Vous êtes sur la page 1sur 58

SOMMAIRE

Dédicaces…………………………………………………………………………………i

Remerciements…………………………………………………………………..................
..ii

Sigles et abréviations………………………………………………………………………
iii

Liste des
figures…………………………………………………………………………....iv

Introduction ………………………………………………………………………………5

Chapitre 1. Présentation du thème, Problématique et objectif………………………....


……6

Chapitre 2. Etat de
l’art……………………………………………………………………..9

Chapitre 3. Etude
technique……………………………………………………………….41

Chapitre 4.
Réalisation…………………………………………………………………….52

Conclusion………………………………………………………………………………..5
6

Bibliographie……………………………………………………………………………...5
7
Dédicaces

A mes très chers parents qui m’ont donné la vie


et qui ont toujours veillé à ce que
nous ne manquions de rien.

i
Remerciements

Le présent mémoire n’aurait pu voir le jour sans la participation active de plusieurs


personnes que nous aimerions remercier très sincèrement. La liste ci-dessous, loin d’être
exhaustive, donne un aperçu de leur implication dans notre rapport.

 Apôtre BOUKASSA François : Notre cher père spirituel ;


 M. Bans KANI : Avec son expérience a su nous encadrer ;
 M. KWASSAMBU Djema ;
 Ets Flambeaux Allumés Services et ses Personnels : Pour leur soutien moral tant
financière ;
 Ma famille qui m’a soutenu tant moralement que financièrement ;

ii
SIGLE ET ABREVIATIONS

SSI : Sécurité des Système d’Informations

Telnet : terminal network ou telecommunication network, ou encore teletype  network

FTP : File Transfer Protocol

SSH : Secure Shell

FTP : File Transfer Protocol

TCP/IP : Transmission Control Protocol/Internet Protocol

SE : systèmes d'exploitation.

UC : Unité Centrale

URL  :  Uniform Resource Locator

NAT : Network Address Translation

DMZ : En informatique, une zone démilitarisée

HTTP : L'Hypertext Transfer Protocol

POP3 : Post Office Protocol

WIM : Windows Imaging

WAN : Wide Area Network

PE : L'environnement de pré-installation

CA : Certificate Authority

ADDS : Active Directory Domain Services

AD CS, Active Directory Certificate Services

ADFS : Active Directory Federation Services

ADLDS : Active Directory Lightweight Directory Services

ADRMS : Active Directory Rights Management Services

DNS : Domain Name System

WINS : Windows Internet Name Service

LLMNR : Link-Local Multicast Name Resolution

DHCP : Dynamic Host Configuration Protocol

LISTE DES FIGURES

Figure 1 : Model de réseau en couche 10

iii
Figure 2 : Model de réseaux locaux étendu d’entreprise 12

Figure 2 : Model de trafic 15

Figure 4 : Stratégie de sécurité 18

Figure 5 : Mise à jour des correctifs de sécurité 19

Figure 6 : Exemple d’antivirus 21

Figure 7 : Bloqueur de fenêtres 23

Figure 8 : Pare-feu 24

Figure 9 : Configuration de deux pare-feu 25

Figure 10 : Liste de contrôle de sécurité 48

Figure 11: Plan du site 52

Figure 12: Architecture réseau 52

Figure 13: Configuration du serveur 53

Figure 14: Stratégies de sécurité de groupes 54

Figure 15: Panneau de création de compte et groupe 55

iv
INTRODUCTION :

Le système informatique est actuellement une composante très importante de l’entreprise quel
que soit son secteur d’activité. Le système d’information doit fonctionner pleinement et en permanence
pour garantir l’efficacité de cette dernière. A tous les niveaux, les réseaux, les ordinateurs, les serveurs
constituent autant de maillons sensibles dont la disponibilité et la qualité de service conditionnent le bon
fonctionnement de l’entreprise. Les problèmes liés à l’informatique doivent être réduits au minimum,
car une indisponibilité du système informatique peut avoir des impacts très préjudiciables sur l’activité
et la notoriété d’une entreprise.

L’administration réseau constitue un atout majeur pour les systèmes informatiques de toute
entreprise, et surtout à l’heure ou ceux-ci sont devenus de plus en plus complexes, avec certaines
machines (ordinateurs, serveurs imprimantes, etc.) qui s’exécutent en parallèle, ceci a considérablement
augmenté le nombre de panne, l’indisponibilité du système informatique causant des pertes au niveau
des activités des entreprises. Le Serveur va consister à établir des points de contrôle sur différents
éléments du parc informatique, qu’ils soient matériels ou applicatifs. Ces différents points de contrôle
vont permettre de recueillir plus rapidement des informations, avoir une connaissance de l’état de santé
du réseau, des systèmes ainsi que des performances de celui-ci. Elle permet d’avoir une visibilité du
système informatique

La supervision est un des moyens indispensables pour favoriser la croissance de rendement


d’une entreprise. C’est ainsi, dans le cadre de notre soutenance de mémoire professionnel, en vue de
l’obtention du diplôme de licence professionnelle, le thème : « Mise en place d’un réseau d’entreprise
et système de sécurité pour la gestion des utilisateurs » a été choisie.

Notre objectif est de montrer comment mettre en place un système de sécurité pour la gestion
des utilisateurs dans une entreprise, afin de prévenir de nombreux problèmes et garantir le bon
fonctionnement du système informatique et la protection des données.

Notre mémoire se présente comme suit :

 Chapitre 1 : Présentation du thème, problématique et objectifs ;


 Chapitre 2 : Etat de l’art ;
 Chapitre 3 : Etude technique ;
 Chapitre 4 : Résultats des tests.

5
CHAPITRE 1 : PRESENTATION DU THEME, PROBLEMATIQUE ET
OBJECTIFS

1.1. Présentation du thème


1.1.1. Explication du thème

La bonne compréhension du thème de notre travail se fera par les mots- clés qui le composent. Cela
permettra de déduire ce qu’il sous-entend par la suite.

 Réseaux d’entreprise : Le réseau d’entreprise est un système de communication


d’entreprise reliant plusieurs ordinateurs (serveurs, périphérique, …), utilisé pour prendre en
charge les différentes activités de l’entreprise. II doit assurer l’échange de types de trafic
variés, tels que les fichiers de données, les courriels, la téléphonie IP et les applications
vidéos pour les domaines d’activités multiples.
 Système de sécurité: La sécurité des systèmes d’information (SSI) ou plus simplement
sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques
et humains nécessaires à la mise en place de moyens visant à empêcher l'utilisation non
autorisée, le mauvais usage, la modification ou le détournement du système d'information.
 Utilisateurs: En informatique, le terme utilisateur (anciennement un opérateur ou un
informaticien) est employé pour désigner une personne qui utilise un système informatisé
(ordinateur ou robot) mais qui n'est pas nécessairement informaticien (par opposition au
programmeur par exemple).

Après avoir défini les mots-clés énoncés, nous pouvons déduire que notre thème nous amène à faire une
étude technique afin d’installer un système informatique au sein d’une entreprise pour faciliter la gestion
des utilisateurs

1.1.2. Intérêt

1.1.2.1. Intérêt pour une entreprise

La mise en place d’un système de gestion des utilisateurs a pour intérêts majeurs :

 Eviter à l’entreprise d’effectuer des pertes au niveau de ces activités ;


 Contrôler l’accès aux informations
 Respecter des standards ;
 Prévenir des pannes ;
 Améliorer la disponibilité du réseau ;
 Remonter à la source des pannes ;

1.1.2.2. Intérêt personnel

 Obtention de mon diplôme ;


 Lier la théorie à la pratique ;

6
1.1.2.3. Limites

Dans le cadre de notre travail, il s’agit ici de mener une étude technique et installer un système
informatique pour la gestion des utilisateurs

1.2. Problématique

1.2.1 Constat

1.2.1.1. Les systèmes d’information d’entreprise

Le système informatique d’une entreprise est un élément capital de la croissance et de l’activité de


celle-ci. Mais les problèmes informatiques viennent parfois nuire à la productivité des employés ou
même paralyser l’activité de l’entreprise. Parmi ces nombreux problèmes, nous pouvons citer :

 Les problèmes de malwares, virus, ransomwares : les logiciels malveillants constituent les
problèmes informatiques les plus dangereux auxquels une entreprise puisse être confrontée.
En effet, ils peuvent menacer les données confidentielles, le matériel informatique, voire
même la pérennité de l’entreprise en cas d’attaque majeure. Les virus représentent un cout
considérable pour les entreprises ;
 La perte de données et de documents : les données informatiques sont un élément
indispensable au développement de l’entreprise et il convient d’assurer leur sécurité ;
 Mauvaise gestion du parc informatique : il est important de réaliser un inventaire du parc
informatique de l’entreprise, en recensant le matériel et les licences utilisées. Des licences
piratées ou redondantes ou un matériel obsolète peuvent représenter des dépenses très
importantes ;
 Problèmes d’internet : sécuriser le réseau permet de contrôler l’usage d’internet dans
l’entreprise. Cela garantit la sécurité du système d’information en évitant l’apparition de
problèmes informatiques lies aux mauvaises pratiques des employés (sites malveillants,
téléchargements…) ;
 Pannes et problèmes informatiques : un incident survenant sur un ou plusieurs postes de
travail ralenti considérablement l’activité de l’entreprise. La résolution de la panne devient
alors primordiale ;
 Problèmes de mobilité informatique : des employés distants ou mobiles ont besoin
d’accéder aux ressources de l’entreprise où qu’ils se trouvent ;
 Problèmes informatiques « imprévus » : les problèmes informatiques peuvent apparaitre
n’importe quand, et souvent au mauvais moment ;
 Gestion des accès : la gestion des accès au sein du système informatique doit s’adapter à
l’évolution de l’entreprise (créations des comptes, gestion des droits, messagerie, mot de
passe, etc.). Une bonne gestion des accès est fondamentale pour la sécurité informatique de
l’entreprise et, en particulier, dans la préservation des données.

1.2.2. Questions liées à la problématique

D’après le constat, l’administration du système informatique d’une entreprise engendre de


nombreux avantages, d’autre part elle apporte aussi certains inconvénients à savoir : le coût de la mise
en place du réseau et ces exigences.

7
Ainsi la question que nous nous posons est de savoir : comment faire bénéficier les atouts d’un
système de gestion d’utilisateurs à une entreprise, tout en minimisant les problèmes liés au coût des
logiciels et de l’implémentation du réseau.

1.2.3. Hypothèses

En réponse au contenu de la problématique, quelques hypothèses peuvent être formulées selon


lesquelles, la mise en place d’une solution de supervision au sein d’un réseau d’entreprise doit être
capable de :

 Surveiller le réseau de manière continu tout en collectant les données de l’état des différents
services présents sur le réseau ;
 Analyser les données collecter au sein du réseau ;
 Alerter (SMS, mail…) l’administrateur sur le niveau critique des différents services.

1.3. Objectifs

1.3.1. Objectif global

Ce travail a pour but principal l’anticipation des nombreux problèmes qui peuvent pénaliser un
réseau d’entreprise. Pour y parvenir, certains objectifs spécifiques devraient être atteints.

1.3.2. Objectifs spécifiques

Pour atteindre l’objectif global de notre travail, plusieurs objectifs spécifiques devraient être atteints
parmi lesquels :

 Emulation du réseau ;
 Installations des machines fictives ;
 Configuration des machines fictives ;
 Configuration du routeur ;
 Installation du serveur ;
 Configurations du Serveur pour pouvoir gérer notre réseau.

8
CHAPITRE 2 : ETAT DE L’ART

2.1. Réseaux d’entreprise1

2.1.1. Présentation

Le réseau d’entreprise fourni aux utilisateurs locaux et distant repartis aux quatre coins du monde une
prise en charge des applications et des ressources. Les intranet et extranet constituent la structure d’un
réseau de grande taille. Les modèles de trafic internes et externes affectent la sécurité et les
performances du réseau. La technologie avancée de sécurité et de réseau permet aux télétravailleurs
d’être productifs, même lorsqu’ils sont absents au bureau.

2.1.2. Description du réseau d’entreprise

2.1.2.1 Prise en charge des activités de l’entreprise

Tandis que les activités d’une entreprise se développent et évoluent, les besoins en réseau augmentent en
conséquence. Un environnement commercial étendu comptant de nombreux utilisateurs et sites, ou de
nombreux systèmes, est appelé une entreprise. Des exemples courants d’environnements d’entreprise
incluent notamment :

▪ Les fabricants ;
▪ Les grands commerces de détail ;
▪ Les franchises de restaurants et de services ;
▪ Les agences publiques et gouvernementales ;
▪ Les hôpitaux ;
▪ Les établissements scolaires.

Le réseau utilisé pour prendre en charge les activités de l’entreprise est appelé un réseau d’entreprise.
Les réseaux d’entreprise partagent de nombreuses caractéristiques, parmi lesquelles :

▪ La prise en charge d’applications critiques ;


▪ La prise en charge de trafic réseau convergé ;
▪ Le besoin d’un contrôle centralisé ;
▪ La prise en charge d’exigences commerciales diverses.

Un réseau d’entreprise doit assurer l’échange de types de trafic variés, tels que les fichiers de données,
les courriels, la téléphonie sur IP et les applications vidéo pour des domaines d’activités multiples.

Les entreprises s’appuient de plus en plus sur leur infrastructure réseau pour offrir des services critiques.
Les pannes sur le réseau d’une entreprise empêchent le déroulement normal des opérations, ce qui peut
entraîner une perte de revenus et de clients. Les utilisateurs considèrent que les réseaux d’entreprise
doivent fonctionner 99,999 % du temps.

Pour atteindre ce niveau de fiabilité, des équipements haut de gamme sont généralement installés sur le
réseau d’entreprise. Ces appareils sont conçus à des fins de fiabilité et à ce titre présentent des
fonctionnalités telles que des blocs d’alimentation redondants et des capacités de basculement. Conçus

1
Note de cours de réseaux informatiques ;ISTI-ISRT3, (BANS-KANI)
9
et fabriqués selon des normes plus exigeantes que les périphériques finaux plus bas de gamme, les
équipements d’entreprise acheminent des volumes de trafic réseau importants.

L’achat et l’installation d’équipement d’entreprise haut de gamme ne signifient pas pour autant qu’il
faut négliger la conception de réseau. Un des objectifs d’une conception de réseau efficace est d’éviter
les points de défaillance. Pour ce faire, il est nécessaire de créer une redondance sur le réseau.

La conception de réseau inclut d’autres éléments clé tels que l’optimisation de l’utilisation de la bande
passante, la prise en charge de la sécurité et des performances réseau.

2.1.2.2 Flux de trafic dans le réseau d’entreprise

Un réseau bien conçu contrôle le trafic mais il limite également la taille des domaines défaillants. Un
domaine défaillant est la partie d’un réseau affectée lorsqu’un périphérique ou un service clé présente
des problèmes.

La fonction du périphérique qui a échoué en premier détermine l’impact d’un domaine défaillant. Par
exemple, un commutateur défaillant sur un segment de réseau a en principe un impact uniquement sur
les hôtes de ce segment. Cependant, si le routeur qui connecte ce segment à d’autres échoue, l’impact
sera plus important.

L’utilisation de liaisons redondantes et d’équipements haut de gamme fiable réduit les risques de
perturbation sur un réseau. Plus les domaines défaillants sont limités, plus l’impact d’une panne sur la
productivité d’une entreprise est faible. Des domaines défaillants limités ont également pour effet de
simplifier le processus de dépannage, réduisant ainsi le temps d’arrêt pour tous les utilisateurs.

Fig1. model de réseau en couche

Guide de l’administrateur (William R. Stanek)


2

10
2.1.2.3 Réseau locaux étendu d’entreprise

Les réseaux d’entreprise intègrent les deux technologies classiques : réseaux locaux et réseaux étendus.
Dans un réseau d’entreprise typique, plusieurs réseaux locaux situés sur un campus unique sont
interconnectés au niveau de la couche distribution ou de la couche cœur de réseau, pour former un
réseau local. Ces réseaux locaux sont reliés à d’autres sites géographiquement dispersés pour former un
réseau étendu.

Les réseaux locaux sont privés et sont contrôlés par une personne ou une organisation unique.
L’organisation en question installe, gère et assure la maintenance des câbles et des périphériques,
éléments constitutifs fonctionnels du réseau local.

Certains réseaux étendus sont privés. Cependant, étant donné les coûts importants associés au
développement et à la maintenance d’un réseau étendu privé, seules les grandes organisations peuvent se
permettre de gérer un tel type de réseau. La plupart d’entre elles achètent des connexions de réseau
étendu auprès d’un fournisseur de services ou d’un FAI. Le FAI est chargé de la maintenance des
connexions réseau principales et des services réseau entre les réseaux locaux.

Lorsqu’une organisation possède de nombreux sites internationaux, la mise en place de connexions et de


services de réseau étendu peut s’avérer complexe. Par exemple, il est possible que le principal FAI de
l’organisation ne propose pas ses services dans tous les sites ou pays dans lesquels l’organisation
possède des bureaux. Ainsi, l’entreprise doit faire appel à plusieurs FAI pour se procurer les services
requis. Le recours à de multiples FAI entraîne souvent des variations quant à la qualité des services
fournis. Dans de nombreux pays émergents par exemple, les concepteurs de réseau ne pourront pas
forcément accéder aux mêmes équipements, services de réseau étendu et technologie de chiffrement
pour la sécurité que dans d’autres pays. Pour prendre en charge un réseau d’entreprise, il est essentiel
d’établir des normes cohérentes pour les équipements, la configuration et les services.

Fonctionnalités d’un réseau local :

o l’organisation est chargée d’installer et de gérer l’infrastructure ;


o Ethernet est la technologie la plus répandue ;
o le réseau est concentré sur les couches d’accès et de distribution ;
o le réseau local connecte les utilisateurs entre eux, et permet la prise en charge d’applications
localisées et de batteries de serveurs ;
o les périphériques connectés sont généralement situés dans la même zone locale, par exemple un
bâtiment ou un campus.

Fonctionnalités d’un réseau étendu :

o les sites connectés sont en principe géographiquement dispersés ;


o la connectivité au réseau étendu requiert un périphérique tel qu’un modem ou une unité
CSU/DSU pour convertir les données dans un format acceptable pour le réseau du fournisseur de
services ;
o les services sont fournis par un FAI (les services de réseau étendu incluent DSL, Câble, Frame
Relay et ATM) ;
o le FAI est chargé d’installer et de gérer l’infrastructure ;

Guide de l’administrateur (William R. Stanek)


2

11
o les équipements de périphérie remplacent l’encapsulation Ethernet par une encapsulation de
réseau étendu série.

Fig2. Model de réseaux locaux étendu d’entreprise

2.1.2.4 Intranets et extranets

Les réseaux d’entreprise intègrent les deux technologies : réseau étendu et réseau local. Ces réseaux
fournissent divers services associés à Internet, notamment :

o le courriel ;
o le Web ;
o le protocole FTP ;
o le protocole Telnet/SSH ;
o les forums de discussion.

De nombreuses entreprises utilisent ce réseau privé ou intranet pour offrir un accès aux employés locaux
ou distants grâce aux technologies de réseau local ou étendu.

Les intranets peuvent présenter des liens vers Internet. S’ils sont connectés à Internet, les pare-feu
contrôlent le trafic entrant dans et quittant l’intranet.

Les intranets hébergent des informations confidentielles et sont destinés à l’usage des employés d’une
entreprise uniquement. L’intranet doit être protégé par un pare-feu. Les employés distants qui ne sont
pas connectés au réseau local de l’entreprise doivent s’authentifier pour pouvoir accéder à l’intranet.

Dans certains cas, les organisations étendent l’accès privilégié à leur réseau pour leurs principaux
fournisseurs ou clients. Plusieurs méthodes courantes permettent de le faire :

o connectivité directe au réseau étendu ;


o connexions distantes aux applications clé ;

Guide de l’administrateur (William R. Stanek)


2

12
o accès de réseau privé virtuel dans un réseau protégé.

Un intranet qui autorise les connexions externes pour les fournisseurs et entrepreneurs est appelé un
extranet. Un extranet est un réseau privé (intranet) qui accorde un accès contrôlé à des individus et
entreprises externes à l’organisation. Un extranet n’est pas un réseau public.

2.1.2.5 Identification des applications d’entreprise

2.1.2.5.1 Modèles de flux de trafic

Un réseau d’entreprise conçu de manière efficace présente des modèles de flux de trafic précis et
prévisibles. Dans certains cas, le trafic reste sur la partie de réseau local de l’entreprise et dans d’autres
cas, il transite via les liaisons de réseau étendu.

Au moment de définir la conception du réseau, il est important de prendre en compte la quantité de


trafic destiné à un emplacement spécifique et l’origine la plus fréquente de ce trafic. Par exemple, le
trafic qui reste généralement au niveau local pour les utilisateurs du réseau inclut :

o partage de fichiers ;
o impression ;
o sauvegarde interne et mise en miroir ;
o voix au sein des réseaux.

Les types de trafic habituellement présents sur le réseau local, mais également transitant via le réseau
étendu sont les suivants :

o mises à jour système ;


o courriel d’entreprise ;
o traitement de transactions.

Outre le trafic de réseau étendu, le trafic externe est un trafic provenant de ou destiné à Internet. Le
trafic de réseau privé virtuel et Internet est considéré comme un flux de trafic externe.

Le contrôle du flux de trafic sur un réseau permet d’optimiser la bande passante et introduit un niveau de
sécurité grâce à la surveillance. C’est uniquement s’il connaît les modèles et flux de trafic que
l’administrateur réseau pourra prévoir les types et la quantité de trafic escomptés. Lorsque du trafic est
détecté dans une zone inhabituelle du réseau, il est possible de filtrer ce trafic et d’en identifier la source.

2.1.2.5.2 Application et trafic dans un réseau d’entreprise

Autrefois, les signaux vocaux, vidéo et de données circulaient chacun sur des réseaux distincts. La
technologie prend désormais en charge un réseau convergé, dans lequel les flux vocaux, vidéo et de
données transitent via le même support.

Guide de l’administrateur (William R. Stanek)


2

13
Cette convergence présente de nombreux défis en termes de conception et de gestion de la bande
passante. Les réseaux d’entreprise prennent désormais en charge les activités de l’organisation en
autorisant le trafic issu de diverses applications, notamment :

o traitement des transactions de base de données ;


o accès à l’ordinateur central ou au centre de calcul ;
o partage de fichiers et d’impression ;
o authentification ;
o services Web ;
o courriel et autres systèmes de communications ;
o services de réseau privé virtuel ;
o appels vocaux et messagerie vocale ;
o vidéo et vidéoconférence.

La gestion du réseau et les processus de contrôle requis pour les opérations sous-jacentes du réseau.

Au moment de déterminer comment gérer le trafic réseau, il est important de comprendre le type de
trafic qui est acheminé sur le réseau ainsi que le flux de trafic actuel. Si les types de trafic sont inconnus,
un analyseur de paquets peut être utilisé pour capturer le trafic à des fins d’analyse.

Pour déterminer des modèles de flux de trafic, il est recommandé d’observer les points suivants :

 Capturer le trafic pendant les périodes de pointe pour obtenir une représentation juste des
différents types de trafic ;
 Effectuer la capture sur différents segments du réseau, car certaines parties du trafic peuvent être
locales sur un segment spécifique.

Grâce aux informations obtenues par l’analyseur de paquets, les techniciens réseau peuvent déterminer
les flux de trafic. Ils analysent ces informations en fonction de la source et de la destination du trafic
ainsi que du type de trafic envoyé. L’analyse peut ensuite être utilisée pour déterminer comment
améliorer la gestion du trafic. Pour ce faire, il suffit de réduire les flux de trafic superflus ou de modifier
les modèles de flux, ceci en déplaçant un serveur.

Parfois, le déplacement d’un serveur ou d’un service sur un autre segment de réseau suffit à améliorer
les performances réseau. D’autres fois en revanche, une intervention plus radicale sera nécessaire, qui
peut se traduire par un remodelage du réseau.

Guide de l’administrateur (William R. Stanek)


2

14
Fig3. Model de trafic

2.1.2.6 Prise en charge des employés à distance

2.1.2.6.1 Télétravail

Le développement des réseaux d’entreprise et des technologies de connexion à distance a modifié notre
façon de travailler.

Le télétravail, également appelé travail à distance, permet aux employés d’une entreprise d’utiliser des
technologies de télécommunications pour travailler depuis leur domicile ou des sites distants.
L’employé à distance qui utilise cette technologie est appelé un télétravailleur ou un travailleur à
distance.

De plus en plus d’organisations encouragent leurs employés à travailler à distance. En effet, cette
pratique présente de nombreux avantages et possibilités, tant pour les employeurs que pour les
employés. Du point de vue de l’employeur, lorsque les employés travaillent à leur domicile, c’est autant
d’espace physique qui est disponible dans l’entreprise. Il est toujours possible de réserver un bureau
commun, à l’usage des télétravailleurs qui doivent ponctuellement passer du temps sur place, au sein de
l’entreprise. Cette configuration permet de réduire les coûts du loyer et les frais associés.

Certaines entreprises parviennent même à réduire leur poste de dépenses en voyages d’affaires (vols et
hôtels) grâce aux outils de téléconférence et de collaboration, qui permettent de rassembler des
employés à distance. En effet, des individus situés aux quatre coins du monde peuvent travailler
ensemble, comme s’ils étaient réunis sur un même site.

Les avantages offerts par le télétravail sont notoires pour les employeurs et les employés.

Guide de l’administrateur (William R. Stanek)


2

15
Les employés économisent du temps et de l’argent, et leur niveau de stress est réduit du fait qu’ils n’ont
pas à effectuer les trajets quotidiens vers et depuis leur lieu de travail. Par ailleurs, les télétravailleurs
peuvent s’habiller de façon plus décontractée, ce qui leur permet de limiter leurs dépenses
vestimentaires. Le travail à domicile offre par ailleurs la possibilité aux télétravailleurs de passer plus de
temps avec leur famille.

La réduction des trajets professionnels des employés a également un impact positif sur
l’environnement : en réduisant le trafic aérien et automobile, on réduit également la pollution.

Les télétravailleurs doivent être autonomes et disciplinés. Certains regretteront l’environnement social
d’un bureau physique et éprouveront des difficultés à travailler de manière isolée.

Le télétravail n’est pas adapté à tous les postes. En effet, certaines fonctions requièrent une présence
physique au bureau pendant une période spécifique. Cependant, de plus en plus d’organisations profitent
des nouvelles technologies pour accroître leur nombre de télétravailleurs.

Les télétravailleurs requièrent divers outils pour travailler efficacement. Certains de ces outils
disponibles sont les suivants :

o courriel ;
o conversation sur Internet (Chat) ;
o partage de bureau et d’applications ;
o protocole FTP ;
o protocole Telnet ;
o voix sur IP ;
o vidéoconférence.

Les outils de partage d’applications et d’écrans ont évolué, et peuvent désormais intégrer la voix et la
vidéo.

Les nouvelles technologies ont permis d’optimiser la collaboration en ligne. Grâce au réseau
d’entreprise, elles créent un environnement dans lequel des individus situés sur des sites distants « se
rencontrent » comme s’ils étaient dans la même pièce. L’association d’écrans vidéo de grande taille et
de signaux audio de haute qualité dans des salles spécialement conçues donne l’illusion à tous les
participants, quel que soit leur emplacement géographique, d’être assis autour de la même table de
réunion.

2.1.2.6.2 Réseaux privés virtuels

Un des inconvénients du télétravail est que la plupart des outils disponibles pour travailler à distance ne
sont pas sécurisés. Or, l’utilisation d’outils non sécurisés peut entraîner l’interception ou la modification
des données en cours de transmission.

Pour parer à cette éventualité, il est nécessaire d’utiliser si possible des applications sécurisées. Ainsi, au
lieu d’utiliser le protocole Telnet, il est préférable d’utiliser SSH. Malheureusement, toutes les
applications ne présentent pas des formes sécurisées. Une solution plus simple consiste à chiffrer tout le

Guide de l’administrateur (William R. Stanek)


2

16
trafic circulant entre le site distant et le réseau de l’entreprise en utilisant des réseaux privés virtuels
(VPN).

Les réseaux privés virtuels sont qualifiés de « tunnels ». Pour illustrer cette idée, comparons un tunnel
souterrain et une route de plein air reliant deux points. Tous les éléments qui utilisent le tunnel
souterrain pour circuler entre les deux points sont entourés et hors de vue. Le tunnel souterrain
représente l’encapsulation de réseau privé virtuel et le tunnel virtuel.

Lorsqu’un réseau privé virtuel est utilisé, un tunnel virtuel est créé en reliant les adresses source et de
destination. Tous les flux de données circulant entre la source et la destination sont chiffrés et
encapsulés à l’aide d’un protocole sécurisé. Ce paquet sécurisé est transmis sur tout le réseau. Lorsqu’il
arrive à la destination, il est désencapsulé et déchiffré.

Les applications de réseaux privés virtuels étant des applications client/serveur, les télétravailleurs
doivent installer le client de réseau privé virtuel sur leur ordinateur pour créer une connexion sécurisée
avec le réseau de l’entreprise.

Lorsque des télétravailleurs se connectent au réseau de l’entreprise via un réseau privé virtuel, ils sont
intégrés au réseau et peuvent accéder à tous les services et ressources dont ils bénéficieraient s’ils étaient
connectés physiquement au réseau local.

2.2 Stratégie de sécurité

2.2.1 Mesure de sécurité courantes

Les risques de sécurité ne peuvent pas être complètement éliminés ou évités. Toutefois, une gestion et
une évaluation efficaces des risques peuvent réduire considérablement les risques de sécurité existants.
Pour ce faire, il faut comprendre qu'un seul produit est incapable de sécuriser complètement une
organisation. Une véritable sécurité de réseau est obtenue au moyen d'une combinaison de produits et de
services, associés à une stratégie de sécurité approfondie et à un engagement à respecter cette stratégie.

Une stratégie de sécurité est une déclaration formelle des règles que les utilisateurs doivent suivre
lorsqu'ils accèdent à des ressources informationnelles et technologiques. Elle peut se restreindre à une
simple stratégie d'utilisation acceptable ou comporter plusieurs centaines de pages et détailler chaque
aspect des procédures de connectivité et d'utilisation du réseau par les utilisateurs. Une stratégie de
sécurité doit être placée au centre des décisions pour sécuriser, surveiller, tester et améliorer le réseau.
La plupart des utilisateurs particuliers ne rédigent pas de stratégie de sécurité formelle ; toutefois, à
mesure qu'un réseau grandit (en taille et en nombre d'utilisateurs), l'importance d'une telle stratégie bien
définie pour tous les utilisateurs augmente considérablement. Les éléments à inclure dans une stratégie
de sécurité comprennent : les stratégies d'identification et d'authentification, de mots de passe,
d'utilisation acceptable, d'accès distant ainsi que les procédures de traitement des incidents.

Lorsqu'une stratégie de sécurité est développée, il est nécessaire que tous les utilisateurs du réseau
l'acceptent et la respectent pour qu'elle soit efficace.

Une stratégie de sécurité doit être placée au centre des décisions pour sécuriser, surveiller, tester et
améliorer le réseau. Les procédures de sécurité mettent en œuvre les stratégies de sécurité. Ces

Guide de l’administrateur (William R. Stanek)


2

17
procédures définissent la configuration, l'ouverture de sessions, l'audit et la maintenance des hôtes et des
périphériques réseau. Elles englobent l'utilisation conjointe de mesures de prévention pour réduire les
risques et de mesures actives pour traiter les menaces de sécurité connues. Les stratégies de sécurité
peuvent se limiter à des tâches simples et peu coûteuses, telles que la mise à jour des versions
logicielles, ou devenir de plus en plus complexes, jusqu'à comporter l'implémentation de pare-feu et de
systèmes de détection d'intrusions.

Les applications et outils de sécurité utilisés pour sécuriser un réseau comprennent :

 les correctifs et mises à jour logicielles ;


 la protection contre les virus ;
 la protection contre les logiciels espions ;
 les bloqueurs de courriers indésirables ;
 les bloqueurs de fenêtres publicitaires intempestives ;
 les pare-feu.

Fig4. Stratégie de sécurité

2.2.2 Mises à jour et correctifs

L'une des méthodes les plus utilisées par un pirate informatique consiste à obtenir un accès aux hôtes
et/ou aux réseaux en tirant profit de vulnérabilités logicielles. Il est donc important de maintenir les
applications logicielles à jour avec les derniers correctifs de sécurité et mises à jour, ce qui contribue à
prévenir les menaces. Un correctif est une petite quantité de code qui corrige un problème précis. Une
mise à jour peut contenir, en plus des correctifs pour certains problèmes, des fonctionnalités à ajouter au
logiciel.

Guide de l’administrateur (William R. Stanek)


2

18
Les vendeurs de SE (systèmes d'exploitation, tels que Linux ou Windows) et d'applications fournissent
régulièrement des mises à jour et des correctifs de sécurité qui corrigent les vulnérabilités connues du
logiciel. En outre, les vendeurs fournissent des ensembles de correctifs et de mises à jour appelés des
« service packs ». Heureusement, de nombreux systèmes d'exploitation proposent une fonction de mise
à jour automatique qui permet de télécharger et d'installer automatiquement sur un hôte les mises à jour
de SE et d'applications.

Fig5. Mise à jour des correctifs de sécurité

2.2.3 Logiciel antivirus

Même lorsque le S.E et les applications disposent de tous les correctifs et de toutes les mises à jour, ils
restent vulnérables aux attaques. Tout périphérique connecté à un réseau constitue une cible pour les

Guide de l’administrateur (William R. Stanek)


2

19
virus, les vers et les chevaux de Troie. Ceux-ci peuvent être utilisés pour corrompre le code du S.E,
amoindrir les performances de l'ordinateur, modifier des applications et détruire des données.

Voici quelques signes indicateurs de la présence éventuelle d'un virus, vers ou cheval de Troie :

 L'ordinateur commence à se comporter de façon anormale.


 Le programme ne répond pas aux actions sur la souris et sur le clavier.
 Des programmes démarrent ou s'arrêtent de leur propre initiative.
 Le programme de messagerie commence à envoyer de grandes quantités de courriels.
 L'U.C est très sollicitée.
 Des processus inconnus, ou en très grand nombre, s'exécutent.
 L'ordinateur est considérablement ralenti ou tombe en panne.

Un logiciel antivirus peut être utilisé à la fois comme outil préventif et outil curatif. Il empêche
l'infection, et il détecte et supprime les virus, vers et chevaux de Troie. Un logiciel antivirus doit être
installé sur tous les ordinateurs connectés au réseau. Plusieurs logiciels antivirus sont disponibles.

Les fonctions éventuellement proposées par les logiciels antivirus comprennent :

 Vérification des courriels. Analyse les courriels entrants et sortants et identifie les pièces jointes
suspectes.
 Analyse dynamique résidente. Vérifie les fichiers exécutables et les documents lorsqu'on y
accède.
 Analyses planifiées. Les analyses de virus peuvent être planifiées pour être exécutées à
intervalles réguliers et pour vérifier des lecteurs spécifiques ou l'intégralité de l'ordinateur.
 Mises à jour automatiques. Vérifient et téléchargent des caractéristiques et définitions de virus
connus. Elles peuvent être planifiées pour vérifier régulièrement la nécessité de mise à jour.

Un logiciel antivirus doit avoir connaissance d'un virus avant de pouvoir le supprimer. Ainsi, dès qu'un
virus est identifié ou qu'un comportement proche de celui d'un virus est constaté, il est important de le
signaler à l'administrateur réseau. En général, il convient de lui soumettre un rapport d'incident,
conformément à la stratégie de sécurité réseau de l'entreprise.

Les administrateurs réseau peuvent également signaler de nouvelles instances de menaces à l'organisme
public local qui traite des problèmes de sécurité. Un exemple d'agence aux États-Unis est :
https://forms.us-cert.gov/report/. Il incombe à cette agence de mettre au point des parades aux nouvelles
menaces virales et de veiller à les mettre à la disposition des divers développeurs de logiciels antivirus.

Guide de l’administrateur (William R. Stanek)


2

20
Fig6. Exemple d’antivirus

2.2.4 Bloqueur de courrier indésirable

Les courriers indésirables ne sont pas seulement agaçants. Ils peuvent surcharger les serveurs de
messagerie et contenir, le cas échéant, des virus et d'autres menaces. En outre, les spammeurs peuvent
prendre le contrôle d'un hôte en y implantant du code sous la forme d'un virus ou d'un cheval de Troie.
L'hôte est ensuite utilisé pour envoyer des courriers indésirables à l'insu de son utilisateur. Un ordinateur
ainsi infecté est appelé une « usine à spam ».

Un bloqueur de courrier indésirable protège les hôtes en identifiant les courriers indésirables et en les
traitant, notamment en les plaçant dans un dossier spécial ou en les supprimant. Il peut être chargé
localement sur un ordinateur mais aussi sur des serveurs de messagerie. En outre, de nombreux
fournisseurs de services Internet proposent des filtres de courriers indésirables. Un bloqueur de courrier
indésirable ne reconnaît pas tous ces courriers. Il est donc important que les utilisateurs ouvrent toujours
leurs propres courriels avec précaution. Le bloqueur peut également identifier accidentellement des
courriels légitimes comme des courriers indésirables et les traiter en conséquence.

Outre l'utilisation de bloqueurs de courriers indésirables, vous pouvez effectuer d'autres actions
préventives pour empêcher la diffusion de tels courriels, par exemple :

 Appliquez les mises à jour de S.E et d'applications lorsqu'elles sont disponibles.


 Exécutez un logiciel antivirus régulièrement, et maintenez-le à jour.
 Ne transférez pas de courriels suspects.

Guide de l’administrateur (William R. Stanek)


2

21
 N'ouvrez pas les pièces jointes de courriels, en particulier celles provenant de personnes que
vous ne connaissez pas.
 Configurez des règles dans votre messagerie pour supprimer les courriers indésirables qui ont
contourné le bloqueur.
 Identifiez les sources de courriers indésirables, puis signalez-les à un administrateur réseau afin
qu'elles puissent être bloquées.
 Signalez les incidents à l'organisme public chargé des abus par courriers indésirables.

Les courriers indésirables les plus répandus prennent la forme d'un avertissement de virus. Alors que
certains courriels avertissant d'un virus sont authentiques, la plupart d'entre eux sont des canulars qui ne
correspondent à aucun virus existant. Ce type de courrier indésirable peut créer des problèmes parce que
les destinataires en avertissent d'autres et inondent ainsi le système de messagerie. En outre, les
administrateurs réseau risquent de réagir de façon excessive et de perdre du temps à étudier un problème
imaginaire. Enfin, de nombreux courriers indésirables peuvent contribuer réellement à la diffusion de
virus, vers et chevaux de Troie. Avant de transférer des messages d'avertissement de virus, vérifiez qu'il
ne s'agit pas d'un canular auprès d'une source de confiance comme : http://vil.mcafee.com/hoax.asp ou
http://hoaxbusters.ciac.org/

2.2.5 Bloqueur de logiciel espion et de logiciel de publicité

2.2.5 .1 Bloqueur de logiciel espion et de logiciel de publicité

Les logiciels espions et les logiciels de publicité peuvent, eux aussi, causer des symptômes similaires à
ceux des virus. Non seulement ils recueillent des informations sans y être autorisés, mais ils peuvent
également utiliser une grande quantité de ressources de l'ordinateur et affecter les performances. Un
bloqueur de logiciel espion détecte et supprime les applications espionnes et empêche leur installation
ultérieure. De nombreux bloqueurs de logiciel espion détectent et suppriment également les cookies et
les logiciels de publicité. Certains logiciels antivirus comportent également une fonction anti-logiciel
espion.

2.2.5 .2 Bloqueurs de fenêtres publicitaires intempestives

Les bloqueurs de fenêtres publicitaires intempestives peuvent être installés pour empêcher l'affichage
des fenêtres publicitaires intempestives et les fenêtres publicitaires en général. De nombreux navigateurs
Web comportent, par défaut, un blocage de fenêtre publicitaire intempestive. Notez que certains
programmes et pages Web peuvent créer des fenêtres intempestives nécessaires et souhaitées. De ce fait,
la plupart des bloqueurs proposent une fonction de commande manuelle.

Guide de l’administrateur (William R. Stanek)


2

22
Fig7. Bloqueur de fenêtres

2.2.6 Les pare-feu

Il est important de protéger les ordinateurs individuels et les serveurs reliés au réseau, mais il convient
également de contrôler le trafic en direction et en provenance du réseau.

Un pare-feu est l'un des outils de sécurité les plus efficaces disponibles pour protéger les utilisateurs
internes du réseau contre les menaces externes. Un pare-feu se trouve entre deux réseaux, ou plus, et
contrôle le trafic entre eux tout en contribuant à interdire les accès non autorisés. Les pare-feu emploient
diverses techniques pour déterminer les accès autorisés à un réseau ou les accès à interdire.

Filtrage des paquets. Interdit ou autorise l'accès selon les adresses IP ou MAC.

Filtrage des applications/sites Web. Interdit ou autorise l'accès selon l'application. Les sites Web
peuvent être bloqués selon l'adresse URL du site ou selon ses mots-clés.

Inspection dynamique de paquets (SPI). Les paquets entrants doivent constituer des réponses légitimes
aux requêtes d'hôtes internes. Les paquets non sollicités sont bloqués, sauf s'ils sont expressément
autorisés. La SPI peut éventuellement reconnaître et filtrer des types d'attaques spécifiques telles que le
déni de service.

Les pare-feu peuvent prendre en charge une ou plusieurs possibilités de filtrage, parmi celles décrites.
En outre, les pare-feu effectuent souvent une traduction d'adresses de réseau (NAT). La NAT traduit une

Guide de l’administrateur (William R. Stanek)


2

23
adresse ou un groupe d'adresses internes en une adresse publique externe envoyée sur le réseau. Cela
permet de dissimuler les adresses IP internes aux utilisateurs externes.

Les pare-feu sont proposés sous diverses formes :

Pare-feu matériel. Un pare-feu matériel est intégré à un périphérique matériel dédié appelé appareil de
sécurité.

Pare-feu basé sur un serveur. Un pare-feu basé sur un serveur est constitué d'une application pare-feu
qui s'exécute sur un système d'exploitation de réseau, tel que UNIX, Windows ou Novell.

Pare-feu intégré. Un pare-feu intégré est mis en œuvre par ajout d'une fonction de pare-feu à un
périphérique existant, comme un routeur.

Pare-feu personnel. Un pare-feu personnel se trouve sur un ordinateur hôte et n'est pas conçu pour une
mise en œuvre sur un réseau local. Il peut être disponible par défaut dans le système d'exploitation ou
obtenu auprès d'un vendeur externe puis installé.

Fig8. Pare-feu

2.2.6.1 Utilisation d’un pare-feu

En plaçant le pare-feu entre le réseau interne (intranet) et Internet, en tant qu'équipement frontière, tout
le trafic en provenance et à destination d'Internet peut être surveillé et contrôlé. Cela crée une ligne de
défense claire entre le réseau interne et le réseau externe. Toutefois, certains clients externes peuvent
avoir besoin d'accéder aux ressources internes. Il est alors possible de configurer une zone démilitarisée
(DMZ).

Guide de l’administrateur (William R. Stanek)


2

24
Fig9. Configuration de deux pare-feu

De nombreux périphériques réseau domestiques, tels que les routeurs intégrés, comportent un pare-feu
multifonction. En général, ce pare-feu fournit la traduction d'adresses de réseau (NAT), l'inspection
dynamique de paquets (SPI) et des filtrages de sites Web et d'applications. Il prend également en charge
les DMZ.

Au moyen d'un routeur intégré, il est possible de configurer une DMZ simple qui permet à un serveur
interne d'être accessible aux hôtes externes. Pour ce faire, le serveur a besoin d'une adresse IP statique
qui doit être spécifiée dans la configuration de la DMZ. Le routeur intégré isole le trafic destiné à
l'adresse IP indiquée. Ce trafic est ensuite transféré uniquement au port de commutateur auquel le
serveur est connecté. Tous les autres hôtes restent protégés par le pare-feu.

Lorsque la DMZ est activée, sous sa forme la plus simple, les hôtes externes peuvent accéder à tous les
ports du serveur, tels que les ports 80 (HTTP), 21 (FTP) et 110 (Email POP3), etc.

Une DMZ plus restrictive peut être configurée en utilisant la transmission de port. Pour la transmission
de port, les ports qui doivent être accessibles sur le serveur sont spécifiés. Dans ce cas, seul le trafic
destiné à ce ou ces ports est autorisé ; tout autre trafic est exclu.

Guide de l’administrateur (William R. Stanek)


2

25
Le point d'accès sans fil dans le routeur intégré est considéré comme faisant partie du réseau interne. Il
est important de comprendre que si le point d'accès sans fil n'est pas sécurisé, toute connexion à ce point
atteint la partie protégée du réseau interne, au-delà du pare-feu. Les pirates informatiques peuvent
utiliser ce point pour accéder au réseau interne et contourner entièrement toute la sécurité.

2.2.7 Analyse de vulnérabilités

Il existe de nombreux outils d'analyse de vulnérabilité pour contrôler la sécurité des hôtes et du réseau.
Ces outils, appelés des scanneurs de sécurité, aident à identifier les zones où des attaques peuvent
survenir et proposent des mesures à prendre. Les possibilités des outils d'analyse de vulnérabilité varient
d'un fabricant à l'autre, mais ils permettent en général de déterminer les points suivants :

 Nombre d'hôtes disponibles sur un réseau


 Services proposés par les hôtes
 Système d'exploitation et versions sur les hôtes
 Filtres de paquets et pare-feu utilisés

2.2.8 Méthodes recommandées

Plusieurs méthodes sont recommandées pour contribuer à réduire les risques encourus, notamment :

 Définir des stratégies de sécurité


 Sécuriser physiquement les serveurs et les équipements réseau
 Définir des autorisations d'ouverture de session et d'accès aux fichiers
 Mettre à jour le système d'exploitation et les applications
 Modifier les paramètres par défaut permissifs
 Exécuter un antivirus et un bloqueur de logiciel espion
 Mettre à jour les fichiers logiciels antivirus
 Activer les outils du navigateur (bloqueurs de fenêtres publicitaires intempestives, anti
hameçonnage, moniteurs de plug-in)
 Utiliser un pare-feu

La première étape de sécurisation d'un réseau consiste à comprendre les mouvements du trafic qui utilise
ce réseau et les différentes menaces et vulnérabilités existantes. Une fois que les mesures de sécurité
sont mises en œuvre, un réseau vraiment sécurisé doit être constamment surveillé. Les procédures et les
outils de sécurité doivent être revus afin d'anticiper l'évolution des menaces.

2.3 vue d’ensemble de l’administration de Microsoft Windows server 2008

Windows Server 2008 est un système d’exploitation serveur puissant, souple et complet basé sur les
optimisations apportées par Microsoft au Service Pack 1 et à la Release 2 de Windows Server 2003.
Windows Server et Windows Vista partagent de nombreuses fonctionnalités dans la mesure où tous
deux prennent part au même projet de développement. Ces fonctionnalités reposent sur une base de code

Guide de l’administrateur (William R. Stanek)


2

26
identique et concernent de nombreux domaines, à savoir la gestion, la sécurité, le réseau et le stockage.
Par conséquent, une grande part des possibilités de Windows Vista s’applique également à Windows
Server 2008.

2.3.1 Windows Server 2008 et Windows Vista

Tout comme Windows Vista, Windows Server 2008 repose sur une architecture révolutionnaire qui fait
appel aux fonctionnalités suivantes :
Modularisation pour l’indépendance des langages et création d’images de disques pour l’indépendance
du matériel Grâce à la modularisation, tout composant du système d’exploitation est conçu comme un
module indépendant qui s’ajoute ou se supprime aisément. Cette fonctionnalité constitue la base de la
nouvelle architecture de configuration de Windows Server 2008. Avec Windows Server 2008, Microsoft
fournit les images de disque WIM (Windows Imaging Format) qui font appel à la compression et au
stockage d’instance simple dans le but de réduire considérablement la taille des fichiers image.

2.3.1.1 Environnements de pré-installation et de pré-amorçage Windows PE 2.0 (Windows


Preinstallation Environment 2.0) remplace l’environnement de pré-installation MS-DOS et fournit un
environnement de démarrage amorçable conçu pour l’installation, le déploiement, la récupération et le
dépannage. L’environnement de pré-amorçage Windows fournit un gestionnaire d’amorçage qui permet
de choisir l’application d’amorçage à exécuter pour charger le système d’exploitation. Sur les systèmes
équipés de plusieurs systèmes d’exploitation, il faut choisir le système d’exploitation hérité pour accéder
aux systèmes d’exploitation antérieurs à Windows Vista.

2.3.1.2 Contrôles de comptes utilisateurs et élévation de privilèges Le contrôle de compte utilisateur


optimise la sécurité de l’ordinateur en séparant efficacement les comptes utilisateurs standard et
administrateur. De ce fait, toutes les applications s’exécutent soit avec les privilèges de l’utilisateur
standard ou de l’administrateur et une invite de sécurité apparaît par défaut chaque fois que vous
démarrez une application qui nécessite des privilèges d’administrateur. L’affichage de l’invite de
sécurité dépend des paramètres de la stratégie de groupe. En outre, si vous vous connectez via le compte
administrateur prédéfini, les invites d’élévation ne s’affichent généralement pas.

Les fonctionnalités de Windows Vista et de Windows Server 2008, qui partagent les mêmes bases de
code, possèdent des interfaces de gestion identiques. En fait, quasiment tous les utilitaires du Panneau de
configuration disponibles dans Windows Server 2008 sont identiques ou très similaires à ceux de
Windows Vista. Évidemment, il existe des exceptions dans le cas des paramètres standards par défaut.
Comme Windows Server 2008 ne s’appuie pas sur un indice de performances, les serveurs Windows ne
peuvent être évalués par Windows Experience Index. Et puisque Windows Server 2008 ne se met pas en
état de veille ou autre, les serveurs Windows ne possèdent pas les fonctionnalités de mise en veille, de
mise en veille prolongée ou de reprise. Généralement, les options de gestion de l’alimentation ne
s’appliquent pas aux serveurs Windows ; par conséquent, celles de Windows Server 2008 sont limitées.
D’autre part, Windows Server 2008 n’inclut pas les améliorations Windows Aero (Aero Glass, Flip 3D,
etc.), le Volet Windows, les gadgets Windows ou autres améliorations liées à l’apparence. En effet,
Windows Server 2008 est conçu pour optimiser les performances en matière de serveur et non pour
personnaliser l’apparence du Bureau.

Guide de l’administrateur (William R. Stanek)


2

27
Comme les fonctionnalités communes de Windows Vista et de Windows Server 2008 sont très
similaires, il n’est pas question dans ce livre de passer en revue toutes les modifications de l’interface
depuis les précédentes versions du système d’exploitation, de décrire le fonctionnement du contrôle du
compte utilisateur et ainsi de suite. Ces fonctionnalités sont traitées dans le livre Guide de
l’administrateur Microsoft Windows Vista (Microsoft Press, 2007), que nous vous conseillons de lire en
complément de ce livre. Outre les tâches d’administration, ce livre dédié aux administrateurs décrit la
personnalisation du système d’exploitation et de l’environnement Windows, la configuration du matériel
et des périphériques réseau, la gestion de l’accès utilisateur et des paramètres globaux, la configuration
des ordinateurs portables et du réseau mobile, l’emploi des fonctionnalités de gestion et d’assistance à
distance, le dépannage du système, etc. Par ailleurs, ce livre traite l’administration des services
d’annuaire, des données et du réseau.

2.3.1.3 Découvrir Windows Server 2008

La famille de systèmes d’exploitation Windows Server 2008 se compose des versions Standard Edition,
Enterprise Edition et Datacenter Edition. Chacune a un objet précis.

Windows Web Server 2008 Il s’agit de l’édition Web de Windows Server 2008. Comme cette
version est conçue pour fournir des services Web et déployer des sites et des applications Web,
ce serveur ne prend en charge que les fonctionnalités qui s’y rapportent. Ainsi, elle inclut
Microsoft .NET Framework, Microsoft Internet Information Services (IIS), ASP .NET, le
serveur d’application et l’équilibrage de charge réseau. Cependant, d’autres fonctionnalités sont
absentes, comme Active Directory, et il est nécessaire d’installer le Server Core pour bénéficier
de certaines fonctionnalités standards. Windows Web Server 2008 prend en charge jusqu’à 2 Go
de mémoire et 2 processeurs.

Remarque Les différentes versions disposent des mêmes fonctionnalités principales et des
mêmes outils d’administration. Par conséquent, vous pouvez appliquer les techniques présentées
dans cet ouvrage indépendamment de l’édition de Windows Server 2008 utilisée. Notez aussi
que puisqu’il est impossible d’installer Active Directory sur la version Web Edition, la
transformation d’un serveur équipé de Windows Web Server 2008 en contrôleur de domaine
n’est pas réalisable ; en revanche, un tel serveur peut faire partie d’un domaine Active Directory.

Astuce Les plates-formes 64 bits ont considérablement évolué depuis leur première introduction
dans les systèmes d’exploitation Windows. Pour désigner les systèmes 32 bits conçus pour une
architecture x86, nous employons généralement le terme système 32 bits et le terme système 64
bits pour les systèmes 64 bits conçus pour une architecture x64. Les systèmes d’exploitation
Windows ne prennent plus en charge par défaut les processeurs Itanium 64 bits (IA-64).
Microsoft a développé une édition séparée de Windows Server 2008 pour les ordinateurs
Itanium, laquelle fournit des fonctions de serveur spécifiques. Il se peut par conséquent que
certains rôles et fonctionnalités ne soient pas pris en charge sur les systèmes IA-64.

Guide de l’administrateur (William R. Stanek)


2

28
Lorsque vous installez un système Windows Server 2008, vous configurez le système en fonction de son
rôle sur le réseau :
 Les serveurs sont généralement affectés à un groupe de travail ou un domaine.
 Les groupes de travail sont des regroupements informels d’ordinateurs où chacun est administré
séparément.
 Les domaines sont des ensembles d’ordinateurs gérables collectivement par les contrôleurs de
domaine, des systèmes Windows Server 2008 qui régissent l’accès au réseau, à la base de
données de l’annuaire et aux ressources partagées.

Remarque Dans ce chapitre, « Windows Server 2008 » et « la famille Windows Server 2008 »
font référence à l’ensemble de quatre produits : Windows Server 2008 Standard Edition,
Windows Server 2008 Enterprise Edition, Windows Server 2008 Datacenter Edition et Windows
Web Server 2008. Les différentes versions disposent des mêmes fonctionnalités de base et des
mêmes outils d’administration.

Toutes les versions de Windows Server 2008 vous permettent de configurer le menu Démarrer à votre
convenance. Deux options sont possibles :
Menu de démarrage classique Il s’agit du menu qui existait dans les précédentes versions de
Windows. En cliquant sur Démarrer, on affiche un menu qui donne un accès direct aux menus
standards et à certains éléments.

Avec le menu de démarrage classique, vous accédez aux outils d’administration en cliquant sur
Démarrer puis sur Programmes et sur Outils d’administration. Pour accéder au Panneau de
configuration, cliquez sur Démarrer, Paramètres, Panneau de configuration.

Menu de démarrage simplifié Ce menu permet l’accès direct aux programmes et aux tâches les
plus couramment utilisés. Par exemple, pour accéder aux disques durs et aux périphériques de
stockage amovible d’un serveur, cliquez sur Démarrer puis sur Ordinateur.

Avec le menu de démarrage simplifié, vous accédez aux outils d’administration en cliquant sur
Démarrer puis sur Outils d’administration. Pour accéder au Panneau de configuration, cliquez
sur Démarrer puis sur Panneau de configuration.

Options de réseau

La configuration du partage et de la découverte dans le Centre Réseau et partage contrôle les


principaux paramètres du réseau. Lorsque les paramètres de découverte de réseau sont activés et
qu’un serveur est connecté à un réseau, le serveur peut voir et être vu par les autres ordinateurs et
périphériques du réseau. Quand les paramètres de partage sont activés ou désactivés, les
différentes options de partage sont autorisées ou restreintes. Comme mentionné au chapitre 15, «
Partage, sécu- rité et audit des données », les options de partage incluent le partage de fichiers, de
dossiers publics, d’imprimante et le partage protégé par mot de passe.

Avec Windows Vista et Windows Server 2008, un réseau est identifié comme l’un des types de
réseau suivants :

Guide de l’administrateur (William R. Stanek)


2

29
Réseau avec domaine Dans un réseau avec domaine, les ordinateurs sont connectés au domaine
d’entreprise auquel ils appartiennent. Par défaut, la découverte est autorisée sur un réseau avec
domaine, ce qui réduit les restrictions et permet aux ordinateurs du réseau avec domaine de
découvrir d’autres ordinateurs et périphériques du même réseau.

Réseau privé Dans un réseau privé, les ordinateurs sont configurés comme membres d’un
groupe de travail et ne sont pas connectés directement à l’Internet public. Par défaut, la
découverte est autorisée sur un réseau privé, ce qui réduit les restrictions et permet aux
ordinateurs du réseau privé de découvrir d’autres ordinateurs et périphériques du même réseau.

Réseau public Dans un réseau public, les ordinateurs sont connectés à un réseau situé dans un
lieu public, comme un café ou un aéroport, et non à un réseau interne. Par défaut, la découverte
est bloquée sur un réseau public, ce qui améliore la sécurité puisque les ordinateurs du réseau
public ne peuvent découvrir d’autres ordinateurs et périphériques du même réseau.

Dans la mesure où un ordinateur enregistre séparément les paramètres pour chaque catégorie du réseau,
on peut leur appliquer différents paramètres de blocage et d’autorisation. Lorsque vous vous connectez à
un réseau pour la première fois, une boîte de dialogue vous invite à spécifier la catégorie du réseau, à
savoir privé ou public. Si vous choisissez privé et que l’ordinateur détermine qu’il est connecté au
domaine d’entreprise auquel il appartient, la catégorie du réseau se définit comme Réseau avec domaine.

2.3.1.4 Exploiter les protocoles réseau


Pour qu’un serveur accède à un réseau, vous devez installer le réseau TCP/IP (Transmission Control
Protocol/Internet Protocol) ainsi qu’une carte réseau. Windows Server 2008 emplois par défaut le
TCP/IP comme protocole WAN (Wide Area Network). Généralement, on met en œuvre le réseau
pendant l’installation du système d’exploitation, mais il est aussi possible d’installer le réseau TCP/IP en
passant par les propriétés de la connexion locale.

Les protocoles TCP et IP permettent aux ordinateurs de communiquer sur différents réseaux et sur
l’Internet à l’aide de cartes réseau. Comme Windows Vista, Windows Server 2008 possède une
architecture IP double couche dans laquelle les versions IPv4 (Internet Protocol version 4) et IPv6
(Internet Protocol version 6) sont mises en œuvre et partagent les mêmes couches Transport et Trame.
Alors que IPv4 possède des adresses 32 bits et qu’il s’agisse de la version la plus utilisée sur la plupart
des réseaux, y compris l’Internet, IPv6 possède des adresses 128 bits et correspond à la nouvelle
génération d’IP.

Les adresses IPv4 32 bits s’expriment généralement sous la forme de quatre valeurs décimales
distinctes, comme 127.0.0.1 ou 192.168.10.52. Ces valeurs décimales sont exprimées en octets, dans la
mesure où chacune représente 8 bits du nombre 32 bits. Dans les adresses IPv4 unicast standards,
l’adresse IP se compose de deux parties variables : l’ID du réseau et l’ID de l’hôte. L’adresse IPv4 de
l’hôte et l’adresse MAC employée par la carte réseau de l’hôte n’ont aucune relation.

2.3.1.5 Contrôleurs de domaine, serveurs membres et services de domaine

Guide de l’administrateur (William R. Stanek)


2

30
Lorsque vous installez Windows Server 2008 sur un nouveau système, vous pouvez configurer le
serveur en tant que serveur membre, contrôleur de domaine ou serveur autonome. Les différences entre
ces types de serveur sont extrêmement importantes. Les serveurs membres appartiennent à un domaine,
mais ne stockent pas d’informations d’annuaire. Les contrôleurs de domaine se distinguent des serveurs
membres par le stockage des informations d’annuaire et par leurs services d’authentification et
d’annuaire pour le domaine. Les serveurs autonomes ne font pas partie d’un domaine et disposent de
leurs propres bases de données utilisateur. C’est pourquoi ils authentifient eux-mêmes les requêtes
d’ouverture de session.

2.3.1.5 .1 Active Directory

Tout comme Windows 2000 et Windows Server 2003, Windows Server 2008 ne désigne pas de
contrôleurs de domaine principaux ou secondaires. Il utilise en revanche un modèle de réplication multi
maître selon lequel tout contrôleur de domaine peut traiter les modifications d’annuaire et les répliquer
automatiquement sur d’autres contrôleurs de domaine. Ce système diffère du modèle de réplication à
maître unique de Windows NT où le contrôleur de domaine principal stocke une copie maîtresse et les
contrôleurs de sauvegarde stockent des copies de sauvegarde de la copie maîtresse. En outre, Windows
NT ne distribuait que la base de données SAM (Security Account Manager), tandis que Windows 2000
et les versions supérieures de Windows Server distribuent un annuaire complet d’informations appelé
magasin de données. Ce dernier contient des ensembles d’objets représentant les comptes utilisateur, les
comptes de groupe et les comptes d’ordinateur, ainsi que les ressources partagées telles que les serveurs,
fichiers et imprimantes.

Les domaines qui utilisent les services Active Directory sont nommés domaines Active Directory. On
les distingue donc des domaines Windows NT. Si les domaines Active Directory ne peuvent fonctionner
qu’avec un contrôleur de domaine, il convient de configurer plusieurs contrôleurs pour le domaine. Si
un contrôleur tombe en panne, les autres prennent le relais pour gérer l’authentification et les autres
tâches critiques.

Dans Windows Server 2008, Microsoft a radicalement modifié Active Directory en réalignant la
fonctionnalité d’annuaire et en créant une famille de services apparentés :

Services de certificats Active Directory (AD CS, Active Directory Certificate Services)
AD CS fournit les fonctions nécessaires pour émettre et révoquer les certificats numériques des
utilisateurs, des ordinateurs clients et des serveurs. Ces services font appel aux autorités de
certification (CA, Certificate Authority) chargées de confirmer l’identité des utilisateurs et des
ordinateurs puis d’émettre des certificats pour confirmer ces identités. Les domaines disposent
d’une part d’autorités de certification racines d’entreprise, c’est-à-dire des serveurs de
certification situés à la base des hiérarchies de certification pour les domaines et les serveurs de
certification les plus fiables de l’entreprise, et d’autre part d’autorités de certifications
secondaires, membres d’une hiérarchie certifiée particulière d’entreprise. Les groupes de travail
bénéficient d’autorités de certification racines autonomes, à savoir les serveurs de certification
situés à la base des hiérarchies de certification externes à l’entreprise, et des autorités de
certification secondaires autonomes, membres d’une hiérarchie certifiée particulière externe à
une entreprise.

Guide de l’administrateur (William R. Stanek)


2

31
Services de domaine Active Directory (AD DS, Active Directory Domain Services)
Les Services AD DS procurent les services d’annuaire essentiels à l’établissement d’un
domaine, y compris le magasin de données qui stocke les informations sur les objets du réseau
et les met à la disposition des utilisateurs. Les Services AD DS font appel aux contrôleurs de
domaine pour gérer l’accès aux ressources du réseau. Une fois que les utilisateurs
s’authentifient en se connectant à un domaine, leurs informations d’identification stockées
peuvent être exploitées pour accéder aux ressources du réseau. Comme les Services AD DS
constituent le coeur d’Active Directory et qu’ils sont indispensables aux applications et
technologies qui fonctionnent avec l’annuaire, nous emploierons simplement le terme Active
Directory pour désigner les Services AD DS ou Services de domaine Active
Directory.

Services AD FS (Active Directory Federation Services) Les Services AD FS complètent les


fonctionnalités d’authentification et de gestion d’accès des Services AD DS en les développant
pour le World Wide Web. Les Services AD FS font appel à des agents Web pour donner aux
utilisateurs un accès aux applications Web et proxys, hébergés en interne, qui gèrent l’accès
client. Une fois les Services AD FS configurés, les utilisateurs emploient leur identité
numérique pour s’authentifier sur le Web et accéder aux applications

Web hébergées en interne à l’aide d’un navigateur Web comme Internet Explorer.

Services AD LDS (Active Directory Lightweight Directory Services) Les Services AD LDS
fournissent un magasin de données pour les applications fonctionnant avec l’annuaire qui ne
nécessitent pas les Services AD DS et qui n’ont pas besoin d’être déployées sur des contrôleurs
de domaine. Ce service ne
fonctionne pas comme un service de système d’exploitation et il s’exploite autant dans des
environnements de domaine que de groupe de travail. Chaque application qui s’exécute sur un
serveur dispose de son propre magasin de données implémenté via les Services AD LDS.

Services AD RMS (Active Directory Rights Management Services) Les Services AD RMS
procurent une couche destinée à protéger les informations d’une organisation et qui peut
s’étendre hors de l’entreprise, protégeant ainsi les messages électroniques, les documents et les
pages Web en intranet, contre tout accès non autorisé. Les Services AD RMS exploitent d’une
part un service de certification qui émet des certificats de comptes de droits qui identifient les
utilisateurs, groupes et services approuvés, d’autre part un service de licences qui donne un
accès aux informations protégées aux utilisateurs, groupes et services autorisés et enfin un
service de journalisation qui surveille et dépanne les Services AD RMS. Une fois l’approbation
établie, les utilisateurs qui possèdent un certificat de compte de droits peuvent assigner des
droits aux informations. Ces droits déterminent les utilisateurs qui peuvent accéder aux
informations et comment ils sont autorisés à en disposer. Les utilisateurs munis de certificats de
compte de droits bénéficient également d’un accès au contenu protégé auquel ils ont reçu
l’autorisation d’accès. Le chiffrement garantit le contrôle de l’accès aux informations protégées
dans et hors de l’entreprise.

2.3.1.5 .2 Contrôleurs de domaine en lecture seule

Guide de l’administrateur (William R. Stanek)


2

32
Windows Server 2008 prend en charge les contrôleurs de domaine en lecture seule ainsi que les Services
AD DS redémarrables. Un contrôleur de domaine en lecture seule est un contrôleur de domaine
supplémentaire qui héberge une copie en lecture seule du magasin de données Active Directory d’un
domaine. Ce type de contrôleur répond tout particulièrement aux besoins d’une entreprise qui possède
des succursales où il est impossible de garantir la sécurité physique du contrôleur de domaine. Hormis
les mots de passe, les contrôleurs de domaine en lecture seule stockent les mêmes objets et attributs que
les contrôleurs de domaine inscriptibles. Ces objets et attributs sont répliqués de manière
unidirectionnelle sur les contrôleurs de domaine en lecture seule à partir d’un contrôleur de domaine
inscriptible qui agit comme un partenaire de réplication. Comme, par défaut, les contrôleurs de domaine
en lecture seule ne stockent pas d’autres mots de passe ou d’informations d’identification que leur
propre compte d’ordinateur et le compte Kerberos Target (krbtgt), ils prélèvent les informations
d’identification de l’utilisateur et de l’ordinateur sur un contrôleur de domaine inscriptible exécutant
Windows Server 2008. Si la stratégie de réplication de mot de passe mise en oeuvre sur le contrôleur de
domaine inscriptible le permet, le contrôleur de domaine en lecture seule récupère puis met en cache les
informations d’identification autant de temps que nécessaire, jusqu’à ce qu’elles soient modifiées.
Comme seul un sous-ensemble des informations d’identification est stocké sur un contrôleur de domaine
en lecture seule, le nombre d’informations susceptibles d’être compromises est limité.

Astuce Il est possible de déléguer à tout utilisateur de domaine les droits d’administrateur local
d’un contrôleur de domaine en lecture seule sans qu’il bénéficie d’autres droits dans le
domaine. Un contrôleur de domaine en lecture seule ne peut agir comme un catalogue global ou
détenteur du rôle de maître des opérations. Même si ce type de contrôleur peut récupérer des
informations sur les contrôleurs de domaine exécutant Windows Server 2008, il ne peut obtenir
que des mises à jour de la partition du domaine sur le contrôleur de domaine inscriptible
exécutant Windows Server 2008 dans le même domaine.

2.3.1.5 .3 Services AD DS redémarrables


Les Services AD DS redémarrables permettent à l’administrateur de démarrer et d’interrompre les
Services de domaine Active Directory. Dans la console Services, les Services de domaine Active
Directory sont disponibles sur les contrôleurs de domaine, ce qui permet d’arrêter et de redémarrer
facilement les Services AD DS comme tout autre service qui s’exécute localement sur le serveur. Les
Services AD DS interrompus, il est possible d’effectuer des tâches de maintenance qui auraient exigé le
redémarrage du serveur, comme la défragmentation hors ligne de la base de données Active Directory,
les mises à jour du système d’exploitation ou une restauration faisant autorité. Lorsque les Services AD
DS sont arrêtés sur un serveur, les autres contrôleurs de domaine peuvent traiter les tâches
d’authentification et d’ouverture de session. Les informations d’identification cachées, les cartes à puce
et les méthodes d’ouverture de session biométriques restent prises en charge. Si aucun autre contrôleur
de domaine n’est disponible et qu’aucune de ces méthodes d’ouverture de session ne s’applique, il reste
possible de se connecter au serveur à l’aide du compte et du mot de passe en mode restauration des
services d’annuaire.

Tous les contrôleurs de domaine exécutant Windows Server 2008 prennent en charge les Services AD
DS redémarrables, même les contrôleurs de domaine en lecture seule. En tant qu’administrateur, vous
pouvez démarrer ou arrêter les Services AD DS en passant par l’entrée Contrôleur de domaine de
l’utilitaire Services. Avec Active Directory redémarrable, les contrôleurs de domaine exécutant
Windows Server 2008 peuvent avoir trois états :

Guide de l’administrateur (William R. Stanek)


2

33
Active Directory démarré Dans cet état, Active Directory est démarré et le contrôleur de
domaine a le même état de fonctionnement qu’un contrôleur de domaine exécutant Windows
2000 Server ou Windows Server 2003. Le contrôleur de domaine peut ainsi authentifier et
connecter les clients qui veulent accéder à un domaine.

Active Directory arrêté Dans cet état, Active Directory est arrêté et le contrôleur de domaine
n’est plus en mesure de fournir les services d’authentification et d’ouverture de session. Ce
mode partage certaines caractéristiques d’un serveur membre et d’un contrôleur de domaine en
mode restauration des services d’annuaire. Tout comme un serveur membre, le serveur est associé
au domaine. Les utilisateurs peuvent se connecter de manière interactive par le biais
d’informations d’identification cachées, de cartes à puce et de méthodes d’ouverture de session
biométriques. Ils peuvent également se connecter au réseau à l’aide d’un autre contrôleur de
domaine qui gère la connexion au domaine. À l’instar du mode restauration des services
d’annuaire, la base de données Active Directory (Ntds.dit) du contrôleur de domaine local est
placée hors ligne. Cela signifie qu’il est possible d’effectuer des opérations hors ligne sur les
Services AD DS, comme défragmenter la base de données et appliquer des mises à jour de
sécurité sans redémarrer le contrôleur de domaine.

Mode restauration des services d’annuaire Dans cet état, Active Directory est en mode
restauration. L’état de restauration du contrôleur de domaine est identique dans Windows
Server 2003. Ce mode permet d’exécuter une restauration faisant autorité ou non de la base de
données Active Directory.

Si vous travaillez avec les Services AD DS en état Arrêté, il ne faut pas oublier que les services qui en
dépendent sont également interrompus. Cela signifie que le service de réplication des fichiers (FRS, File
Replication Service), le service du centre de distribution de clés Kerberos et celui de Messagerie
intersite s’interrompent avant l’arrêt d’Active Directory et que, même s’ils continuent à fonctionner, ils
redémarreront avec Active Directory. En outre, alors qu’il est possible de redémarrer un contrôleur de
domaine en mode restauration des services d’annuaire, ce n’est pas le cas si Active Directory est en état
Arrêté. Pour activer l’état Arrêté, vous devez au préalable démarrer normalement le contrôleur de
domaine puis arrêter les Services AD DS.

2.3.1.5 .4 Service de résolution de noms


Les systèmes d’exploitation Windows font appel à la résolution de noms pour faciliter la communication
avec les autres ordinateurs d’un réseau. La résolution de noms associe les noms des ordinateurs aux
adresses IP numériques utilisées pour les communications sur le réseau. De cette manière, au lieu de
recourir à de longues séries de chiffres, les utilisateurs emploient un nom familier pour accéder à un
ordinateur du réseau. Windows Vista et Windows Server 2008 prennent en charge trois systèmes de
résolution de noms en natif :
 DNS (Domain Name System)
 WINS (Windows Internet Name Service)
 LLMNR (Link-Local Multicast Name Resolution)

Ces services sont traités dans les sections suivantes.

Guide de l’administrateur (William R. Stanek)


2

34
2.3.1.6 DNS

DNS est un service de résolution de noms qui transforme les noms d’ordinateurs en adresses IP. Par
exemple, le nom d’hôte complet ordinateur84.monentreprise.com peut être résolu en adresse IP,
permettant aux ordinateurs de se retrouver réciproquement. DNS fonctionne avec la pile de protocole
TCP/IP et peut être intégré à WINS, DHCP (Dynamic Host Configuration Protocol) et les Services de
domaine Active Directory. Comme expliqué au chapitre 19, « Mise en œuvre des clients et des serveurs
DHCP », le protocole DHCP est destiné à l’adressage IP dynamique et à la configuration TCP/IP.

DNS organise des groupes d’ordinateurs en domaines. Leur organisation hiérarchique peut être définie
sur l’Internet dans le cas de réseaux publics ou sur des réseaux d’entreprise dans le cas de réseaux privés
(également appelés intranets et extranets). Les différents niveaux de la hiérarchie identifient les
ordinateurs individuels, les domaines d’organisation et les domaines de niveau supérieur. Dans le nom
d’hôte complet ordinateur84.entreprise.com, ordinateur84 représente le nom d’hôte de l’ordinateur
individuel, entreprise le domaine d’organisation et com le domaine de niveau supérieur.

Les domaines de niveau supérieur sont à la racine de la hiérarchie DNS et sont par conséquent appelés
domaines racines. Ils sont organisés géographiquement, par type d’organisation et par fonction. Les
domaines normaux, comme monentreprise.com, sont également nommés domaines parents, car ils sont
les parents d’une structure organisationnelle. Les domaines parents peuvent être divisés en sous-
domaines, employés pour les groupes ou les départements au sein d’une organisation.

Les sous-domaines sont souvent appelés domaines enfants. Par exemple, le nom de domaine complet
d’un ordinateur du département des ressources humaines peut être jacques.rh.entreprise.com, où,
jacques est le nom d’hôte, rh le domaine enfant et entreprise.com le domaine parent.

Les domaines Active Directory emploient DNS pour mettre en oeuvre leur hiérarchie et leur structure de
noms. Active Directory et DNS sont étroitement intégrés, à tel point que vous devez installer DNS sur le
réseau avant de pouvoir installer les contrôleurs de domaine à l’aide d’Active Directory. Lors de
l’installation du premier contrôleur de domaine sur un réseau Active Directory, vous avez la possibilité
d’installer automatiquement DNS si aucun serveur DNS n’est détecté sur le réseau. Vous pouvez
également indiquer si vous voulez intégrer pleinement DNS et Active Directory. Dans la plupart des cas,
répondez affirmativement aux deux requêtes. Avec une intégration complète, les informations DNS sont
stockées directement dans Active Directory et vous profitez au mieux des capacités d’Active Directory.
La différence entre intégration partielle et complète est très importante. Reportez-vous au chapitre 20, «
Optimisation de DNS » pour retrouver la comparaison entre ces deux types d’intégration.

Pour activer DNS sur le réseau, configurez les clients et les serveurs DNS. Pour configurer les clients
DNS, vous leur indiquez les adresses IP des serveurs DNS du réseau. Les clients se servent de ces
adresses pour communiquer avec les serveurs DNS n’importe où sur le réseau, même s’ils se situent sur
des sous-réseaux différents.

Lorsque le réseau emploie DHCP, vous devez configurer DHCP pour qu’il travaille avec DNS. Pour ce
faire, définissez les options d’étendue 015 Nom de domaine DNS et 006 Serveurs DNS selon les
indications de la section « Options d’étendue » du chapitre 19. De plus, si des ordinateurs du réseau

Guide de l’administrateur (William R. Stanek)


2

35
doivent être accessibles à partir d’autres domaines Active Directory, vous devez leur créer des
enregistrements dans DNS. Les enregistrements DNS sont organisés en zones, une zone étant un simple
secteur à l’intérieur d’un domaine. La configuration d’un serveur DNS est expliquée à la section «
Configurer un serveur DNS principal » du chapitre 20.

Lorsque vous installez le service Serveur DNS sur un contrôleur de domaine en lecture seule, celui-ci
est en mesure de récupérer une copie en lecture seule de toutes les partitions de l’annuaire de
l’application qui sont utilisées par DNS, y compris ForestDNSZones et DomainDNSZones. Les clients
peuvent alors interroger le contrôleur de domaine en lecture seule pour la résolution de noms, tout
comme ils interrogeraient n’importe quel autre serveur DNS. En revanche, le serveur DNS installé sur
un contrôleur de domaine en lecture seule ne prend pas plus en charge les mises à jour directes que les
mises à jour de l’annuaire. Cela signifie que le contrôleur de domaine en lecture seule ne consigne pas
les enregistrements de ressource du serveur de noms (NS, Name Server) pour toutes les zones intégrées
à Active Directory qu’il héberge. Lorsqu’un client tente de mettre à jour ses enregistrements DNS avec
un contrôleur de domaine en lecture seule, le serveur le renvoie à un serveur DNS en mesure de traiter la
mise à jour. Le serveur DNS du contrôleur de domaine en lecture seule reçoit l’enregistrement mis à
jour envoyé par le serveur DNS qui reçoit les détails concernant la mise à jour suite à une requête
spéciale de réplication d’objet unique qui fonctionne à l’arrière-plan.

2.3.1.7 WINS

WINS est un service de résolution de noms qui transforme les noms d’ordinateurs en adresses IP. De
cette manière, le nom d’ordinateur ORDINATEUR84 peut être résolu en adresse IP, ce qui permet aux
ordinateurs d’un réseau Microsoft de se retrouver et de se transférer des informations. WINS est
nécessaire pour prendre en charge les systèmes antérieurs à Windows 2000 et les applications
précédentes qui font appel au NetBIOS (Network Basic Input/Output System) sur TCP/IP, tels que les
utilitaires en ligne de commandes NET. Si vous ne possédez pas de systèmes ou d’applications
antérieurs à Windows 2000 sur le réseau, il n’est pas nécessaire de recourir à WINS.

WINS fonctionne mieux dans les environnements client-serveur où les clients WINS envoient des
requêtes de résolution de noms aux serveurs WINS, lesquels résolvent la requête et répondent. Les
ordinateurs recourent au NetBIOS pour transmettre les requêtes WINS et autres informations. Le
NetBIOS fournit l’API qui permet aux ordinateurs de communiquer sur un réseau. Les applications
NetBIOS se servent du service WINS ou du fichier LMHOSTS local pour résoudre les noms
d’ordinateurs en adresses IP. Sur les réseaux pré-Windows 2000, WINS est le principal service de
résolution de noms disponible. Sur Windows 2000 et les réseaux ultérieurs, c’est DNS qui occupe cette
fonction, tandis que WINS a reçu d’autres attributions. Il permet désormais aux systèmes pré-Windows
2000 de parcourir les listes de ressources du réseau et aux systèmes Windows 2000 et ultérieurs de
localiser les ressources NetBIOS.

Pour activer la résolution de noms WINS sur un réseau, il vous faut configurer les clients et les serveurs
WINS. Lorsque vous configurez les clients WINS, vous leur indiquez les adresses IP des serveurs
WINS du réseau. Les clients se servent de ces adresses IP pour communiquer avec les serveurs WINS
n’importe où sur le réseau, même s’ils se situent sur des sous-réseaux différents. Les clients WINS

Guide de l’administrateur (William R. Stanek)


2

36
peuvent également communiquer à l’aide d’une méthode de diffusion qui consiste à diffuser les
messages des clients aux autres ordinateurs du segment du réseau local en demandant leur adresse IP.
Comme les messages sont diffusés, le serveur WINS n’est pas mis à contribution. Tous les clients non-
WINS qui prennent en charge ce type de diffusion de messages ont également la possibilité de faire
appel à cette méthode pour résoudre des noms d’ordinateurs en adresses IP.

Lorsque les clients communiquent avec des serveurs WINS, ils établissent des sessions dont le
processus se divise en trois parties :

Enregistrement de noms Lors de l’enregistrement du nom, le client donne au serveur son nom
d’ordinateur et son adresse IP et demande à être ajouté à la base de données WINS. Si le nom
d’ordinateur spécifié et l’adresse IP ne sont pas déjà utilisés sur le réseau, le serveur WINS
accepte la requête et enregistre le client dans la base de données WINS.

Renouvellement de noms L’enregistrement du nom n’est pas permanent. En effet, le client


utilise le nom pendant une période spécifiée, appelée bail. Le client reçoit également une
période, l’intervalle de renouvellement, pendant laquelle le bail doit être renouvelé. Pendant
cette période, le client doit s’enregistrer à nouveau auprès du serveur WINS.

Libération de noms Si le client ne peut renouveler le bail, l’enregistrement de nom est libéré, permettant
à un autre système d’utiliser le nom et/ou l’adresse IP de l’ordinateur. Les noms sont également libérés
lorsque l’on éteint un client WINS.

Une fois qu’un client a établi une session avec un serveur WINS, il peut faire appel aux services de
résolution de noms. La méthode employée pour résoudre les noms d’ordinateurs en adresses IP dépend
de la configuration du réseau. Voici les quatre méthodes de résolution de noms disponibles :

Diffusion (B-node) Les messages de diffusion sont utilisés pour résoudre des noms
d’ordinateurs en adresses IP. Les ordinateurs qui ont besoin de résoudre un nom diffusent un
message à chaque hôte du réseau local, demandant l’adresse IP pour un nom d’ordinateur. Sur
un vaste réseau comportant des centaines ou des milliers d’ordinateurs, ces messages de
diffusion peuvent mobiliser une part considérable de la bande passante du réseau.

Point-à-point (P-node) Les serveurs WINS sont exploités pour résoudre des noms
d’ordinateurs en adresses IP. Nous avons expliqué précédemment que les sessions des clients
sont composées de trois parties : enregistrement de noms, renouvellement de noms et libération
de noms. Dans ce mode, lorsqu’un client doit résoudre un nom d’ordinateur en adresse IP, il
envoie un message de requête au serveur qui lui retourne une réponse.

Mixte (M-node) Cette méthode combine les méthodes Diffusion et Point-à-point. Avec la
méthode mixte, un client WINS tente d’abord la diffusion pour résoudre un nom. Si la tentative
échoue, il essaie la méthode point-à-point.
Comme la diffusion est essayée en premier lieu, cette méthode entraîne les mêmes problèmes
concernant la bande passante que la diffusion.

Guide de l’administrateur (William R. Stanek)


2

37
Hybride (H-node) Cette méthode combine également les deux premières. Avec la méthode
hybride, un client WINS tente d’abord de résoudre un nom point-à-point. Si la tentative échoue,
il essaie la diffusion. Comme le point à-point constitue la méthode principale dans ce mode, la
méthode hybride est celle qui fournit les meilleures performances sur la plupart des réseaux.
Elle est aussi la méthode par défaut pour la résolution de noms WINS.

Si des serveurs WINS sont disponibles sur le réseau, les clients Windows font appel à la méthode
hybride pour résoudre des noms. Si aucun serveur WINS n’est disponible, ils emploient la méthode de
diffusion. Les ordinateurs Windows peuvent également recourir à DNS et aux fichiers locaux
LMHOSTS et HOSTS pour résoudre des noms de réseaux. Pour exploiter DNS, reportez-vous au
chapitre 20, « Optimisation de DNS ».

Si vous utilisez DHCP pour attribuer des adresses IP dynamiquement, définissez la méthode de
résolution de noms pour les clients DHCP. Pour ce faire, définissez les options de portée DHCP du type
de nœud 046 WINS/NBT selon les indications de la section « Options d’étendue » du chapitre 19. La
meilleure méthode est la méthode hybride. Elle donne les meilleures performances et réduit le trafic du
réseau.

2.3.1.8 LLMNR

La LLMNR (Link-Local Multicast Name Resolution, résolution de noms sur un réseau local) assiste les
services de résolution de noms point-à-point des périphériques équipés des protocoles IPv4, IPv6 ou des
deux adresses. Si ces derniers se trouvent sur un sous-réseau sans serveur DNS ou WINS, elle leur
permet de résoudre les noms de chacun, service que WINS ou DNS ne fournissent pas complètement. Si
WINS offre des services de résolution de noms client-serveur et point-à-point pour IPv4, ce n’est pas le
cas des adresses IPv6. DNS prend en charge les adresses IPv4 et IPv6, mais il dépend des serveurs
désignés pour pouvoir résoudre des noms.

Windows Vista et Windows Server 2008 prennent tous deux en charge LLMNR. Elle est conçue pour
les clients IPv4 et IPv6 quand les autres systèmes de résolution de noms ne sont pas disponibles, tels que
:
 Réseaux domestiques ou de petite entreprise ;
 Réseaux ad hoc ;
 Réseaux d’entreprise où les services DNS ne sont pas disponibles.

La LLMNR a pour objectif de compléter le système DNS en se chargeant de la résolution de noms


lorsque celle-ci ne peut avoir lieu avec les méthodes conventionnelles relatives au DNS. Même si elle
peut remplacer WINS dans les cas où NetBIOS n’est pas indispensable, il ne s’agit pas d’un substitut du
DNS car elle n’opère que sur le sous-réseau local. Comme le trafic LLMNR ne peut pas se propager à
travers les routeurs, il est impossible qu’il submerge le réseau.

À l’instar de WINS, on fait appel à la LLMNR pour résoudre un nom d’hôte, comme
ORDINATEUR84, en adresse IP. Par défaut, elle est activée sur tous les ordinateurs exécutant Windows
Vista et Windows Server 2008, mais ils n’y recourent que lorsque toutes les tentatives d’obtenir un nom

Guide de l’administrateur (William R. Stanek)


2

38
d’hôte via DNS ont échoué. Par conséquent, voici comment fonctionne la résolution de noms avec
Windows Vista et Windows Server 2008 :

1. Un ordinateur hôte envoie une requête à son serveur DNS configuré principal. Si l’ordinateur ne
reçoit pas de réponse ou reçoit une erreur, il essaie tous les autres serveurs DNS configurés. Si
l’hôte ne possède aucun serveur DNS configuré ou qu’il ne parvient pas à se connecter à un
serveur DNS sans erreur, la résolution de noms s’en remet à la LLMNR.

2. L’ordinateur hôte envoie une requête multicast sur UDP (User Datagram Protocol) pour
obtenir l’adresse IP du nom recherché. Cette requête est restreinte au sous-réseau local (appelé
également lien local).

3. Chaque ordinateur du sous-réseau local prenant en charge la LLMNR et configuré pour


répondre aux requêtes entrantes reçoit la requête et compare le nom à son propre nom d’hôte.
Si le nom d’hôte ne correspond pas, l’ordinateur rejette la requête. S’il correspond, il transmet à
l’hôte un message unicast contenant son adresse IP.

La LLMNR sert également au mappage inverse. Un ordinateur envoie dans ce cas une requête unicast à
une adresse IP spécifique, demandant le nom d’hôte de l’ordinateur cible. Un ordinateur prenant en
charge la LLMNR qui reçoit la requête envoie une réponse unicast avec son nom d’hôte à l’hôte
d’origine.

Les ordinateurs prenant en charge la LLMNR sont nécessaires pour garantir que leur nom est unique sur
le sous-réseau local. Dans la plupart des cas, un ordinateur effectue cette vérification au démarrage,
après un état de pause et lorsque vous modifiez ses paramètres d’interface réseau. Si un ordinateur n’a
pas encore déterminé que son nom est unique, il doit indiquer cette condition quand il répond à une
requête de nom.

Guide de l’administrateur (William R. Stanek)


2

39
CHAPITRE 3 : ETUDE TECHNIQUE 

3.1 Présentation

Pour qu’un projet de conception de réseau réussisse, il est essentiel que tous les objectifs commerciaux
soient abordé par la nouvelle conception. Les éléments à inclure dans la conception sont déterminés en
plusieurs étapes.

A chaque étape du processus, le concepteur du réseau tient compte des objectifs et exigences, des
capacités du réseau existant et des nouvelles technologies qui doivent être intégrées.
Pour produire la conception finale, le concepteur du réseau choisit les meilleures solutions
d’équipements et de technologies pour répondre aux objectifs et exigence du client.

Dans ce chapitre nous allons effectuer les tâches suivantes :


Analyser les objectifs commerciaux et les exigences techniques pour produire la conception requise.
Concevoir les topologies des couches cœur de réseau, de distribution et d’accès pour le réseau d’un
campus.
Concevoir le module de connectivité du réseau étendu et la prise en charge des employés à distance.
Intégrer la sécurité dans la conception du réseau.

3.1.1 Analyse des objectifs commerciaux et des spécifications techniques

La conception de la mise à niveau du réseau commence uniquement une fois toutes les exigences
réunies et le réseau existant analysé.

Le concepteur du réseau examine d’abord les objectifs commerciaux hiérarchisés. Plus tôt au cours du
processus, le concepteur crée le document Exigences de conception, qui énumère les objectifs
commerciaux, ainsi que les spécifications techniques correspondantes. Pour que le projet réussisse, la
nouvelle conception doit absolument prendre en compte tous les objectifs commerciaux.

Le processus de détermination de la manière de concevoir un réseau pour atteindre les objectifs


commerciaux comprend plusieurs étapes. Le concepteur procède généralement comme suit :

Étape 1 : énumération des objectifs commerciaux que la nouvelle conception doit atteindre.
Étape 2 : détermination des modifications ou ajouts nécessaires pour que l’entreprise atteigne
ses objectifs.
Étape 3 : choix des spécifications techniques nécessaires pour l’implémentation de chaque
modification.
Étape 4 : détermination de la manière dont la conception peut répondre à chacune des
spécifications techniques.
Étape 5 : choix des éléments de conception à inclure obligatoirement dans la conception finale.

En suivant ces étapes pour chacun des objectifs commerciaux, le concepteur détermine ce qu’il faut
inclure dans la conception du réseau.
40
Gestion des contraintes

Le document Exigences de conception inclut une liste de contraintes. En général, il est nécessaire de
faire des compromis lorsque des contraintes affectent la conception. Le concepteur du réseau analyse
toutes les solutions possibles et sélectionne les meilleures à inclure dans la conception.

Réalisation de compromis

Un compromis revient à échanger un avantage contre un autre, jugé plus souhaitable. Les contraintes de
la conception de réseau imposent souvent des compromis entre la conception idéale et une conception
effectivement réalisable. Les compromis entre les avantages d’une solution idéale et la réalité des
contraintes de coût ou de temps sont fréquents. Il appartient au concepteur de réduire les effets de ces
compromis sur les principaux objectifs d’extensibilité, de disponibilité, de sécurité et de facilité de
gestion.

Pour chaque compromis survenant durant la phase de conception, le concepteur doit s’assurer que le
client en est informé et qu’il y consent.

3.1.2 Analyse en matière de disponibilité

Des transactions Web incomplètes peuvent entraîner des pertes de revenus pour une entreprise. Si la
surveillance de la sécurité devient indisponible, la sécurité des clients risque d’être compromise. En cas
de panne du système téléphonique, les communications vitales sont perdues.

Le concepteur du réseau doit développer une stratégie de disponibilité qui offre une protection maximale
contre les défaillances et dont l’implémentation n’est pas trop coûteuse. Afin de répondre à l’exigence
de temps de fonctionnement de près de 100 % des applications réseau, le concepteur doit implémenter
des caractéristiques de disponibilité et de redondance élevées dans la nouvelle conception.

Disponibilité pour le commerce électronique.

Un site Web non fiable peut rapidement se transformer en problème de prise en charge et même
décourager les clients d’effectuer des transactions. Pour garantir la fiabilité nécessaire au commerce
électronique, appliquez les recommandations suivantes :

 Connecter en double les serveurs sur deux commutateurs de couche d’accès différents ;
 Fournir des connexions redondantes à la couche de distribution ;
 Fournir des serveurs DNS secondaires colocalisés au niveau du FAI ;
 Inclure une surveillance supplémentaire, au niveau local et via Internet, pour les périphériques
sur le chemin d’accès critique ;
 Dans la mesure du possible, inclure des alimentations et des modules redondants dans les
équipements critiques ;
 Fournir un générateur de sauvegarde ;
 Choisir une stratégie de protocole de routage qui garantisse une convergence rapide et un
fonctionnement fiable ;
 Étudier la possibilité d’avoir recours à un fournisseur de services Internet (FAI) supplémentaire
ou d’établir une connectivité redondante au FAI unique.

41
Système de surveillance de la sécurité

Les serveurs qui maintiennent les fichiers vidéo et le logiciel de gestion de la sécurité ont les mêmes
exigences en matière de disponibilité que les serveurs de commerce électronique. Les mesures
supplémentaires suivantes sont nécessaires pour les caméras et l’équipement de surveillance :

 caméras redondantes dans les zones critiques, connectées à des commutateurs distincts pour
limiter l’impact d’une défaillance ;
 PoE (Power over Ethernet) pour les caméras, avec générateur de sauvegarde.

Système de téléphonie sur IP

Bien que l’installation du nouveau système de téléphonie sur IP dépasse le cadre de ce projet de
conception de réseau, le concepteur du réseau doit tout de même examiner les exigences en matière de
disponibilité de la conception. Il étudie les exigences suivantes pour fournir une redondance et une
disponibilité élevée sur les commutateurs de couche d’accès :

 implémentation d’une connectivité de couche 3 entre les périphériques de couche d’accès et de


couche de distribution dans la mesure du possible ;
 alimentation redondante et sauvegarde ASC ;
 création de chemins d’accès redondants de la couche d’accès vers la couche cœur de réseau ;
 réduction de la taille des domaines défaillants ;
 si possible, sélection d’équipements pouvant prendre en charge des composants redondants ;
 utilisation d’un protocole de routage rapide convergent, tel que le protocole EIGRP.

3.1.3 Exigences en matière de performances du réseau

Les réseaux convergents, tels que le réseau en cours de conception pour le stade, acheminent une
combinaison de trafic vocal, de trafic vidéo et de trafic de données. Chaque type de trafic a des
exigences uniques en matière de service.

Les caractéristiques des applications sur un réseau convergent typique sont les suivantes :

 paquets de diverses tailles ;


 groupes de protocoles distincts ;
 différentes tolérances au délai et à la gigue.

Parfois, les exigences de service d’une application entrent en conflit avec celles d’une autre, ce qui se
traduit par des problèmes de performances. Dans une telle situation, les utilisateurs frustrés appellent le
centre d’assistance pour signaler la lenteur de leur application.

Même les professionnels de l’informatique qualifiés et expérimentés ont du mal à maintenir des
performances d’application élevées. Il s’avère difficile de déployer de nouvelles applications et de
nouveaux services sans perturber ceux qui existent déjà.

Le concepteur du réseau crée une liste de considérations et d’objectifs de conception qui pourraient
affecter les performances de ces applications prioritaires.

42
3.1.4 Exigences en matière de sécurité

La sécurité est un domaine de la conception de réseau avec lequel il ne faut pas transiger. Bien qu’il soit
parfois nécessaire de trouver des moyens moins coûteux ou plus complexes de sécuriser un réseau, il est
inacceptable d’ignorer la sécurité pour ajouter d’autres fonctionnalités au réseau.

Une évaluation des risques permet d’identifier les zones où le réseau est le plus vulnérable. Les réseaux
contenant des informations hautement confidentielles ou critiques présentent souvent des considérations
particulières en matière de sécurité. Les organisations procèdent à des évaluations des risques dans le
cadre de la continuité générale des activités et de la planification de la reprise après sinistre.

Pour la plupart des réseaux, l’application des pratiques standard recommandées en matière de
déploiement de la sécurité se révèle bénéfique. Les pratiques de sécurité recommandées sont les
suivantes :

 Utilisation de pare-feu pour séparer tous les niveaux du réseau d’entreprise sécurisé des autres
réseaux non sécurisés, tels qu’Internet. Configuration des pare-feu afin de surveiller et contrôler
le trafic, à partir d’une stratégie de sécurité formelle.
 Création de communications sécurisées en utilisant les réseaux privés virtuels pour chiffrer les
informations avant de les envoyer via des réseaux tiers ou non protégés.
 Prévention des attaques et des intrusions sur le réseau en déployant des systèmes de protection
contre les intrusions (IPS). Ces systèmes analysent le réseau à la recherche de comportements
nuisibles ou malveillants et alertent les administrateurs réseau.
 Contrôle des menaces Internet en employant des défenses pour protéger le contenu et les
utilisateurs contre les virus, les logiciels espions et les courriers indésirables.
 Gestion de la sécurité des points d’extrémité pour protéger le réseau en vérifiant l’identité de
chaque utilisateur avant de lui en autoriser l’accès.
 Mise en place de mesures de sécurité physiques pour empêcher l’accès non autorisé aux
installations et périphériques du réseau.
 Sécurisation des points d’accès sans fil et déploiement de solutions de gestion sans fil.

3.1.5 Compromis et conception de réseau

Une fois que le concepteur du réseau a énuméré tous les éléments à inclure dans la conception de mise à
niveau, il reste des décisions difficiles à prendre. Malheureusement, peu de réseaux peuvent être conçus
sans tenir compte des éléments suivants :

 le coût du réseau ;
 la difficulté d’implémentation ;
 les future exigences en matière de prise en charge.

La prise en charge des objectifs commerciaux peut conduire à des décisions qui éliminent ou
compliquent d’autres améliorations souhaitables ou nécessaires. Par exemple, l’ajout d’un accès sans fil

43
afin d’améliorer les conditions du client peut diminuer la sécurité du serveur, à moins que l’accès invité
ne soit isolé du réseau interne.

3.2 Conception d’une technologie de couche d’accès

3.2.1 Exigences de la couche d’accès

Le concepteur répertorie les exigences suivantes pour le réseau de la couche d’accès du nouveau réseau :

 connectivité pour les périphériques réseau existants et ajout d’un accès sans fil, ainsi que de
téléphones IP ;
 création de réseaux locaux virtuels pour séparer la voix, la surveillance de la sécurité, l’accès
sans fil et les périphériques de données ordinaires ;
 limitation des réseaux locaux virtuels aux locaux techniques, à l’exception des réseaux locaux
virtuels sans fil, pour prendre en charge les futures exigences en matière d’itinérance ;
 liaisons redondantes vers le réseau de la couche de distribution ;
 utilisation des 16 commutateurs 2960 existants, le cas échéant ;
 technologie PoE (Power over Ethernet) pour les téléphones IP et points d’accès sans fil, le cas
échéant ;
 fonctions de marquage et de classification QS.

Une augmentation du nombre d’hôtes ne nécessite pas toujours une augmentation équivalente du
nombre de périphériques et de ports. Ainsi, les téléphones IP et d’autres périphériques incluent un
commutateur intégré qui permet le raccordement direct d’un PC sur le téléphone. Ce commutateur réduit
le nombre de ports nécessaires dans le local technique pour le raccordement de périphériques
supplémentaires. En supposant que des périphériques informatiques soient connectés sur plus de 50 %
des téléphones IP, l’ajout de connexions de données supplémentaires ne nécessite pas forcément l’ajout
d’un nouveau commutateur au local technique.

Fonctions du commutateur 2960

Il s’agit de commutateurs Ethernet 10/100 à configuration fixe équipés de deux ports uplink
10/100/1000. Le commutateur 2960 peut prendre en charge la plupart des exigences suivantes du réseau
de couche d’accès :

 Extensibilité : le commutateur 2960 est compatible avec la technologie de groupement de


commutateurs Cisco ; il est donc facile d’ajouter de nouveaux commutateurs pour prendre en
charge une connectivité supplémentaire.
 Disponibilité : le commutateur 2960 prend en charge les systèmes d’alimentation redondants. La
gestion redondante des commutateurs est disponible lorsque ceux-ci sont groupés. Deux
commutateurs peuvent être configurés comme commutateurs de commande. En cas de
défaillance de l’un d’eux, le reste du groupe peut fonctionner. Ce modèle présente également des
fonctions de marquage et de classification.

44
 Sécurité : la sécurité des ports et d’autres options de sécurité des commutateurs sont disponibles.
 Facilité de gestion : les commutateurs prennent en charge le protocole SNMP (Simple Network
Management Protocol). Ils peuvent être gérés intrabande et hors bande. Le commutateur 2960
prend en charge les commandes du logiciel Cisco IOS standard, ainsi que les outils de gestion et
de configuration de l’interface graphique utilisateur Cisco Network Assistant.

3.2.2 Conception d’une topologie de couche de distribution

La couche de distribution du réseau du stade assure le routage du trafic entre les réseaux locaux virtuels,
ainsi que le filtrage du trafic indésirable.

Exigences de la couche de distribution

Le concepteur du réseau répertorie les exigences suivantes pour la couche de distribution du nouveau
réseau :

 fournir des liaisons et des composants redondants pour limiter l’effet d’une défaillance ;
 prendre en charge le routage haute densité ; chacun des 16 locaux techniques du stade doit
disposer de plusieurs liaisons montantes (uplink) vers les commutateurs de la couche de
distribution ;
 fournir des fonctions de filtrage du trafic ;
 implémenter des mécanismes QS ;
 fournir une connectivité à large bande passante ;
 implémenter un protocole de routage à convergence rapide ;
 regrouper le trafic et effectuer un résumé de routage.

Les commutateurs multicouche constituent un choix approprié pour satisfaire ces exigences. Ils offrent
une densité de port élevée et prennent en charge les fonctions de routage nécessaires. La conception de
la couche de distribution inclut la connectivité pour les utilisateurs de réseaux locaux, la batterie de
serveurs et la distribution de la périphérie de l’entreprise. L’achat de six commutateurs multicouche est
nécessaire pour fournir la prise en charge requise.

Contraintes de conception

Les locaux techniques présentent une connectivité par fibre optique limitée : c’est la seule contrainte de
conception qui limite la couche de distribution. Les deux paires de fibres qui connectent les locaux
techniques limitent le nombre de commutateurs pouvant être connectés de manière redondante à
l’équipement de la couche de distribution. Toutes les fibres se terminent dans un emplacement central.
Par conséquent, la majeure partie de l’équipement de la couche de distribution doit être installée dans le
nouveau centre de calcul.

3.2.3 Conception d’une topologie de couche cœur de réseau

45
La couche cœur du réseau local du stade doit fournir une connectivité haut débit et une disponibilité
élevée. Les réseaux local et distant du stade dépendent des commutateurs du cœur de réseau pour la
connectivité.

Exigences de la couche cœur de réseau

 Les exigences de conception du réseau de la couche cœur de réseau sont les suivantes :
 Connectivité haut débit aux commutateurs de la couche de distribution ;
 Disponibilité 24 heures sur 24, 7 jours sur 7 ;
 Interconnexions routées entre les périphériques de cœur de réseau ;
 Liaisons haut débit redondantes entre les commutateurs de cœur de réseau et les périphériques
des couches cœur de réseau et de distribution.

La conception de la couche cœur de réseau nécessite une commutation multicouche, haut débit, de faible
densité. Dans la nouvelle conception, le réseau de la couche cœur de réseau du stade peut être
implémenté sur deux puissants commutateurs multicouche.

La couche cœur de réseau est réservée à la commutation du trafic haut débit ; par conséquent, les
paquets sont peu ou pas filtrés au niveau de cette couche.

Dans une petite entreprise, les couches de distribution et cœur de réseau sont fréquemment associées.
C’est ce que l’on désigne parfois comme « réseau dorsal fédérateur centralisé ».

Disponibilité élevée

La priorité absolue au niveau de la couche cœur de réseau est la disponibilité élevée. Le concepteur du
réseau doit tenir compte des mesures à prendre pour améliorer la fiabilité et le temps de fonctionnement.

Il est nécessaire d’établir des liaisons redondantes entre la couche cœur de réseau et la couche de
distribution. Dans la mesure du possible, il est nécessaire de prévoir l’installation de composants
redondants et des mesures supplémentaires afin de fournir aux périphériques de la couche cœur de
réseau une redondance en matière de climatisation, d’alimentation et de services.

L’utilisation d’un protocole de routage de couche 3, tel que les protocoles EIGRP et OSPF, au niveau de
la couche cœur de réseau, réduit le temps nécessaire à la reprise après l’échec d’une liaison. Les
connexions routées entre les commutateurs de la couche cœur de réseau peuvent fournir un équilibrage
de charge à coût égal, ainsi qu’une récupération rapide.

3.2.4 Conception du réseau logique pour le réseau local

Création du schéma logique de réseau local

La dernière étape de la conception du réseau local préliminaire consiste à créer le schéma logique du nouveau
réseau. Ce schéma montre l’interconnexion des différentes couches et des différents périphériques.

3.2.5 Modèles de trafic et prise en charge des applications


46
Services réseau pour les sites distants

Lors de la détermination de la méthode physique de connexion des sites distants au réseau principal du
stade, le concepteur du réseau doit également prendre en compte les attentes des employés des sites
distants quant aux services réseau. Les sites distants présentent des applications en commun, mais
également certaines exigences particulières. Les services requis par les sites distants sont les suivants :

 accès aux services de commerce électronique et de base de données ;


 téléphonie sur IP ;
 vidéosurveillance et contrôle.

3.2.6 Disposition des appareils et fonctions de sécurités

Les menaces sur les réseaux peuvent se présenter sous diverses formes et provenir de sources internes
ou externes. Le simple fait de placer un pare-feu à la périphérie de l’entreprise ne suffit pas à garantir la
sécurité du réseau. Le concepteur du réseau doit identifier les données et communications qui
constituent un risque et les sources d’attaques potentielles. Les services de sécurité doivent ensuite être
disposés à des points appropriés tout au long de la conception du réseau, afin d’empêcher les attaques
potentielles.

Les serveurs de commerce électronique du réseau d’entreprise peuvent contenir des informations sur les
clients pouvant inclure des détails sur leur carte de crédit et leurs coordonnées bancaires. Les utilisateurs
accèdent à ces serveurs à partir du réseau et par Internet.

La direction du stade et les serveurs administratifs de l’équipe contiennent des informations relatives au
personnel et à la paie. Ces serveurs et l’infrastructure qui transporte les données qu’ils contiennent
doivent être correctement sécurisés afin de prévenir toute utilisation non autorisée de ces informations.

Des mesures de sécurité relatives au réseau sans fil du stade doivent également être considérées.

Les services de sécurité permettent de protéger les périphériques et le réseau contre les intrusions,
l’altération des données et la perturbation des services par des attaques de déni de service (DoS, Denial
of Service). Les principales catégories de services de sécurité sont les suivantes :

 protection de l’infrastructure ;
 connectivité sécurisée ;
 détection des menaces, défense et réduction des risques.

Protection de l’infrastructure

La sécurité du réseau commence par la sécurisation des périphériques réseau eux-mêmes, ce qui
implique la sécurisation contre les attaques directes et indirectes des routeurs exécutant le logiciel Cisco
IOS, des commutateurs et des appareils. Cette protection contribue à garantir la disponibilité du réseau
pour le transport des données.

Connectivité sécurisée

47
Il est essentiel d’empêcher les utilisateurs non autorisés d’accéder au réseau. Pour cela, il suffit de
sécuriser le réseau physique et de demander une authentification pour l’accès aux services sans fil. Les
employés et les invités du stade doivent être affectés à différents SSID et réseaux locaux sans fil.
Pendant leur transport, les données peuvent être sécurisées à l’aide de réseaux privés virtuels ou du
chiffrage des données.

Détection des menaces, défense et réduction des risques

Les pare-feu, les systèmes IDS, les systèmes de protection contre les intrusions et les listes de contrôle
d’accès fournissent une protection contre les menaces et les pirates. Les listes de contrôle d’accès et les
règles de pare-feu filtrent le trafic pour autoriser uniquement le trafic souhaité à transiter par le réseau.

Fig10. Liste de contrôle de sécurité

Implémentation des services de sécurité

Les services de sécurité ne sont pas efficaces s’ils ne sont pas implémentés aux emplacements
appropriés sur le réseau. Les pare-feu et les filtres placés à la périphérie de l’entreprise ne protègent pas
les serveurs contre les attaques provenant du réseau local. Le concepteur du réseau analyse les schémas
des flux de trafic précédemment créés qui illustrent :

 les ressources auxquelles accèdent des utilisateurs internes ;


48
 les ressources auxquelles accèdent des utilisateurs externes ;
 les chemins empruntés par cet accès sur le réseau.

Grâce à ces informations, le concepteur peut disposer les services de sécurité aux endroits appropriés
afin d’appliquer les stratégies de sécurité du stade.

Utilisation de services intégrés

Partout où cela est possible, le concepteur du réseau utilise des services intégrés, tels que les fonctions
de pare-feu IOS et les modules IDS, afin d’éliminer la nécessité de recourir à des périphériques de
sécurité supplémentaires. Dans un réseau plus grand, où le traitement supplémentaire risque d’entraîner
une surcharge des routeurs et des commutateurs, il est nécessaire d’utiliser des périphériques distincts.

3.2.7 Implémentation des listes de contrôle d’accès et filtrage

Le concepteur du réseau travaille avec le personnel informatique de l’entreprise pour définir les jeux de
règles de pare-feu à implémenter dans la mise à niveau du réseau.

Exemples de jeux de règles de pare-feu qui incluent les énoncés suivants :

Refuser tout trafic entrant dont les adresses réseau correspondent aux adresses IP enregistrées en
interne : le trafic entrant ne doit pas provenir des adresses réseau correspondant aux adresses internes.

Refuser tout trafic entrant vers les adresses externes des serveurs : cette règle inclut le refus des
adresses traduites par les serveurs, à l’exception des ports autorisés.

Refuser tout trafic entrant de requête d’écho ICMP : cette règle empêche les hôtes du réseau interne
de recevoir les requêtes Ping générées en dehors du réseau de confiance.

Refuser toutes les diffusions locales du domaine Microsoft, Active Directory et des ports du
serveur SQL : le trafic du domaine Microsoft doit être acheminé via des connexions de réseau privé
virtuel.

Autoriser DNS (UDP 53) vers le serveur DNS : autorise les recherches DNS externes.

Autoriser le trafic Web (TCP 80/443) provenant de toute adresse externe à la plage d’adresses du
serveur Web.

Autoriser le trafic (TCP 21) vers les plages d’adresses des serveurs FTP : si des services FTP sont
fournis aux utilisateurs externes, cette règle permet d’accéder aux serveurs FTP. À titre de rappel, lors
de l’utilisation des services FTP, les informations relatives au compte utilisateur et au mot de passe sont
transmises en texte clair. L’utilisation du mode FTP passif négocie un port de données aléatoire par
rapport à l’utilisation du port TCP 20.

Autoriser le trafic (TCP 25) vers le serveur SMTP : autorise les serveurs et les utilisateurs SMTP
externes à accéder au serveur de messagerie SMTP interne.

49
Autoriser le trafic (TCP 143) vers le serveur du protocole de messagerie IMAP interne : autorise
les clients IMAP externes à accéder au serveur IMAP interne.

Lors de la conception de jeux de règles de pare-feu et de listes de contrôle d’accès, la stratégie générale
consiste à refuser tout trafic qui n’est pas spécifiquement autorisé ou qui ne répond pas à une question
autorisée.

Règles et listes de contrôle d’accès

Les règles de pare-feu sont utilisées pour créer des énoncés de liste de contrôle d’accès qui sont
implémentés sur les routeurs et les pare-feu. Chaque jeu de règles de pare-feu peut nécessiter plusieurs
énoncés de liste de contrôle d’accès, ainsi qu’un emplacement interne et externe.

3.2.8 Mise à jour de la documentation sur la conception logique du réseau

La documentation sur la conception inclut toutes les règles de pare-feu et les listes de contrôle d’accès ;
elle définit en outre l’emplacement de leur implémentation. Les énoncés de jeux de règles font partie de
la documentation sur la stratégie de sécurité de la direction du stade.

La documentation sur les règles de pare-feu et sur l’emplacement des listes de contrôle d’accès offre les
avantages suivants :

 elle prouve que la stratégie de sécurité est implémentée sur le réseau ;


 elle garantit que toutes les instances d’une condition d’autorisation ou de refus sont prises en
compte lorsque des changements sont nécessaires ;
 elle facilite la résolution des problèmes d’accès aux applications ou aux segments du réseau.

50
CHAPITRE 4 : RESULTAT DES TESTES 

Après avoir expliquer dans les détails les différentes étapes à suivre pour qu’un projet de conception
réseau réussisse et les avantages d’un système client-serveur, nous allons dans ce chapitre présenter les
résultats de nos études projeter sur un site d’établissement scolaire.

4.1 Services couverts

Apres observation et étude du site, nous avions retenu 5 bureaux ou services pour l’installation du
réseau et la mise en place d’un système informatique parmi lesquels :

 Le bureau du directeur général


 Le bureau de la secrétaire
 Le bureau du gestionnaire ou caissier
 Le bureau du Directeur des études
 Le bureau du chef de la scolarité

4.2 Etat de besoin

En dehors des ordinateurs et des imprimantes que l’établissement a déjà, voici l’état de besoin pour la
réalisation du réseau informatique.

Désignation Quantité
Câble ( UTP cat 5e ou 6) 90 m
Connecteurs RJ45 30
Routeur sans fil 1
Switch (8 ports) 2
Tuyaux 60m
Goulottes 7
Cheville 1 boite
Attaches 1 boite
Tableau 1. Etat de besoin

4.3 Plan du site

Les bureaux des services concernés se trouvent dans deux bâtiment éloignés. Le schéma ci-dessous nous
montre comment sont disposés les bureaux dans ces bâtiments.

Directeur Directeur Général


des études
51

Chef de
la scolarité
Fig11. Plan du site

4.4 Architecture réseau

Par rapport aux réalités du site, nous avions proposé le model client-serveur ci-dessous

Fi
g12. Architecture réseau

4.5 Configuration du réseau

Voici la configuration du réseau

 Adresse réseau : 192.168.0.0


 Masque de sous réseau : 255.255.255.240

4.6 Configuration du serveur


52
Nous avons activé le service « Active Directory Domain Services » sur le serveur afin de créer un
contrôleur de domaine pour l’établissement.

Fig13. Configuration du serveur

Rappelons-nous que Active Directory est une sorte de base de données qui constitue la fondation d’un
réseau de domaine en gérant les informations des utilisateurs, des politiques de groupes de control et
bien d’autres choses.

Vous devez savoir que lorsque vous essayez de rejoindre un réseau de domaine ou vous connecter à ce
dernier, les information d’authentifications viennent du serveur sur lequel le service est installé.

4.7 Directory Service Auditing 

C’est d’un service qui nous fournis des rapports détails sur les différentes modification ou changement
qui se produise sur le système d’informatique tout en présentant les diffèrent états (avant et après
modification par exemple).

53
Fig14. Stratégies de sécurité de groupes

4.8 Créations des groupes et utilisateurs

Apres l’installation des services QDDS et DNS, nous avons créer des comptes utilisateurs pour le
personnel concerné.

La figure ci-dessous montre le panneau de configuration des utilisateur et groupes, sur un domaine

54
Fig15. Panneau de création de compte et groupe

4.9 Contrôleur de Domaine en Lecture Seul

Le contrôleur de domaine en lecture (Read Only Domain Controller) favorise un accès à distance
sécurisé au domaine, mais en lecture seul, sur un serveur secondaire ou relais en utilisation une sorte de
cache pour faciliter l’authentification des utilisateurs distants, depuis une autre extension de l’entreprise
par exemple. C’est en quelques sortes une copie du serveur Active Directory principal.

55
Conclusion

Les entreprises comptent de plus en plus sur leur infrastructure de réseau d’entreprise pour offrir des
services d’une importance capitale. Dans le réseau d’entreprise, les pannes empêchent la société de
fonctionner normalement, ce qui peut engendrer des pertes de revenus et de clientèle. Pour éviter les
interruptions de service, concevez le réseau avec pour objectif d’optimiser l’utilisation de la bande
passante et d’améliorer les performances globales du réseau.

56
Bibliographie

Note de cours de réseaux informatique (M. BANS-KANI)

Windows 2008 Serveur (William R. Stanek)

57

Vous aimerez peut-être aussi