est peuplé avec le SID
du groupe global du domaine source. Une fois la migration terminée, le groupe universel est
converti en groupe global.
- ADMT permet également de migrer des mots de passe. Il est possible de conserver le
mot de passe du domaine source mais ADMT ne gère pas les stratégies de mot de passe du
domaine cible. Sinon il est possible de déterminer un mot de passe lors de la migration du
compte d’utilisateur.
Chapitre 13
- Dans Windows Server 2008, le service AD DS n’est qu’un service Windows qui peut
être arrêté et démarré comme n’importe quel service Windows. Pour mettre un contrôleur
de domaine hors ligne et exécuter une maintenance, il faut qu’il y ait au minimum deux DC
dans le domaine. Lorsqu’on arrête le service AD DS, le DC communique avec un autre DC
afin de vérifier qu’au moins un DC est disponible en permanence au moment de l’arrêt.
- Tout objet supprimé de l’annuaire à un délai de grâce de 180 jours par défaut. Les
objets sont déplacé dans le répertoire « Deleted Objects ». Au-delà de cette période, les
objets sont définitivement supprimés de l’annuaire par les opérations de nettoyage de la base
de données.
Les sauvegardes sont effectuées avec Windows Server Backup ou avec l’outil en ligne de
commande correspondant « Wbadmin.exe ». Ce sont des fonctionnalités qui doivent être
ajouté au serveur.
Il n’est pas possible de faire une sauvegarde sur un lecteur de bande ou des volumes
dynamique. Il faut des lecteurs réseau, des disques durs amovibles ou des DVD/CD.
- Pour utiliser la sauvegarde avec Windows, il faut aller dans les outils d’administration
et démarrer « Sauvegarde de Windows Server » :
- Lorsque l’on sauvegarde l’état du système sur un serveur exécutant le rôle AD DS, les
données sauvegardées sont les suivantes :
Le registre
La base de données d’enregistrement de classes COM+
Les fichiers de démarrage
Les systèmes de fichiers protégés par WRP (Windows Resource Protection)
La base de données des services de domaine Active Directory (Ntds.dit)
Le répertoire SYSVOL (GPO du domaine / Scripts d’ouverture de session)
NB : Il n’est pas possible d’utiliser des lecteurs mappés avec « Sauvegarde de Windows
Server »
- pour planifier une sauvegarde avec l’utilitaire « wbadmin.exe », il faut exécuter les
lignes de commandes suivantes :
Cette commande planifie une sauvegarde du disque C:\ à 9h et à 18h sur le disque cible
désigné par le GUID spécifié.
- Pour restaurer des données sur un DC, il n’est pas possible de le faire pendant le
système est en cours d’exécution. Il faut impérativement redémarrer le DC en mode DSRM
(Directory Services Restore Mode). Il suffit de redémarrer le serveur, d’appuyer sur la touche
F8 pendant le démarrage et de sélectionner « mode de restauration des services
d’annuaire ».
- DSRM restaure les données de l’annuaire, tandis que WinRE récupère le système
entier.
- Avec Windows Server 2008, il est possible de visualiser le contenu des données avant
d’entamer une restauration. Pour cela, il suffit de monter le jeu de données avec l’outil de
montage des clichés instantanées de la base de données.
- Une fois le cliché instantané créé, il est possible de le monter et de le charger en tant
serveur LDAP pour en visualiser son contenu (Voir TP).
- Pour restaurer des données, il est donc possible d’utiliser soit l’utilitaire de
« Sauvegarde Windows Server », soit la ligne de commande « wbadmin ». Pour restaurer
les données de l’annuaire, il faut effectuer une restauration du système en utilisant les lignes
de commandes suivante en mode DSRM (Directory Services Restore Mode) :
- Exécuter cette ligne de commande pour récupérer l’état du système à partir d’un
backup :
Wbadmin start systemstaterecovery –version :[date] –backuptarget:[lecteur] –
machine:nomserveur –quiet
- Pour exécuter une sauvegarde faisant autorité, il faut marquer les données en tant que
telles en tapant les commandes suivantes en mode DSRM :
- Pour la tolérance aux pannes, installer un DC sur une machine virtuelle est une bonne
pratique car en cas de crash, il suffit de revenir à une version précédente de la VM. Une fois
restauré, la réplication multi maître se charge du reste pour effectuer les mises à jour.
- Le service VSS (Volume Shadow Copy Service) sous Windows Server 2008, prend
des clichés instantanés du contenu d’un disque à intervalles réguliers. En cas de pertes de
données, il suffit d’utiliser les versions précédentes. Cette fonctionnalité est présente par
défaut dans Windows Server 2008 et Windows Vista. Chaque cliché VSS pèse 100 Mo, car
il ne capture que les pointeurs de disques et non la structure de disque entière. Il est possible
de stocker jusqu’à 512 clichés à la fois. Quand on atteint ce maximum, VSS écrase
automatiquement les clichés les plus anciens. C’est pourquoi il faut dimensionner les disques
en conséquence.
- Pour activer les clichés instantanés, il suffit d’ouvrir les propriétés d’un lecteur et de
cliquer sur l’onglet « clichés instantanées ». Pour configurer le service VSS, il faut cliquer
sur « Paramètres » puis sur le bouton « Activer » pour mettre en place les VSS :
- Il est également possible d’activer les clichés instantanés via une ligne de commande :
- Les planifications de clichés instantanés sont des tâches planifiées. Pour contrôler une
tâche planifiée, il est possible d’utiliser la commande « Schtasks.exe » (Schedule Tasks) ou le
planificateur de tâches depuis la console de Gestion de l’ordinateur :
- Pour identifier les goulets d’étranglement, il est possible d’utiliser les outils suivants :
Application
Sécurité
Configuration
Système
Evènements transmis
- Les contrôleurs de domaine hébergent des journaux supplémentaires dédiés aux
services AD DS :
Réplication DFS
Service d’annuaire
Serveur DNS
- Le moniteur de fiabilité est un outil qui permet d’identifier les problèmes potentiels.
Ce dernier conserve les traces des modifications apportées à un système (Modification
système, installations ou désinstallations de logiciels, défaillances des applications, pannes
matériels…)
Chapitre 14
- AD LDS peut utiliser sur la réplication multi maître pour assurer la cohérence des
données.
- AD LDS peut être installé et configuré indifféremment sur des installations complètes
ou minimales de Windows Server 2008.
- Il faut autant que possible éviter d’installer AD LDS sur des contrôleurs de domaine.
La cohabitation avec le rôle AD DS fonctionne très bien mais il est recommandé de
considérer AD LDS comme un rôle spécial du réseau.
- Pour désinstaller AD LDS, il faut d’abord supprimer toutes les instances AD LDS
existante, puis employer le « Gestionnaire de server » pour enlever le rôle AD LDS.
- L’installation d’AD LDS sur une installation complète va créer 20 fichiers et 2 sous-
dossiers dans le répertoire %SystemRoot%\ADAM
- L’installation d’AD LDS sur une installation minimale va créer 19 fichiers et 1 sous-
dossier dans le répertoire %SystemRoot%\ADAM
- Pour créer une instance AD LDS, les éléments suivant doivent être réunis :
- Pour migrer une instance précédente de LDAP ou ADAM vers AD LDS, il faut
d’abord exporter les données au format « *.ldif » puis les importer à l’aide de la commande
LDIFDE.
- Pour exporter une instance avec LDIFDE, il faut taper la commande suivante :
- Pour importer une instance avec LDIFDE dans AD LDS, il faut taper la commande
suivante :
Chapitre 15
- Le rôle AD CS est basé sur une infrastructure à clé publique (PKI, Public Key
Infrastructure)
Inscription via le web : C’est une interface web à laquelle les clients peuvent se
connecter pour demander un certificat, utiliser des cartes à puce ou obtenir des listes
de révocation de certificat (CRL, Certification Revocation Lists).
Répondeur en ligne : Permet de répondre à des requêtes de validation spécifique et
met en œuvre le protocole OCSP (Online Certificate Status Protocol). Ce système
évite de demander une liste de révocation des certificats complète et permet de
soumettre une demande de validation pour un certificat donné.
- Une CA autonome n’est pas nécessairement intégré dans un service d’annuaire et peut
s’exécuter sur des postes de travail. Ce type de CA est souvent utilisé comme CA racine
interne et placées hors ligne pour des raisons de sécurité après qu’on les a utilisées pour
générer des certificats. Les CA autonomes peuvent s’exécuter sur Windows Serveur 2008
Standard Edition, Windows Server 2008 Enterprise Edition et Windows Server 2008
Datacenter Edition.
- Chaque fois qu’un certificat est présenté, ce dernier doit être validé par une CRL ou par
un répondeur en ligne.
- Pour accroitre la sécurité, il faut créer des hiérarchies de CA. Mais attention tout de
même car toute attaque d’une CA de haut niveau ou racine compromet l’ensemble des
certificats qui en dépendent. C’est pourquoi il faut sécuriser les CA racine autant que
possible.
- Il est recommandé de créer une CA racine et au moins une CA émettrice. La CA
racine donnera un certificat à la CA émettrice pour fonctionner. Une fois que la CA
émettrice est opérationnelle, il faudra mettra la CA racine hors ligne pour empêcher toute
attaque éventuelle.
NB : Il est conseillé de ne pas créer d’architecture de plus de trois couches. Plus on crée de
couches et plus l’administration deviendra complexe.
NB : Il faut éviter les infrastructures monocouche car elles sont difficiles à protéger
NB : Les CA racines et les CA intermédiaires doivent être mise hors ligne pour plus de
sécurité
NB : Il faut éviter d’installer AD CS sur un contrôleur de domaine même si cela est possible.
- Les certificats générés contiennent généralement deux clés : Une clé privée et une clé
publique. Pour chiffrer les données ont utilise la clé privée. Pour déchiffrer les données il
faudra utiliser la clé publique. Ce jeu de clé à une durée de vie limité qui nécessite un
renouvellement de la clé après expiration du certificat afin de générer un nouveau jeu de clés.
- Les CA racines fonctionnent avec un certificat dont la durée doit être la plus longue
possible. Il y a ensuite les CA intermédiaires et les CA émettrices qui possèdent également
un certificat. Il est possible de fixer un intervalle de 10 ans pour chaque couche de
l’architecture.
- Dans une architecture à trois couches, il est recommandé de définir 30 ans pour la CA
racine, 20 ans pour les CA intermédiaires et 10 ans pour les CA émettrices. Ensuite, on
peut affecter un ou deux ans aux certificats que l’on émettra pour les utilisateurs.
- Lorsqu’un certificat de serveur expire, tous les certificats enfants expirent également.
C’est pourquoi il faut donner une durée de vie plus longue aux serveurs.
- Le rôle AD CS ne peut pas être installé sur Server Core et nécessite une installation
complète de Windows Serer 2008.
- AD RMS permet d’assurer l’intégrité des données. A l’image des DRM sur les
morceaux de musique, Windows Serveur 2008 améliore le service AD RMS de Windows
Server 2003 afin d’apporter une fonctionnalité de protection supplémentaire pour la propriété
intellectuelle.
- AD RMS s’intègre aux services AD DS et peut également avoir recours aux Services
de Certificat Active Directory. AD CS peut générer les certificats de l’infrastructure à clés
publiques (PKI) qu’AD RMS peut incorporer dans des documents.
- AD RMS s’appuie sur une base de données SQL Server 2005 ou 2008 pour y stocker
la configuration et la journalisation d’AD RMS. Dans un environnement de test, il est
possible d’installer AD RMS sur une base de données locale WIS (Windows Internal
Database), qui ne prend pas en charge les connexions à distance.
- AD RMS fonctionne avec un client AD RMS. Ce client est déjà présent dans les
versions de Windows Vista, Windows 7 et Windows Server 2008.
- Les services Internet IIS (Internet Information Services) 7.0 offrent des services web
dont dépendent AD RMS.
- La première fois qu’on installe AD RMS, on créé un cluster racine AD RMS par
défaut. Ce cluster est conçu pour gérer les requêtes de certificat.
- Un modèle de stratégie de droits AD RMS est une définition des actions autorisé ou
refusé sur une ressource (Autorisation de lire, écrire, copier, imprimer ou coller).
- AD RMS n’est pas pris en charge et ne s’exécute pas dans les installations Server Core
de Windows Server 2008.
- AD RMS utilise des licences au format XrML (Extensible Rights Markup Language)
- Certificats AD RMS :