Partie 2

SYSTEME D’EXPLOITATION : WINDOWS SERVER 2016/2019
PARTIE 2 : LES SERVICES RESEAUX DE BASE

Dans cette seconde partie, je vous propose de prendre en main différents rôles proposés par
Microsoft, et de les installer sur votre serveur !
I. ETUDE, INSTALLATION ET CONFIGURATION D’ADDS (Active Directory Domain

Services)
1. PRESENTATION D’ACTIVE DIRETORY

Active Directory, en abrégé (AD) est la mise en œuvre par Microsoft des services d'annuaire
LDAP pour les systèmes d'exploitation Windows. Active Directory se définit de ce fait comme
étant la base de données d’annuaire de Microsoft Windows.
De façon générale, un annuaire est une liste, un répertoire mis à jour régulièrement qui
regroupe des informations (noms, adresses, coordonnées, etc.) sur les membres d’une
association, d'une entreprise, d'un établissement d'enseignement, d'un organisme
professionnel, d'une filière spécifique ou sur les abonnés à un service. L’exemple d’annuaire
le plus connu et le plus usuel est l’annuaire du téléphone cellulaire. Cet annuaire contient les
informations faisant référence à tous nos contacts enregistrés dans le téléphone. Parmi ces
informations, les plus significatives sont : Nom, Numéro, email, etc.
LDAP est une abréviation de Lightweight Directory Access Protocol. C’est un protocole basé
sur TCP/IP et qui permet d’interroger et de mettre à jour les services d’annuaires. C’est ce
modèle LDAP que Microsoft a utilisé pour implémenter Active Directory.
2. OBJECTIFS D’AD
L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et
d'authentification à un réseau d'ordinateurs utilisant le système Windows.
3. LE ROLE D’AD
Active Directory stocke des informations sur les utilisateurs, les ordinateurs et les ressources
du réseau, afin de permettre aux utilisateurs et aux applications d’accéder à ces ressources. Il
constitue un moyen cohérent de nommer, de décrire, de localiser, d’accéder, de gérer et de
sécuriser les informations concernant ces ressources.
Active Directory fournit de ce fait 4 rôles principaux :
- Centralisation et décentralisation de la gestion des ressources
Les administrateurs peuvent gérer des ordinateurs clients distribués, des services réseau et
des applications à partir d’un emplacement centralisé à l’aide d’une interface de gestion
cohérente, ou distribuer des tâches d’administration en déléguant le contrôle des ressources
à d’autres administrateurs.
- Centralisation des ressources du réseau
[Date] 1
Cours Présenté et Rédigé par MBEY BIKAA
La centralisation du contrôle des ressources, comme les serveurs, les fichiers partagés et les
imprimantes, permet aux seuls utilisateurs autorisés d’accéder aux ressources dans Active
Directory.
- Stockage des Objets de manière sécurisée
Active Directory stocke toutes les ressources sous forme d’objets dans une structure logique
hiérarchique sécurisée.
- Optimisation du trafic réseau
La structure physique d’Active Directory vous permet d’utiliser plus efficacement la bande
passante du réseau. Elle garantit, par exemple, que lorsque des utilisateurs se connectent au
réseau, ils sont authentifiés par l’autorité d’authentification la plus proche de l’utilisateur,
réduisant d’autant la quantité de trafic réseau.
4. STRUCTURE LOGIQUE D’ACTIVE DIRECTORY
La Structure logique détermine la méthode d’organisation hiérarchique des objets dans Active
Directory. Ainsi, Active Directory offre un stockage sécurisé des informations. Les objets Active
Directory représentent des utilisateurs et des ressources, tels que des ordinateurs et des
imprimantes. Certains objets en contiennent d’autres. Lorsque vous aurez compris le rôle et
la fonction de ces objets, vous pourrez effectuer des tâches diverses, comme l’installation, la
configuration, la gestion et le dépannage d’Active Directory. La structure logique d’Active
Directory inclut les composants suivants :
- les Objets Active Directory
Il s’agit des composants les plus élémentaires de la structure logique. Les classes d’objets sont
des modèles pour les types d’objets que vous pouvez créer dans Active Directory. Chaque
classe d’objet est définie par une liste d’attributs, qui définit les valeurs possibles que vous
pouvez associer à un objet. Chaque objet possède une combinaison unique de valeurs
d’attributs.
- Les Unités d’organisation (OU)
Les Unité d’Organisation sont des objets conteneurs pour organiser d’autres objets de telle
manière qu’ils prennent en compte vos objectifs administratifs. La disposition de ces objets
par unité d’organisation simplifie la recherche et la gestion des objets. Vous pouvez également
déléguer l’autorité de gestion d’une unité d’organisation. Les unités d’organisation peuvent
être imbriquées les unes dans les autres, ce qui simplifie d’autant la gestion d’objets.
- les domaines
Unités fonctionnelles centrales dans la structure logique d’Active Directory, les domaines sont
un ensemble d’objets définis administrativement qui partagent une base de données
d’annuaire commune, des stratégies de sécurité et des relations d’approbation avec d’autres
domaines. Les domaines disposent des trois fonctions suivantes :
Une limite d’administration pour objets.
[Date] 2
Une méthode de gestion de la sécurité pour les ressources partagées.

Une unité de réplication pour les objets.
- les arborescences de Domaines
Les domaines regroupés en structures hiérarchiques sont appelés arborescences de
domaines. Lorsque vous ajoutez un second domaine à une arborescence, il devient enfant du
domaine racine de l’arborescence. Le domaine auquel un domaine enfant est attaché est
appelé domaine parent. Un domaine enfant peut à son tour avoir son propre domaine enfant.
Le nom d’un domaine enfant est associé à celui de son domaine parent pour former son nom
DNS (Domain Name System) unique, par exemple laval.skillstechnet.local. De cette manière,
une arborescence a un espace de noms contigus.
- Les forets
Une forêt est une instance complète d’Active Directory. Elle consiste en une ou plusieurs
arborescences. Dans une arborescence unique à deux niveaux, qui est recommandée pour la
plupart des organisations, tous les domaines enfants sont des enfants du domaine racine de
la forêt afin de former une arborescence contiguë.
Le premier domaine de la forêt est appelé le domaine racine de la forêt. Le nom de ce domaine
fait référence à la forêt, par exemple skills-technet.local. Par défaut, les informations dans
Active Directory ne sont partagées qu’à l’intérieur de la forêt. Ainsi, la forêt est une limite de
sécurité pour les informations contenues dans l’instance d’Active Directory.
[Date] 3
5. STRUCTURE PHYSIQUE D’ACTIVE DIRECTORY

Contrairement à la structure logique, qui modélise des exigences administratives, la structure
physique d’Active Directory optimise le trafic réseau en déterminant où et quand se produit
un trafic de connexions et de réplications. Pour optimiser l’utilisation par Active Directory de
la bande passante du réseau, vous devez en comprendre la structure physique.
La structure physique d’Active Directory est composée des 3 éléments suivants :
- Les contrôleurs de Domaine
Les contrôleurs de Domaine sont des Ordinateurs qui exécutent le système d’exploitation
Windows Serveur et sur lesquels on a installé Active Directory. Chaque contrôleur de domaine
exécute des fonctions de stockage et de réplication. Un contrôleur de domaine ne peut gérer
qu’un seul domaine. Pour assurer une disponibilité permanente d’Active Directory, chaque
domaine doit disposer de plusieurs contrôleurs de domaine.
- Les sites Active Directory
Les sites sont des groupes d’ordinateurs connectés par des liaisons rapides. Lorsque vous
créez des sites, les contrôleurs de domaine au sein d’un même site communiquent
fréquemment. Ces communications réduisent le délai de latence de réplication à l’intérieur
du site ; autrement dit, le temps requis pour qu’une modification effectuée sur un contrôleur
de domaine soit répliquée sur d’autres contrôleurs de domaine. Vous pouvez donc créer des
sites pour optimiser l’utilisation de la bande passante entre des contrôleurs de domaines
situés à des emplacements différents.
- Les partitions Active Directory
La Base de données Active Directory est constituée d’un fichier unique qui porte le nom
NTDS.dit. Ce fichier contient 4 parties Logiques appelées Partitions Active Directory.
Ce sont :
[Date] 4
La partition de Domaine :
Elle contient les réplicas de tous les objets de ce domaine. La partition de domaine n’est
répliquée que dans d’autres contrôleurs appartenant au même domaine.
La partition de configuration :
Elle contient la topologie de la forêt. La topologie est un enregistrement de tous les
contrôleurs de domaine et des connexions entre eux dans une forêt.
La partition de schéma :
Elle contient le schéma étendu au niveau de la forêt. Chaque forêt comporte un schéma de
sorte que la définition de chaque classe d’objet est cohérente. Les partitions de configuration
et de schéma sont répliquées dans chaque contrôleur de domaine dans la forêt.
Les partitions d’applications :
Elles contiennent des objets non liés à la sécurité et utilisés par une ou plusieurs applications.
Les partitions d’applications sont répliquées dans des contrôleurs de domaine spécifiés dans
la forêt.
[Date] 5
- Illustration de la structure physique
6. QU’EST-CE QU’UN SERVICE D’ANNUAIRE AD

Dans de grands réseaux, les ressources sont partagées par de nombreux utilisateurs et
applications. Pour permettre aux utilisateurs et aux applications d’accéder à ces ressources et
aux informations les concernant, une méthode cohérente est nécessaire pour nommer,
décrire, localiser, gérer et sécuriser les informations concernant ces ressources.
C’est ici qu’intervient le service d’annuaire. En effet, un service d’annuaire est un référentiel
d’informations structuré concernant les personnes et les ressources d’une organisation. Dans
un réseau Windows Server, le service d’annuaire s’appelle Active Directory.
Illustration d’un servie d’annuaire
7. QU’EST-CE QUE LE SHÉMA AD ?

Le schéma Active Directory définit les genres d’objets, les types d’informations concernant ces
objets, et la configuration de sécurité par défaut pour les objets pouvant être stockés dans
[Date] 6
Active Directory. Il contient de ce fait les définitions de tous les objets, comme les utilisateurs,
les Ordinateurs et les imprimantes stockés dans Active Directory. Les contrôleurs de domaine
ne comportent qu’un seul schéma pour toute une forêt.
Le schéma possède deux types de caractéristiques :
Les classes d’objets et les attributs.
Les classes d’objets comme utilisateur, ordinateur et imprimante décrivent les objets
d’annuaire possibles que vous pouvez créer. Chaque classe d’objet est un ensemble
d’attributs.
Les attributs sont définis séparément des classes d’objets. Chaque attribut n’est défini qu’une
seule fois et peut être utilisé dans plusieurs classes d’objets. Par exemple, l’attribut
Description est utilisé dans de nombreuses classes d’objets, mais il n’est défini qu’une seule
fois dans le schéma afin de préserver la cohérence.
Illustration du schéma d’AD
8. QU’EST-CE QUE LE CATALOGUE GLOBAL ?

Le catalogue global est un référentiel d’informations qui contient un sous ensemble des
attributs de tous les objets d’Active Directory. Les membres du groupe Administrateurs du
schéma peuvent modifier les attributs stockés dans le catalogue global, en fonction des
impératifs d’une organisation. Le catalogue global contient :
- Les attributs les plus fréquemment utilisés dans les requêtes, comme les nom et
prénom d’un utilisateur, et son nom d’ouverture de session.
[Date] 7
- Les informations requises pour déterminer l’emplacement de tout objet dans

l’annuaire.
- Un sous-ensemble d’attributs par défaut pour chaque type d’objet.
- Les autorisations d’accès pour chaque objet et attribut stocké dans le catalogue global.
Si vous recherchez un objet pour lequel vous ne possédez pas les autorisations de
visualisation requises, cet objet n’apparaîtra pas dans les résultats de la recherche. Les
autorisations d’accès garantissent que les utilisateurs ne puissent trouver que les
objets pour lesquels ils possèdent un droit d’accès.
Le catalogue global permet aux utilisateurs d’exécuter deux fonctions importantes :
- Trouver des informations sur n’importe quel objet dans Active Directory en tout point
de la forêt, indépendamment de l’emplacement des données ;
- Utiliser les informations d’appartenance au groupe universel pour se connecter au
réseau.
9. QU’EST-CE QUE LE NOM UNIQUE ET LE NOM UNIQUE RELATIF

Le nom unique LDAP aussi appelé DN (Distinguished Name) identifie l’objet de façon unique
par rapport au point d’entrée de l’Annuaire Active Directory. Par exemple le nom Unique d’un
utilisateur qui s’appelle Ange Dago dans l’Unité d’Organisation VENTES dans le domaine skills-
technet.local est :
CN = Ange Dago, OU = VENTES, DC = skills-technet, DC = local
CN = Nom Commun
OU = Unité d’Organisation
DC = Composant de nom de Domaine.
Le nom unique relatif LDAP d’un objet identifie l’objet de manière unique dans son conteneur.
Par exemple le nom Unique relatif d’un utilisateur qui s’appelle Ange Dago est :
CN = Ange Dago
Les noms uniques relatifs doivent être uniques puisque chaque utilisateur doit disposer de son
propre nom au sein d’un même conteneur.
Devoir : Faire les recherches sur Les relations d’approbation et les roles FSMO
10. INSTALLATION ET CONFIGURATION D’ADDS (TP à faire en cours)
[Date] 8
II. GESTION DES UTILISATEURS DANS LE SERVEUR ADDS ET INSTALLATION D’UN

CONTROLEUR DE DOMAINE DANS UNE MACHINE CLIENTE WINDOWS 7
Dans un réseau, il est nécessaire de gérer efficacement les utilisateurs de manière centralisée.
Active Directory répond à ce besoin en offrant un moyen simple et centralisé et authentifier
l'utilisateur et l'autoriser à accéder à des ressources se trouvant sur le réseau de l'entreprise
grâce au compte utilisateur.
1- LE COMPTE UTILISATEUR
Celui-ci peut être local ou de domaine. Il se compose d'un nom d'utilisateur et d'un mot de
passe. Il est possible d'ajouter d'autres informations comme le téléphone de l'utilisateur, ses
droits d'accès distant…Dans une entreprise, la gestion des comptes d'utilisateur se fera par
domaine.
Le système contient des comptes prédéfinis dont :
- Administrateur: compte qui a accès à tout l'ordinateur (local) ou à la forêt ou au
domaine (AD) Ne peut être détruit ou désactivé mais peut être renommé.
- Invité: compte disposant de droits limités. Par défaut, il est désactivé et sans mot de
passe Il est conseillé de s'assurer qu'il reste désactivé et lui attribuer un mot de passe
2- LES PROPRIÉTÉS DES UTILISATEURS

Ils existent plusieurs onglets permettant d’ajouter ou de modifier les propriétés des
utilisateurs. On peut citer :
- L’onglet Général permet d’indiquer son prénom et son nom de famille le bureau où il
ou elle travaille son numéro de téléphone. En sachant que vous pouvez en définir
d'autres via l'onglet "Téléphones". son adresse de messagerie = adresse e-mail etc…
[Date] 9
- L’onglet adresse permet d’indiquer son adresse postale sa ville son département, sa
région ou sa province (en fonction du pays où il se trouve) son code postal son pays
- L’onglet compte : Dans nous pourrions modifier son nom d'ouverture de session.
Autrement dit : le nom d'utilisateur qu'il utilisera pour se connecter sur les PC clients
et sur les serveurs (si applicable), définir des horaires d'accès pour celui-ci. Ce qui
permet, par exemple, d'éviter qu'un utilisateur puisse se connecter en dehors des
heures de travail, choisir sur quels ordinateurs et/ou serveurs il peut se connecter en
cliquant sur le bouton "Se connecter à"et déverrouiller le compte de cet utilisateur si
ce compte a été bloqué précédemment.
On trouve aussi plusieurs options de compte :
L'utilisateur devra changer le mot de passe : lorsque vous créez des utilisateurs en
production, vous devriez cocher cette case, car seul l'utilisateur est censé connaitre
son mot de passe.
L'utilisateur ne peut pas changer de mot de passe : étant donné qu'il est recommandé
que les utilisateurs changent régulièrement leur mot de passe pour des raisons de
sécurité, cette option ne devrait pas être utilisée en production.
Le mot de passe n'expire jamais : comme expliqué précédemment, en production, on
recommande souvent que les utilisateurs changent leur mot de passe. Néanmoins, si
vous utilisez votre serveur en tant que particulier, vous pouvez vous permettre de
jamais faire expirer le mot de passe de votre compte si vous le souhaitez.
Enregistrer le mot de passe en utilisant un chiffrement réversible : cette option n'est
pas recommandée, mais est requise par certaines applications (dont VMware Horizon
7 si vous utilisez l'authentification DIGEST-MD5) qui ont besoin du mot de passe de
l'utilisateur pour leur authentification.
[Date] 10
Le compte est désactivé : permet simplement de désactiver le compte en cochant

cette case.
Une carte à puce est nécessaire pour ouvrir une session interactive : une fois cette
case cochée, l'utilisateur ne pourra plus se connecter avec la combinaison "nom
d'utilisateur / mot de passe" et devra toujours se connecter avec un lecteur de carte à
puce. Ce qui nécessite qu'un lecteur de carte à puce soit disponible sur chaque
ordinateur et chaque serveur où cet utilisateur souhaitera se connecter.
Le compte est sensible et ne peut pas être délégué : cette option permet de bloquer
tous les types de délégation (dont la délégation Kerberos) et permet ainsi de mieux
protéger les comptes sensibles (tels que les comptes administrateurs, par exemple)
Utiliser uniquement les types de chiffrement DES via Kerberos pour ce compte :
permet de n'accepter que le chiffrement DES pour l'authentification Kerberos avec ce
compte.
Ce compte prend en charge le chiffrement AES 128 bits via Kerberos : autorise
l'utilisation du chiffrement AES 128 bits via Kerberos.
Ce compte prend en charge le chiffrement AES 256 bits via Kerberos : idem, mais pour
le chiffrement AES 256 bits.
La pré-authentification Kerberos n'est pas nécessaire : par défaut, la pré-
authentification Kerberos est utilisée pour ajouter une couche de sécurité
supplémentaire. Mais, vous pouvez la désactiver pour supporter des implémentations
alternatives du protocole Kerberos.
NB : Vous pourrez aussi définir une date d'expiration pour ce compte utilisateur si vous le
souhaitez. Cette option est très pratique dans les écoles, les universités ou les centres de
formation, car on sait généralement à l'avance vers quelle date les étudiants ou les stagiaires
sont censés partir. Du coup, vous pouvez planifier l'expiration de leurs comptes pour que ces
comptes soient automatiquement désactivés lorsqu'ils auront fini leurs études ou leurs
formations.
[Date] 11
Si vous cliquez sur le bouton "Horaires d'accès", vous pourrez choisir quels jours et à quelles
heures cet utilisateur peut se connecter avec son compte.
Si vous cliquez sur le bouton "Se connecter à", vous pourrez choisir si cet utilisateur peut
ouvrir une session sur :
Tous les ordinateurs : du domaine, mais aussi d'autres domaines si une approbation de
domaine (approbation externe) ou une approbation de forêt le permet.
Les ordinateurs suivants : dans ce cas, l'utilisateur ne pourra se connecter que sur les
ordinateurs renseignés ici.
[Date] 12
- L’onglet profil
Dans l'onglet "Profil", vous pourrez indiquer :
Le chemin du profil : permet de stocker le dossier du profil utilisateur dans un autre
dossier que celui par défaut (C:\Users\[nom de l'utilisateur]). Ce paramètre est
principalement utilisé pour mettre en place les profils itinérants.
Un script d'ouverture de session : il s'agit du chemin vers un script que vous souhaitez
exécuter à l'ouverture de la session de cet utilisateur. Mais, vous pouvez aussi le faire
via la section "Configuration utilisateur" des objets de stratégies de groupe.
Le chemin d'accès local : le chemin local du dossier personnel de l'utilisateur qui par
défaut est : C:\Users\[nom de l'utilisateur]
Connecté à : le profil utilisateur sera stocké sur un partage réseau, mais accessible
aussi via un lecteur réseau dont vous définissez la lettre ici.
- L’onglet téléphone :
Dans l'onglet "Téléphones", vous pourrez indiquer :
Domicile : son numéro de téléphone fixe
Tél. mobile : son numéro de GSM
Télécopie : son numéro de fax
Téléphone IP : son numéro de téléphone IP si vous avez installé la VoIP sur votre réseau
etc…
[Date] 13
- L’Onglet organisation
Dans l'onglet "Organisation", vous pourrez indiquer :
Fonction : sa fonction dans votre entreprise. Ex : IT manager.
Service : le service dans lequel il ou elle travaille. Ex : Service IT.
Société : la société dans laquelle il ou elle travaille. Ex : le nom de votre société ou
d'une société externe si c'est un externe qui vient chez vous par moment.
Gestionnaire : ici, vous pouvez sélectionner l'objet "Utilisateur" de son responsable
hiérarchique.
[Date] 14
- L’Onglet membre de :
Dans l'onglet "Membre de", vous pourrez choisir dans quel groupe se situe cet
utilisateur et vous pourrez l'ajouter dans plusieurs groupes si vous le souhaitez.
En sachant que le groupe principal par défaut est "Utilisateurs du domaine" et qu'il ne
faut pas le modifier à moins de disposer de clients Macintosh ou d'utiliser des
applications compatibles POSIX.
Pour ajouter cet utilisateur dans un autre groupe supplémentaire, cliquez sur le bouton
"Ajouter" et indiquez le nom du groupe dans lequel vous souhaitez l'ajouter.
[Date] 15
Maintenant, cet utilisateur fait partie de 2 groupes :

Notre groupe : MyGroup
Le groupe par défaut : Utilisateurs du domaine
- L’Onglet appel entrant

Dans l'onglet "Appel entrant", vous pourrez notamment gérer les autorisations d'accès
réseau :
Autoriser l'accès : permet, par exemple, d'autoriser cet utilisateur à se connecter à
votre serveur VPN si vous en avez un.
Refuser l'accès
Contrôler l'accès via la stratégie d'accès à distance (donc via NPS)
En cochant la case "Vérifier l'identité de l'appelant", vous pourrez restreindre la

connexion à un numéro de téléphone spécifique. Comme son nom l'indique, les
options de rappel permettent de rappeler l'utilisateur, ce qui est préférable niveau
sécurité. Pour finir, vous pourrez attribuer des adresses IP statiques et/ou des
itinéraires statiques à cet utilisateur, si vous le souhaitez.
[Date] 16
- L’Onglet environnement
Dans l'onglet "Environnement", vous pourrez définir le nom d'un programme à
démarrer à l'ouverture de la session de cet utilisateur en cochant la case "Démarrer le
programme suivant lors de l'ouverture de session".
Nom de fichier du programme : le chemin complet du programme à exécuter
Démarrer dans : correspond au répertoire de travail que le programme utilisera par
défaut.
[Date] 17
- L’Onglet session
Dans l'onglet "Sessions", vous pourrez gérer la déconnexion ou la fermeture
automatique des sessions ouvertes via les services Bureau à distance.
Pour les informations concernant ces paramètres.
- L’Onglet Contrôle à distance
Dans l'onglet "Contrôle à distance", vous pourrez choisir régler les paramètres du
contrôle à distance de la session de l'utilisateur lorsqu'il se connecte via les services
Bureau à distance.
Les options disponibles sont :
Activer le contrôle à distance : permet d'autoriser le contrôle à distance de la session
de l'utilisateur.
Demander l'autorisation de l'utilisateur : par défaut, l'utilisateur doit acceptez votre
contrôle ou visualisation à distance de sa session pour que vous puissiez y avoir accès
Niveau de contrôle - Afficher la session de l'utilisateur : permet en tant
qu'administrateur de voir la session de l'utilisateur, mais sans la contrôler
Niveau de contrôle - Interagir avec la session : permet en tant qu'administrateur de
contrôler la session de l'utilisateur et donc de pouvoir, par exemple, cliquer à sa place
sur des boutons, ...
- L’Onglet Profil des services bureau à distance

Dans l'onglet "Profil des services Bureau à distance", vous pourrez définir :
Le chemin d'accès au profil : il peut s'agir d'un chemin local ou réseau
[Date] 18
Le dossier de base pour les services Bureau à distance : ce qui correspond au chemin
où sera stocké le dossier personnel de l'utilisateur pour les services Bureau à distance.
Si vous souhaitez que cet utilisateur ne puisse se connecter qu'en local et non sur un
de vos serveurs RDS qui agit en tant que "Hôte de session", il suffira de cocher la case
"Interdire à cet utilisateur de se connecter au serveur hôte de session Bureau à
distance".
3- CREATION DES USERS DANS ADDS (TP)

4- CREATION DES GROUPES UTILISATEURS DANS ADDS (TP)
5- JOINDE UNE MACHINE CLIENTE WINDOWS 7/10 AU DOMAINE (TP)
6- OUVERTURE D’UN COMPTE UTIISATEUR DANS UNE MACHINE CLIENTE (TP)
III. ETUDE, INSTALLATION ET CONFIGURATION DU DNS
1- PRESENTATION
C’est à la demande du DARPA (Defense Advanced Research Projects Agency) que John POSTEL
et Paul MOCKAPETRIS ont conçu le protocole du DNS, en 1983 et en ont effectué la première
réalisation concrète. Il s’agit essentiellement d’un annuaire permettant de traduire les
adresses réseau IP, propres à Internet, en noms de domaine plus explicites.
[Date] 19
2- ROLE DU DNS
Effectuer la résolution de noms de domaine, consiste principalement à trouver l’adresse IP qui
lui est associée. Au sein de cet annuaire, les noms de domaines peuvent être également
associés à d’autres notions que des adresses IP. On peut trouver des informations concernant
la lutte contre le spam, de sécurisation des informations DNS ou d’association de numéros de
téléphone vers des adresses de messagerie.
Au départ, avec le modèle TCP/IP, comme les réseaux étaient très peu développés, le nombre
d’équipements connectés à ce type de réseau était assez faible. En termes d’administration,
il suffisait alors simplement de créer des fichiers d’équivalence : {Adresse IP/Nom de
machine}. Ces fichiers servaient de table de conversion et sous des systèmes tels que
GNU/Linux ou Unix, il s’agissait de fichier hosts.
Avec le développement et l’explosion de la taille des réseaux TCP/IP, et de leur interconnexion,
la demande en adresses a été telle qu’il a fallu imaginer un autre système d’administration
des adresses et des noms d’hôtes. Car, jusque-là la gestion de faisait manuellement en éditant
les fichiers /etc/hosts, lors de chaque ajout ou suppression de nouvelles adresses sur le
réseau. C’est pourquoi il a été imaginé le modèle hiérarchisé et plus facilement administrable
du Domain Name System.
3- ELEMENTS CONSTITUANT LE DNS

Le DNS propose alors les éléments suivants :
- Un espace de noms hiérarchique garantissant l’unicité d’un nom dans sa structure
arborescente (un peu à la façon dont est architecturé le système de fichiers Unix/Linux.
- Un ensemble de serveurs distribués, permettant d’accéder à l’espace de noms.
- Un ensemble de clients interconnectés, résolvant les noms de domaines en
interrogeant les serveurs, au travers de requêtes, afin de connaître l’adresse IP d’un
nom correspondant.
ATTENTION : le sigle DNS peut, selon ce que l’on souhaite désigner, représenter plusieurs
notions simultanées :
Domain Name System : désigne l’ensemble des organismes de gestion des noms de domaine
Domain Name Service : désigne le protocole d’échange d’informations concernant les
domaines.
Domain Name Server : désigne l’hôte sur lequel fonctionne le logiciel serveur comprenant à
le protocole DNS permettant de répondre aux requêtes concernant un domaine particulier.
[Date] 20
4- L’ORGANISATION DES NOMS DE DOMAINE

Pour commencer, il existe plusieurs organismes gérant la liste des domaines de haut niveau
(aussi appelés Top Level Domain et abrégés en TLD). Tout en haut de la pyramide se trouve
l’ICANN. Il s’agit de l’organisme gérant la liste des TLD.
REMARQUE : il existe un TLD par pays (généralement abrégé en .<label>). L’étiquette <Label>
est la représentation ISO du code pays. On les appelle les ccTLD (ou Country-code TLD). On
peut visualiser la liste complète sur le site : https://www.iana.org/domains/root/db .Les
domaines TLD génériques sont étiquetés gTLD (generic TLD). Donc, pour la France, on trouvera
le TLD .fr, pour l’Allemagne, on a .de… Mais, il y a également des TLD d’ordres plus généraux :
.com, .biz, .net, .org, .mil, .gov…
On trouve de plus en plus de TLD génériques présents ou créés pour des raisons historiques
et/ou commerciales :
.com : pour les sites commerciaux.
.net : pour les organismes directement liés à Internet.
.org : pour les organisations ou les associations.
.edu : réservés aux universités et organismes d’éducation américains (au départ).
.gov : réservé au gouvernement américain.
Récemment, un certain nombre de domaine liés à des organisations d’activités particulières,
font également leur apparition :
.museum : pour les musées.
.pro : pour les sociétés et les organisations professionnelles.
.aero : pour les organismes aéronautiques ou d’aviation.
.biz : pour les entreprises.
.name : pour les particuliers.
.info : pour l’ensemble des médias, journaux, télévision…
En-dessous, l’ICANN délègue son administration et la gestion de ces TLD à un autre

organisme appelé registry. Ceux-ci ont un rôle purement technique et chacun d’eux doit tenir
à jour la liste des domaines définis sur son périmètre (c’est-à-dire son ou ses TLD respectifs).
Parmi les registry connus, on peut citer l’AFNIC pour la gestion du registre des domaines .fr
et VeriSign qui s’occupe plus des domaines .com, .net ou .biz.
En troisième niveau, chaque registry autorise des centres régionaux, appelés registrar, à
vendre des noms de domaines, au nom des TLD gérés par l’ICANN. Ainsi, pour les TLD
régionaux que sont les domaines .fr, .de…, chaque registry peut choisir la manière dont il gère
et accrédite les registrars dont il a la charge.
[Date] 21
Les registrars les plus connus sont : Renater, Gandi, British Telcom… Certains registry, en plus
de leur rôle technique, disposent d’un rôle plus commercial et peuvent également vendre des
noms de domaines.
L’ensemble de la gestion des TLD repose donc sur des serveurs racines, appelés DNS root
servers. L’annuaire de ces TLD repose uniquement sur un groupe d’une vingtaine de serveurs.
Certains noms de domaines sont plus recherchés que d’autres. Les prix peuvent donc varier
d’un nom à l’autre.
5- L’ESPACE DE NOMS DNS
L’architecture du système DNS s’appuie sur une structure arborescente, dans laquelle les
noms de domaines sont définis en se basant sur des noms de domaines de niveau supérieur,
appelés TLD et rattachés à un nœud racine, représenté par un ‘.’ :
[Date] 22
On appelle donc nom de domaine chaque nœud de l’arbre décrit ci-dessus. D'ailleurs chacun
des nœuds possède une étiquette (ou label) d’une longueur maximale de 63 caractères.
L’ensemble forme ainsi un arbre inversé ou chaque nœud se voit suffixé par un ‘.’.
Exemple : d’après le schéma, le serveur web du domaine it-connect porte le nom www.
Le terme domaine s’apparente au suffixe d’un nom de domaine, c’est-à-dire à la série
d’étiquettes associées aux nœuds d’une arborescence, à l’exception de l’hôte final. De même,
le nom absolu, appelé FQDN (Fully Qualified Domain Name), correspond à l’ensemble des
étiquettes des nœuds de l’arborescence, séparées par des points et terminé par un point final.
La profondeur maximale de l’arbre ainsi constitué est de 127 niveaux et la longueur maximale
d’un nom FQDN ne peut excéder les 255 caractères. Cette adresse permet par ailleurs de
qualifier de façon unique une machine sur le réseau Internet. L’adresse www.it-connect.fr
représente alors une adresse FQDN, pour le serveur web.
6- LE ROLE DES SERVEURS DE NOMS

Les machines que l’on appelle communément serveurs de noms de domaine permettent alors
d’établir la relation entre le nom de domaine et l’adresse IP des machines d’un réseau. Chaque
domaine déclaré possède un serveur primaire de noms et un serveur secondaire afin de
rendre l’architecture plus efficiente et surtout de pouvoir prendre le relai du serveur primaire,
en cas de panne ou d’indisponibilité.
Chaque serveur de noms est déclaré au niveau du serveur de nom de domaine de niveau juste
supérieur ainsi, cela permet une délégation implicite d’autorité sur les domaines. On rappelle
que l’espace de noms est une architecture distribuée, où chaque élément est responsable de
la gestion de son nom de domaine. Dis autrement, il n’existe aucun organisme ayant la charge
de l’administration complète de la totalité des noms de domaine.
On appelle serveur de noms racines les serveurs correspondant aux domaines de plus haut
niveau (c’est-à-dire les TLD). Il existe ainsi treize serveurs de noms racine, répartis sur
l’ensemble du globe et possédant les noms allant de a.root-servers.net à m.root-servers.net.
Un serveur de noms définit un périmètre ou une zone. Il s’agit d’un ensemble de domaines
sur lequel le serveur a toute autorité. Le serveur de noms de domaine reste transparent pour
l’utilisateur final, même s’il ne faut pas négliger les points ci-dessous :
Chaque équipement doit être connecté avec l’adresse d’une machine capable de transformer
n’importe quel nom en adresse IP, appelée, à ce niveau Domain Name Server (DNS).
L’adresse IP d’un serveur secondaire doit également être définie afin de pouvoir relayer le
serveur primaire en cas de dysfonctionnement.
Les adresses sont généralement fournies par le fournisseur d’accès à Internet (probablement
un registrar).
[Date] 23
Le serveur de noms le plus répandu dans le monde GNU/Linux s’appelle BIND (Berkeley
Internet Name Domain). Il s’agit d’un logiciel libre développé et mis au point par l’université
de Berkeley sur des systèmes Unix et depuis maintenu par l’ISC (Internet Systems Consortium).
7- LE PRINCIPE DE LA RESOLUTION DE NOMS
 Présentation
Le mécanisme permettant de trouver une adresse IP correspondant au nom d’une
machine s’appelle la résolution de nom de domaine. Généralement, on effectue cette
opération grâce à un logiciel ou une application, la plupart du temps, intégrée au système
d’exploitation, appelé résolveur.
Ainsi, lorsqu’une application souhaite se connecter à un hôte connu de par son nom de
domaine, elle interroge le serveur de noms défini dans sa configuration réseau. Chaque
machine connectée à ce même réseau possède alors dans son paramétrage les adresses
IP des deux serveurs de noms liés au fournisseur d’accès à Internet.
L’application ou le client envoie alors une requête au premier serveur de noms (appelé
serveur primaire). Si celui-ci possède l’enregistrement dans son cache, il renvoie le résultat
à l’application. Dans le cas contraire, il interroge un serveur racine TLD. Ce dernier lui
renvoie alors une liste de serveurs de noms faisant autorité sur le domaine :
Le principe de la résolution de noms

I. Présentation
Le mécanisme permettant de trouver une adresse IP correspondant au nom d’une

machine s’appelle la résolution de nom de domaine. Généralement, on effectue cette
opération grâce à un logiciel ou une application, la plupart du temps, intégrée au système
d’exploitation, appelé résolveur.
Ainsi, lorsqu’une application souhaite se connecter à un hôte connu de par son nom de
domaine, elle interroge le serveur de noms défini dans sa configuration réseau. Chaque
machine connectée à ce même réseau possède alors dans son paramétrage les adresses
IP des deux serveurs de noms liés au fournisseur d’accès à Internet.
L’application ou le client envoie alors une requête au premier serveur de noms (appelé
serveur primaire). Si celui-ci possède l’enregistrement dans son cache, il renvoie le résultat
à l’application. Dans le cas contraire, il interroge un serveur racine TLD. Ce dernier lui
renvoie alors une liste de serveurs de noms faisant autorité sur le domaine :
[Date] 24
Les hôtes n’ont qu’une connaissance limitée du système et de l’ampleur des noms de
domaine. Lorsqu’ils doivent résoudre un nom, ils s’adressent à un (ou à plusieurs) serveur
de noms, alors appelés récursifs, en raison de leur facilité à parcourir la hiérarchie DNS et
de faire suivre la requête à un ou plusieurs autres serveurs de noms en mesure de
répondre.
 Serveur DNS récursifs
Les adresses IP des serveurs récursifs, sont souvent récupérées via le protocole DHCP ou
carrément configurées en dur, sur le serveur concerné. Les fournisseurs d’accès à Internet
(ou FAI), mettent à disposition des clients, ces serveurs récursifs. Il existe également des
serveurs récursifs ouverts, tels que Google Public DNS ou OpenDNS. Les serveurs récursifs
s’apparentent donc aux serveurs primaire et secondaire mentionnés plus haut.
Afin d’optimiser ce processus itératif permettant de trouver une adresse IP à partir d’un
nom, les serveurs DNS font souvent office de cache DNS : c’est-à-dire qu’ils gardent en
mémoire (appelée cache), la réponse d’une résolution de nom antérieure afin d’optimiser
les requêtes ultérieures et ne pas effectuer cette recherche à nouveau, par la suite.
L’information est conservée en cache durant une période appelée "time to live" et est
associée à chacun des noms de domaine.
On dit des serveurs primaires et secondaires qu’ils font autorité. Cela signifie qu’ils ne font
appels à aucun autre serveur pour récupérer la réponse à leur requête ou ils peuvent
éventuellement piocher dans le cache. Ce dernier peut d’ailleurs conduire à des réponses
obsolètes. Lorsqu’une telle réponse arrive, on parle alors de réponse non autoritaire (non-
authoritative answer).
Grâce à ce modèle, le réseau Internet dispose d’une confortable continuité de service dans
le mécanisme de résolution de noms. De plus, lorsqu’un serveur DNS tombe en panne ou
est indisponible, le bon fonctionnement est assuré grâce aux serveurs secondaires.
 Résolution de noms inversée

S’il est possible de résoudre une adresse IP par rapport à un nom de domaine, il est
également possible de disposer de l’information inverse : trouver un nom de domaine
depuis une adresse IP. L’opération est sensiblement la même que pour la résolution de
nom. Dans un nom de domaine on a la partie la plus générale à droite.
Donc, pour le nom de domaine it-connect.fr, la résolution parcourt alors le nom de
domaine de droite à gauche.
REMARQUE : pour une adresse IPv4 250.32.54.3, la partie la plus générale se trouve à
gauche : 250. Afin de conserver une méthode cohérente, il suffit d’inverser l’ordre des
quatre membres de l’adresse IP et de les concaténer au pseudo-domaine in-addr.arpa.
[Date] 25
Exemple : trouver le domaine de l’adresse 80.198.14.2 revient à résoudre 2.14.198.80.in-

addr.apra.
IMPORTANT : la déclaration inverse est très importante concernant les adresses IP
publiques Internet (cf. cours Réseau TCP/IP), car l’absence d’une résolution inverse est
considérée comme une erreur et est décrit dans la RFC1912. Cela peut entraîner le refus
d’accès au service.
Bien évidemment, cette résolution inverse, dans le cadre de diagnostique réseau, permet
de rendre la commande traceroute, utilisée pour tracer le chemin emprunté par les
paquets d’informations entre une source et son destinataire, beaucoup plus lisible et
exploitable. Les spécifications de noms d’hôtes inverses sont souvent composées de sous-
domaines de localisations telles que ville, région, pays… et de domaines précisant le
fournisseur d’accès à Internet par lequel transitent les requêtes :
xxxx.Aubervilliers.routers.proxad.net (pour Free Telecom).
Une adresse IP peut être associée à plusieurs noms de domaine différents que l’on précise
lors de la déclaration des entrées PTR, dans le sous-domaine .arpa dédié à cette adresse
(in-addr.arpa pour une adresse de type IPv4 et ip6.arpa pour le protocole IPv6). Ce type
de déclaration d’enregistrements PTR multiples pour une même adresse IP sert surtout
dans le cadre d’hébergement virtuel de plusieurs domaines web derrière la même adresse
IP.
ATTENTION : ce genre de déclaration n’est pas recommandée, car le nombre de champs
PTR à renvoyer peut faire déborder la taille des paquets UDP de réponse et, de fait,
entrainer l’utilisation du protocole TCP, plus coûteux, afin d’envoyer la requête de retour
DNS.
En termes de performance, afin d’assurer une certaine qualité de service et permettre
l’équilibrage de charge, en cas de trafic important, le service peut faire appel à la technique
dite du DNS round-robin (ou DNS tourniquet), consistant à associer plusieurs adresse IP à
un même FQDN. L’ordre dans lequel ces adresses sont renvoyées est modifié d’une
requête à l’autre. Une rotation circulaire permet alors de répartir la charge générée par le
trafic ambiant, entre les différentes machines ayant ces adresses IP. Toutefois, cette
répartition n’a lieu qu’à la résolution du nom de machine, et subsiste par la suite, dans le
cache des différents résolveurs (donc les clients DNS).
NB :
Je dirais qu'il ne faut surtout pas acheter un nom domaine, n’importe où. Seuls les registrar
agréés par l’ICANN sont habilités à en vendre. La liste de ces revendeurs peut être
consultée à l’adresse suivante : Registrars accrédités. Il ne faut pas oublier qu’en cas de
litige, l’ICANN possède un médiateur que l’on peut appeler.
[Date] 26
Un nom de domaine n’est jamais gratuit il y a toujours une souscription à payer. Une fois
un nom de domaine acheté on doit être désigné comme l’unique propriétaire de celui-ci.
Si ce n’est pas le cas il faut effectuer une réclamation. Le nom de domaine, dans les URL
visibles depuis notre navigateur est le mot précédant le TLD : .com, .net, .fr, juste avant le
premier slash.
Les noms de domaines ne sont pas attribués à vie. Il ne s’agit que de locations à renouveler
périodiquement. On peut généralement s’affranchir de son dû tous les ans tous les deux
ans, voire même tous les dix ans. Le registrar est censé nous rappeler à l’ordre juste avant
la date d’expiration du délai.
La société française Gandi, est un des registrar le plus en vue. Il propose des noms de
domaine .com, .net, .org, .biz… pour quelques dizaines d’euros par an. C’est l’un des moins
chers de la place. Il fournit gratuitement l’hébergement DNS, la redirection HTTP vers une
page de son choix, et il est accrédité par l’ICANN.
Pour approfondir vos connaissances dans le DNS une formation vidéo vous sera donnée
par l’enseignant.
8- INSTALLATION ET CONFIGURATION DU DNS DANS WINDOWS SERVEUR 2016/2019

(TP à réaliser en cours)
IV. ETUDE, INSTALLATION ET CONFIGURATION DU DHCP (Dynamic host configuration

Protocol)
1- PRESENTATION
Le protocole DHCP a été utilisé la première fois en 1993. IL est défini par la RFC1531 et a été,
par la suite modifié et complété par les RFC1534, RFC2131 et RFC2132. Ce protocole
fonctionne aussi bien en IPv4 qu’en IPv6. Dans ce cas, il s’appelle DHCPv6 et les adresses
peuvent être auto configurées, sans DHCP.
Le protocole fonctionne en mode client/serveur et s’appuie essentiellement sur un
mécanisme de requêtes DHCP, traitées par le serveur et émises par les clients. Le moteur
principal de ce protocole est adossé à la communication BOOTP (utilisant des trames UDP).
REMARQUE : lorsqu’une machine est démarrée, elle ne possède alors aucune information
concernant sa configuration réseau. L’utilisateur n’a rien de spécial à réaliser pour obtenir une
adresse IP. C’est le système de diffusion (ou broadcast) des trames qui vont servir à trouver et
à dialoguer avec un serveur DHCP.
La machine cliente ne fait qu’émettre un paquet spécifique de broadcast (à destination de
l’adresse 255.255.255.255), en mentionnant d’autres paramètres, tels que le type de requête,
les ports de connexion…etc. Le tout est envoyé sur le réseau local.
[Date] 27
2- LES DIFFERENTS TYPES DE PAQUETS

Lorsque le serveur DHCP reçoit le paquet de diffusion, il renvoie alors un nouveau paquet de
broadcast contenant les informations requises par le client. En réalité, un seul paquet n’est
pas suffisant pour traiter la requête. Il existe plusieurs types de paquets DHCP susceptibles
d’être émis par un client à destination du ou des serveurs, ou d’un serveur vers ses clients. Il
existe essentiellement huit catégories de paquets :
DHCPDISCOVER : permet de localiser les serveurs DHCP disponibles.
DHCPOFFER : réponse du serveur DHCP à un paquet DHCP DISCOVER.
DHCPREQUEST : diverses requêtes du client.
DHCPACK : réponse du serveur contenant les paramètres réseau.
DHCPNAK : réponse du serveur signalant au client que le bail est échu.
DHCPDECLINE : annonce du client que l’adresse fournie est déjà utilisée.
DHCPRELEASE : libération de l’adresse IP de la part du client.
DHCPINFORM : demande de paramètres locaux de la part du client (ayant déjà son IP).
Ainsi, le premier paquet émis par un client est de type DHCPDISCOVER. Le serveur identifié
répond alors par un paquet DHCPOFFER afin de soumettre une adresse IP à ce même client.
Ce dernier établit alors sa configuration et émet un paquet DHCPREQUEST afin de valider sa
nouvelle adresse IP.
Après quoi, le serveur répond à cette demande par l’émission d’un paquet DHCPACK,
confirmant alors l’adresse IP précédemment attribuée. Normalement, ce fonctionnement est
suffisant pour que le client obtienne une configuration réseau efficace. Mais, l’opération peut
durer plus ou moins longtemps, selon que le client accepte ou non l’adresse IP qui lui a été
soumise.
3- NOTION D’ETENDUES
On parle d’étendue d’adresses pour définir une plage d’adresses IP disponibles pour un bail
spécifique. En règle générale, une étendue s’appuie sur les adresses d’un sous-réseau
particulier.
4- RESERVATION D’ADRESSES
[Date] 28
On parle de réservation d’adresses DHCP lorsqu’une adresse IP, au sein d’une étendue est
écartée afin d’être utilisée par un client DHCP spécifique.
NB : En ce qui concerne l’attribution des adresses IP des serveurs et des imprimantes, il est
conseillé de leur attribuer une adresse IP fixe. Ainsi, les adresses contenues dans une étendue
prédéfinie ne seront pas affectées par inadvertance, à un autre périphérique.
Par ailleurs, les périphériques ayant déjà fait l’objet d’une réservation disposeront alors à coup
sûr d’une adresse IP, lorsqu’une étendue vient à arriver à court d’adresses. Le fait de
configurer des réservations, permet de centraliser la gestion des adresses IP fixes.
Lorsque l’on configure des étendues DHCP et des options d’étendue, on doit bien évidemment
tenir compte du nombre d’adresses IP que l’on doit assigner et de la façon dont on
implémentera la tolérance aux pannes. Il est d’ailleurs fortement recommandé de disposer de
plusieurs serveurs DHCP, au sein du réseau. Ainsi, en cas de panne, il y aura toujours un
serveur de secours pour distribuer les adresses IP.
[Date] 29
5- Mode de fonctionnement
Tout ordinateur équipé d’une carte réseau et dépourvu d’adressage IP, envoie donc, en
diffusion un datagramme DHCP DISCOVER, en s’adressant au port de service UDP/67 de
n’importe quel serveur écoutant sur ce port (soit l’adresse MAC ff:ff:ff:ff:ff:ff). Ce paquet
contient entre autres choses, l’adresse MAC du client.
Tout serveur DHCP ayant reçu ce datagramme (s’il est en mesure de proposer une adresse sur
le réseau auquel le client fait partie), émet une offre DHCP OFFER, à l’attention dudit client,
sur le port UDP/68, identifié par son adresse physique. Cette proposition contient l’adresse IP
du serveur, l’adresse IP et le masque de sous-réseau, proposées au client.
Ce dernier retient une des offres reçues (généralement, la première qui lui est parvenue), et
diffuse sur le réseau un nouveau datagramme de requête DHCP REQUEST. Celui-ci contient
l’adresse IP du serveur ayant répondu ainsi que l’adresse qui lui a été fourni précédemment.
Ce type de requête a pour objectif de demander au serveur sélectionné, l’assignation de cette
adresse, l’envoi éventuel des valeurs des paramètres et aussi d’informer les autres serveurs
DHCP, ayant également fait une offre, de ne pas donner suite.
Pour finir, le serveur prépare un paquet d’accusé de réception, aussi appelé DHCP ACK fixant
l’adresse IP et son masque de sous-réseau au client ainsi que la durée du bail de cette adresse.
En l’absence de serveur DHCP, le client s’auto-attribue une adresse appelée APIPA

(Automatic Private Internet Protocol Addressing) s’appuyant sur la plage 169.254.0.0./16.
Sinon, le processus standard de résolution tient dans l’ordre d’exécution des requêtes. On
parle de processus DORA (Discover, Offer, Request, Ack) :
[Date] 30
- Le client DHCP diffuse un paquet DHCPDISCOVER. Il s’agit d’un message diffusé à

l’ensemble des ordinateurs du sous-réseau. Le seul équipement à pouvoir répondre est le
serveur DHCP (ou un agent relais DHCP, dans le cas où le brin réseau n’est pas le même). Dans
ce dernier cas, c’est l’agent qui transfère le message au serveur DHCP auquel il est rattaché.
- Tout serveur DHCP présent sur le sous-réseau doit être en mesure de répondre, en
émettant un paquet DHCPOFFER. Ce dernier fournit ainsi au client une adresse potentielle.
- Le client, après avoir reçu le paquet DHCPOFFER peut recevoir d’autres offres provenant
d’autres serveurs DHCP. Dans ce cas, le client doit choisir l’adresse fournit par le serveur lui
ayant répondu en premier et répond par un paquet DHCPREQUEST, contenant un
identificateur du serveur. Cela permet aux serveurs DHCP recevant la diffusion de savoir quel
est le serveur dont le message DHCPOFFER a été accepté par le client.
- Les serveurs DHCP reçoivent ainsi le paquet DHCPREQUEST, émis par un client. Les serveurs
qui n’ont pas été élus par le message DHCPREQUEST, se servent de ce dernier comme
notification pour signifier le refus du client. Par contre, le serveur sélectionné stocke l’adresse
IP du client dans sa base de données et répond par un message DHCPACK. Lorsque le serveur
DHCP ne peut fournir l’adresse promise, contenue dans le message DHCPOFFER initial, il
envoie alors un datagramme DHCPNAK.
REMARQUE : Le client n’est que locataire de cette adresse IP. Il n’en n’est pas le propriétaire
définitif. D’où la notion de bail sur laquelle on va revenir un peu plus loin. De plus, le client
reçoit également d’autres paramètres comme :
L’adresse IP de sa passerelle.
Les adresses des serveurs de noms DNS/BIND.
Éventuellement les adresses IP des serveurs de noms NBNS/WINS (cas d’un DHCP Windows).
[Date] 31
IMPORTANT : les serveurs DHCP doivent systématiquement disposer d’une adresse IP

statique. Il ne faut d’ailleurs pas confondre adressage IP fixe et adressage IP statique. Le
serveur DHCP peut attribuer des adresses IP fixes (c’est-à-dire, toujours la même en fonction
de l’adresse MAC reçue du client) alors que le serveur DHCP ne peut posséder qu’une adresse
IP statique (configurée manuellement).
6- QU’EST-CE QUE LE BAIL DHCP

Tout client dont le bail arrive à terme peut alors demander à son serveur associé, une
prolongation du bail, via une requête DHCPREQUEST.
De même, lorsqu’un serveur perçoit qu’un bail client arrive à échéance, il peut émettre un
datagramme DHCPNAK pour demander au client s’il souhaite prolonger son bail. Dans le cas
où le serveur ne reçoit aucune réponse valide, il libère alors l’adresse assignée. C’est ce qui
fait la force de ce protocole. On peut optimiser l’attribution d’adresses IP en jouant sur la
durée des baux.
En effet, si aucune adresse n’était libérée, au bout d’un certain temps, aucune requête DHCP
ne pourraient être satisfaites, puisqu’il n’y aurait plus d’adresse IP à utiliser. En règle générale,
sur des réseaux assez important, où les machines se connectent et se déconnectent
fréquemment, il est intéressant de proposer des baux de courte durée. A l’inverse, sur un
réseau constitué principalement de machines fixes (donc, très peu souvent redémarrées), il
est préférable d’utiliser des baux de longues durées.
NB : le DHCP fonctionne principalement avec des paquets en diffusion (ou en broadcast). Cela
peut alors bloquer la bande passante si l’on se trouve sur un petit réseau fortement sollicité,
à cause des requêtes DHCPREQUEST de renouvellement de bail des clients.
Dans le monde des logiciels libres (Open Source), c’est l’Internet Software Consortium (aussi
abrégé en ISC) qui développe le programme serveur DHCP. Il s’agit quand même du serveur
le plus répandu et celui qui reste au plus proche des RFC. Le serveur DHCP a la possibilité de
mettre à jour dynamiquement les serveurs de noms DNS/BIND, en fonction des adresses IP
fournies par le serveur DHCP.
Les adresses IP octroyées dynamiquement pour une durée limitée dans le temps sont
paramétrable via l’option lease time (ou durée du bail), transmise au client dans l’accusé de
réception, clôturant la transaction DHCP. On décompose alors ce délai en deux phases :
- Une valeur T1 (généralement 50% de la durée du bail) détermine la durée après
laquelle le client peut commencer à réclamer périodiquement le renouvellement de
son bail auprès du serveur DHCP associé. Cette transaction peut se faire en
transmission classique : c’est-à-dire d’adresse IP à adresse IP.
- Lorsque le délai fixé par T2 (par défaut, 87,5% de la durée du bail) est écoulée et que
celui-ci n’a pas été renouvelé, le client réclame une nouvelle allocation d’adresse IP,
par diffusion.
[Date] 32
IMPORTANT : enfin, lorsqu’au terme du bail, le client n’a pas reçu (ou n’a pas pu obtenir de
renouvellement), de l’adresse qu’il possédait, celle-ci sera désactivée et le client perd ainsi la
faculté de l’utiliser.
De plus, lorsque le serveur DHCP et le client ne figurent pas sur le même brin réseau, les
diffusions émises par le client ne peuvent parvenir au serveur DHCP en raison du fait que les
routeurs ne transmettent pas les diffusions générales (aussi appelées broadcast). Dans ce
genre de situation, il faut alors activer un relais DHCP.
Pour approfondir vos connaissances dans le DHCP une formation vidéo vous sera donnée
par l’enseignant.
7- INSTALLATION ET CONFIGURATION DU DHCP (TP )
V. ETUDE, INSTALLATION ET CONFIGURATION D’UN SERVEUR DE FICHIER
1- QU’EST-CE QU’UN SERVEUR DE FICHIERS (FILESERVER) ?

Un fileserver (en français : serveur de fichiers) est un serveur central au sein d’un réseau
d’ordinateurs qui met des systèmes de fichiers ou, tout du moins, des parties d’un système de
fichiers à disposition des clients associés. Les serveurs de fichiers offrent ainsi aux utilisateurs
un lieu de stockage centralisé pour les fichiers présents sur leurs propres supports de données,
ce lieu étant accessible à tous les clients autorisés. Dans ce cadre, l’administrateur du serveur
définit toutefois des règles strictes en matière d’attribution de droits d’accès aux utilisateurs
: en procédant à une configuration ou à des autorisations de fichiers du système de fichiers en
question, il est par exemple possible de définir quels dossiers un utilisateur donné ou un
groupe d’utilisateurs donné peut voir et ouvrir et s’il lui sera uniquement possible de consulter
ou également d’ajouter, de modifier ou de supprimer du contenu.
Une connexion du serveur de fichiers à Internet et un paramétrage correspondant permettent
un accès au réseau local, mais aussi un accès à distance. Les utilisateurs ont ainsi la possibilité
de déposer des fichiers sur le serveur ainsi que de disposer des fichiers stockés lors de leurs
déplacements. Tous les systèmes d’exploitation modernes peuvent être utilisés pour un
serveur de fichiers comme Windows, Linux ou macOS. À noter toutefois que le système
d’exploitation doit correspondre à ceux des appareils présents dans le réseau. Mais les
serveurs de fichiers ne sont pas uniquement utilisés comme espace de stockage ou
gestionnaire de fichiers. Ils tiennent également le rôle de serveurs de sauvegarde ainsi que
d’emplacement pour des programmes devant être à disposition de plusieurs membres du
réseau.
[Date] 33
2- COMMENT FONCTIONNE UN FILESERVER ?

Pour qu’un serveur de fichiers travaille de façon fiable, il est nécessaire de disposer du
matériel approprié. À commencer, bien sûr, par le disque dur qui doit offrir suffisamment
d’espace pour les fichiers et les programmes souhaités, incluant le système d’exploitation
correspondant et le logiciel nécessaire pour servir les clients. Le serveur doit par ailleurs
disposer d’une mémoire vive et d’une performance de processeur suffisantes pour traiter les
accès des différents utilisateurs aux fichiers et aux programmes, de façon aussi rapide et
efficace que possible. Le nombre d’utilisateurs est déterminant pour savoir si les exigences
matérielles peuvent être satisfaites avec un PC usuel ou si une configuration de serveur
particulière est requise.
Des protocoles réseau spécifiques assurent la communication entre le serveur de fichiers et
les clients : alors que le protocole SMB (Server Message Block), développé par IBM, est utilisé
dans les réseaux locaux avec des appareils Windows et macOS, les ordinateurs avec des
systèmes Unix tels que les distributions Linux ont dans la plupart des cas recours au protocole
NFS (Network File System). Si l’on souhaite réunir les deux types de protocoles dans un réseau
sans être confronté à des difficultés, les clients et le serveur de fichiers basés sur Unix/Linux
doivent être équipés d’un logiciel implémentant le protocole SMB dans ces systèmes, par
exemple avec la suite de logiciels libres Samba.
L’accès au serveur de fichiers via Internet est généralement assuré via le FTP (File Transfer
Protocol) ou sa variante chiffrée SFTP (Secure FTP). Le protocole sécurisé SCP (Secure Copy)
et le protocole WebDAV basé sur HTTP peuvent également être utilisés.
3- POSSIBILITÉS ET FONCTIONNALITÉS D’UN SERVEUR DE FICHIERS
[Date] 34
Comme nous l’avons déjà mentionné, la fonction principale d’un serveur de fichiers consiste
à permettre à plusieurs utilisateurs d’accéder aux fichiers qui y sont stockés ainsi que de
disposer d’un espace de stockage libre pour déposer des fichiers. C’est la raison pour laquelle
l’utilisation de ces serveurs en tant que mémoire centrale est principalement appréciée pour
les fichiers internes d’une entreprise susceptibles de présenter un intérêt pour les différents
utilisateurs. Dans de nombreux cas, les entreprises (principalement dans le secteur open
source) utilisent toutefois les serveurs de fichiers comme des serveurs de sauvegarde
connectés à leur propre site Internet. De cette manière, elles permettent à leurs clients ou aux
visiteurs du site Internet de télécharger de façon simple une sélection de contenus tels que
des programmes, des pilotes, des mises à jour, des images ou des vidéos.
Le deuxième grand champ d’application des serveurs de fichiers est la sauvegarde de fichiers.
Contrairement au stockage et à la gestion commune des fichiers pertinents, il s’agit ici de
réaliser et de stocker des copies de sauvegarde classiques – des fichiers système ou utilisateur
(ou les deux) en fonction des besoins. Entreposer ces copies de sauvegarde sur un serveur de
fichiers est une alternative à la fois simple et avantageuse au fait de prévoir et couvrir un
espace de stockage supplémentaire sur chaque client.
Il en va de même lorsque le serveur de fichiers est utilisé pour héberger des logiciels et les
rendre accessibles à tous les utilisateurs autorisés : comme pour les systèmes hôte-terminal
utilisés par le passé, la puissance de calcul et la capacité de stockage sont ainsi délocalisées de
façon élégante ce qui permet aux appareils du client de prendre uniquement en charge la
saisie et l’affichage des données.
4- QUELS SONT LES AVANTAGES DE L’UTILISATION D’UN SERVEUR DE FICHIERS ?

Pour différentes raisons, l’utilisation d’un serveur de fichiers nécessite réflexion pour de
nombreuses entreprises : la centralisation est sans conteste l’avantage le plus important
puisqu’elle permet à chaque participant au réseau d’accéder aux fichiers mis à disposition. Il
est possible de travailler en commun sur ces fichiers sans difficulté : les conflits entre les
différentes versions d’un document sont pratiquement exclus étant donné que certaines
actions, telles que le traitement ou la suppression, sont bloquées pour les autres utilisateurs
dès qu’ils ouvrent un fichier. Si les utilisateurs devaient en revanche partager les fichiers
souhaités sur leur propre système ou les transporter à l’aide de moyen d’échange, l’effort et
le temps que cela nécessiterait seraient nettement plus conséquents et on serait très
probablement confrontés à des conflits entre les différentes versions des fichiers.
Un autre avantage décisif de l’utilisation des serveurs de fichiers est de décharger les
ressources du client : exception faite des documents personnels, l’ensemble des fichiers de
l’entreprise et des copies de sauvegardes peuvent en principe être déposés sur le serveur de
fichiers, conformément au réglage souhaité par l’entreprise pour la dépose des fichiers. Par
ailleurs, avec une organisation correspondante, incluant par exemple des répertoires, des
classeurs, etc., il est automatiquement plus simple d’avoir une vue d’ensemble dustock
complet de fichiers.
[Date] 35
Si le serveur de fichiers est configuré pour un accès à distance via Internet, les fichiers sont
par ailleurs consultables depuis l’extérieur comme pour un service de stockage en ligne.
Contrairement à une solution sur le cloud, le contrôle sur les fichiers et leur sécurité
demeurent toutefois entre les mains de l’entreprise à tout moment ce qui représente un
avantage notable sur les solutions incluant des prestataires tiers.
Résumé des avantages d’un serveur de fichiers :
- une organisation simple de l’ensemble du stock de fichiers,

- une visibilité accrue,
- un partage simple des fichiers,
- une collaboration sans conflits entre les versions,
- une décharge de l’ordinateur client (un espace de stockage quasiment illimité),
- un accès à distance possible via WebDAV, (S)FTP ou SCP,
- la main sur la protection et la sécurité des données.
5- Installation et configuration d’un serveur de fichier sous Windows serveur

2016/2019 (TP)
VI. ETUDE, INSTALLATION ET CONFIGURATION DU NAT ET ACCES A DISTANCE

(TP )
Devoir : Faire les recherches sur le nat et accès à distance sur windows serveur 2016-
2019
[Date] 36
[Date] 37

Partie 2

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Partie 2

Transféré par

Droits d'auteur :

Formats disponibles

SYSTEME D’EXPLOITATION : WINDOWS SERVER 2016/2019

PARTIE 2 : LES SERVICES RESEAUX DE BASE

I. ETUDE, INSTALLATION ET CONFIGURATION D’ADDS (Active Directory Domain

1. PRESENTATION D’ACTIVE DIRETORY

Une méthode de gestion de la sécurité pour les ressources partagées.

5. STRUCTURE PHYSIQUE D’ACTIVE DIRECTORY

- Illustration de la structure physique

6. QU’EST-CE QU’UN SERVICE D’ANNUAIRE AD

Illustration d’un servie d’annuaire

7. QU’EST-CE QUE LE SHÉMA AD ?

Illustration du schéma d’AD

8. QU’EST-CE QUE LE CATALOGUE GLOBAL ?

- Les informations requises pour déterminer l’emplacement de tout objet dans

9. QU’EST-CE QUE LE NOM UNIQUE ET LE NOM UNIQUE RELATIF

10. INSTALLATION ET CONFIGURATION D’ADDS (TP à faire en cours)

II. GESTION DES UTILISATEURS DANS LE SERVEUR ADDS ET INSTALLATION D’UN

2- LES PROPRIÉTÉS DES UTILISATEURS

On trouve aussi plusieurs options de compte :

Le compte est désactivé : permet simplement de désactiver le compte en cochant

Maintenant, cet utilisateur fait partie de 2 groupes :

- L’Onglet appel entrant

En cochant la case "Vérifier l'identité de l'appelant", vous pourrez restreindre la

- L’Onglet Profil des services bureau à distance

Le chemin d'accès au profil : il peut s'agir d'un chemin local ou réseau

3- CREATION DES USERS DANS ADDS (TP)

III. ETUDE, INSTALLATION ET CONFIGURATION DU DNS

3- ELEMENTS CONSTITUANT LE DNS

4- L’ORGANISATION DES NOMS DE DOMAINE

En-dessous, l’ICANN délègue son administration et la gestion de ces TLD à un autre

6- LE ROLE DES SERVEURS DE NOMS

Le principe de la résolution de noms

Le mécanisme permettant de trouver une adresse IP correspondant au nom d’une

 Résolution de noms inversée

Exemple : trouver le domaine de l’adresse 80.198.14.2 revient à résoudre 2.14.198.80.in-

8- INSTALLATION ET CONFIGURATION DU DNS DANS WINDOWS SERVEUR 2016/2019

IV. ETUDE, INSTALLATION ET CONFIGURATION DU DHCP (Dynamic host configuration

2- LES DIFFERENTS TYPES DE PAQUETS

En l’absence de serveur DHCP, le client s’auto-attribue une adresse appelée APIPA

- Le client DHCP diffuse un paquet DHCPDISCOVER. Il s’agit d’un message diffusé à

IMPORTANT : les serveurs DHCP doivent systématiquement disposer d’une adresse IP

6- QU’EST-CE QUE LE BAIL DHCP

7- INSTALLATION ET CONFIGURATION DU DHCP (TP )

V. ETUDE, INSTALLATION ET CONFIGURATION D’UN SERVEUR DE FICHIER

1- QU’EST-CE QU’UN SERVEUR DE FICHIERS (FILESERVER) ?

2- COMMENT FONCTIONNE UN FILESERVER ?

3- POSSIBILITÉS ET FONCTIONNALITÉS D’UN SERVEUR DE FICHIERS

4- QUELS SONT LES AVANTAGES DE L’UTILISATION D’UN SERVEUR DE FICHIERS ?

- une organisation simple de l’ensemble du stock de fichiers,

5- Installation et configuration d’un serveur de fichier sous Windows serveur

VI. ETUDE, INSTALLATION ET CONFIGURATION DU NAT ET ACCES A DISTANCE

Vous aimerez peut-être aussi