2 - Gefi Wserver2012-1-1

Volume
20
SUPPORT DE COURS -DOCUMENTATION Centre
de formation GEFI
Windows
Server 2012
Semaine 1
R2
© GEFI – REPRODUCTION INTERDITE

Réf:WS12MAI005-S1
CENTRE DE FORMATION GEFI
2
DES MATIERES
4
DES MATIERES
TABLE DES MATIERES
Table des matières

............................................................................................................ 4
Objectifs du cours
............................................................................................................. 6
Le rôle du technicien micro-réseau (premier niveau)
.................................................................. 6
rôles sur Windows Server 2012 R2

..................................................................................... 7
Les fonctionnalités ..................................................................................................................
11
Caractéristiques : Server 2012 R2

.................................................................................... 12
Prérequis avant installation de Windows Server 2012
.............................................................. 12
Les différentes éditions de Windows Server 2012

.................................................................... 13
Les différents modes de licences

............................................................................................. 14
LE SYSTEME DNS
............................................................................................................. 16
Vue d'ensemble du système DNS
............................................................................................. 16
L’espace de nom DNS (Domain Namespace)
............................................................................ 18
Qu'est-ce qu'une requête DNS ? ..............................................................................................

24
Processus de résolution de noms d'hôte

.................................................................................. 26
Les zones DNS .........................................................................................................................

30
Création de zones de recherche

............................................................................................... 35
Délégation de zones ................................................................................................................

39
Les indications de racine .........................................................................................................

42
Les redirecteurs ......................................................................................................................

43
Processus de transfert de zone

................................................................................................ 46
DNSCmd .................................................................................................................................
51
Groupes de travail (Workgroup)

...................................................................................... 52
Workgroup .............................................................................................................................
52
Services de Domaine Active Directory (AD DS)

.............................................................. 53
Domaine AD-DS ......................................................................................................................

53
Les avantages d’un service d’annuaire.

....................................................................................... 56
Structure logique d’Active Directory

........................................................................................ 59
Domaines ................................................................................................................................
59

TABLE DES MATIERES
Les groupes locaux ........................................................
82
Structure physique d’Active Directory
Les
..................................................................................... 63comptes utilisateurs du domaine AD
.................................................................................. 85
Les objets ................................................................................................................................
64 Les groupes dans le domaine AD
...........................................................................................
Les partitions Active Directory
Gestion des
................................................................................................. 65 groupes dans le domaine
...................................................................................... 93
Les maîtres d'opération FSMO (Flexible Single Master Opération)
............................................ 66 Système de fichiers et les partages
.................................................................................. 97
Le catalogue global .................................................................................................................
67 Les partages de dossiers et les connexions aux parta
.......................................................... 97
Schéma Active Directory .........................................................................................................
68 Les partages administratifs (ceux réalisés par défaut)
.............................................................. 98
Les niveaux fonctionnels du domaine et de la forêt
.................................................................. 69 Création de partages ......................................................
99
Format de noms des objets .....................................................................................................
71 Connexions aux ressources partagées
..................................................................................... 104
Enregistrements de type SRV...................................................................................................
73
Les protocoles d'authentification.............................................................................................

74
Installer les Outils d'administration

................................................................................. 77
Les comptes utilisateurs / groupes

.................................................................................. 79
Les comptes utilisateurs locaux
............................................................................................... 79
5
6
URS
OBJECTIFS DU COURS
Le rôle du technicien micro-réseau (premier niveau)

Le technicien d’assistance en informatique installe et dépanne des matériels
informatiques et des logiciels. Il assiste les utilisateurs ou les clients pour
assurer la continuité du service rendu par les outils informatiques et
bureautiques. Il peut intervenir sur le site même ou à distance (le plus souvent
par téléphone) , et doit respecter des procédures et des contrats de services. En
entreprise, son rôle consiste à assurer la mise en relation physique des
ordinateurs en interne (gestion du serveur interne) et avec les réseaux extérieurs
(configuration des accès internet et extranet) .
Principaux éléments qui seront abordés au cours de cette première semaine :
Connaître les différentes versions de Windows 2012 Server R2

Gestion des licences d’accès clients (CAL) Serveur DNS (DOMAIN
NAME SERVER)
- Résolution de noms d’hôtes -
Zones DNS :
- Recherches directes ; - Recherches inversées - Délégation de zones -
Redirecteurs - Transfert de zones Notion de Groupe de travail et de Domaine
Microsoft Qu’est-ce qu’une base d’annuaire (Active Directory pour Microsoft)
-Domaines -Arborescences -Forêts -Sites -Schéma -Catalogue Global Utiliser les outils
d’administration à distance afin de gérer l’annuaire Active Directory AD-DS Notion de groupes
: local du domaine (DL) ; global (GG) ; universel (GU) Gestion de comptes utilisateurs et de
comptes machines Permissions d’accès aux ressources (NTFS) Gestion des partages :
-Graphiquement -Commande : Net Share
-lecteur réseau : commande : Net use
ROLES SUR WINDOWS SERVER

Depuis2W
012
indowsR2
Server 2008 R2, il est possible d’ins
depuis la console Gestionnaire de serveur. La plupar
de rôle, des sous- ensembles d’un rôle donné. Ils s’ins
l’intermédiaire de l’administrateur, soit automatiqueme
autre rôle ou d’une fonctionnalité.
Microsoft a totalement retravaillé le noyau de son systè

Windows Server 2008. Un noyau NT 6.x existe depuis
Différents rôles 2000 et XP reposaient sur le noyau NT 5.x). Windows
noyau 6.2. Ce noyau possède ainsi la technologie Pat
Dernière version du système d’exploitation de la gamme Windows Server de
Microsoft afin de protéger au maximum le système d’e
Microsoft, Windows Server 2012 R2. Windows Server 2012 possède une capacité
terme aux rootkits ou autre attaque visant à modifier le
de script et d’automatisation de tâches accrue grâce au langage de script Windows
PowerShell. L’automatisation des tâches courantes d’administration se voit ainsi
Voici quelques rôles pouvant être implémentés sur les
grandement améliorée et facilitée grâce à cette nouvelle fonctionnalité. Cette
Serveur :
version évolue également avec son temps en tenant compte deROLES la tendance à la
SUR WINDOWS SERVER 2012 R2
virtualisation et au Cloud Computing.
7
8
2012 R2
L’accès à distance Le rôle Accès à distance permet de

partie routage est également intégrée et offre des fonc
serveur NAT est également intégré. Les services de rô
 Direct Access et VPN. Direct Access donne la possibilité à un
utilisateur
d’être connecté au réseau de l’entreprise sans aucune intervention de sa
part (automatiquement).  Routage. Il prend en charge les routeurs NAT
ainsi que ceux exécutant RIP et
les proxys IGMP.
HyperV Depuis Windows Server 2008, l’hyperviseur de Microsoft, Hyper-V, peut

être installé.
 Il permet de mettre en place une plateforme de virtualisation sous

Windows
(virtualiser différents OS dans des machines virtuelles). Cependant, il
semble que l'une des meilleures améliorations de Windows Server 2012
R2 vient du support accru pour les machines virtuelles sous Linux. Certes,
les versions précédentes d'Hyper-V étaient techniquement compatibles
avec Linux, mais leurs capacités restaient très limitées.
Serveur DNS
 Système qui centralise une base de correspondance entre les noms

complets des
ordinateurs et leurs adresses IP (zones de recherche directes et
inversées)  Assure la résolution de noms en adresse IP (et
inversement)
DHCP Dynamic Host Configuration Protocol
 Le rôle permet la distribution de baux DHCP (config IP complète) aux

différents
équipements qui en font la demande (clients
DHCP).
Il peut être installé sur un serveur en mode installation complète ou en mode

Core (installation sans interface graphique) . SupporteIPv6. Contrôleur de
domaine (Active Directory Domain Services (AD DS)
 Système Windows 2012 sur lequel est installé Active Directory  Ce dernier a
pour fonction d’authentifier des utilisateurs et ordinateurs présents sur
le domaine AD. Ce rôle peut être installé sur un serveur ne possédant pas
d’interface graphique.
Active Directory Federation Services (AD FS) Active

Directory Rights Management Services (AD RMS)
 Protège une ressource contre une utilisation non autorisée. Les utilisateurs
sont
identifiés et une licence leur est attribuée pour les informations
protégées.
Il est ainsi plus simple d’interdire à un utilisateur de copier un document sur une clé
USB ou d’imprimer un fichier confidentiel.
Active Directory Certificate Service (AD CS) Installe une autorité de certification afin
d’effectuer des opérations d’émission et de gestion de certificats.
 Autorité de certification : fournit une infrastructure à clé

publique.

ROLES SUR WINDOWS SERVER 2012 R2:
 Serveur NPS : permet la mise en place des st

Service de déploiement Windows (WDS) pour les
 Fournit un service de déploiement de systèmes
demandesd’exploitation
de connexion.
à travers Autorité HRA (Health
 le
fichiers de: démarrage
réseau. Le serveur possède deux types d’images : lesAuthority) émission dequi
certificats d’intégrité pou
permettent l’accès à l’installation de Windows (boot.wim)
conformes
ou à unauxdossier
exigences
partagé
d’intégrité.
(MDT
: Microsoft Deploiement Toolkit) et les images d’installation (install.wim) qui contiennent
les métadonnées nécessaires à l’installation du L’accès
systèmeàd’exploitation.
l’entreprise prend une nouvelle dimension av
œuvre de Direct Access permettant aux administrateu
Service de stratégie et d’accès réseau Ce rôle permet la contrôle
grand gestion des accès
sur les au réseaupouvant
ordinateurs, par ainsi les gé
le biais d’accès sans fil, de serveurs VPN ainsi que de commutateurs
utilisateur ne se connecte (GPO disponibles, etc.). Fin
d’authentification 802.1x. L’installation de NPSinfrastructure
(Network Policy
IPv6 Server) permet
pour profiter la
de cette solution comm
AP) . ExitServer
mise en place de la protection d’accès réseau (NWindows donc les personnes
2008 R2. externes
arrivant avec un ordinateur portable qui n’est pas à la norme de sécurité de l’entreprise
ou bien l’utilisateur n’ayant pas un antivirus à jour ! L’accès au réseau leur est refusé
WSUS3  Permet d’approuver les mises à jour avant l’
tant qu’ils ne remplissent pas les critères de conformité que vous aurez jugés
nécessaires.
client, ce
Les services de rôle disponibles sont dernier étant rangé dans un groupe d’ordinate
d’effectuer une approbation pour un groupe en particulier (exemple : groupe « test » en
 Système qui assure le partage des imprimante
premier puis, si le correctif ne pose pas de problèmes, approuvez le pour le deuxième).
Centralise les impressions  Met les imprimante
Serveur de fichiers (SMB : Server Message Block) disposition des utilisateurs du réseau
 Système qui assure le partage et la centralisation de documents de

l’entreprise  Système qui met les documents partagés à disposition des
utilisateurs du réseau CENTRE DE FORMATION GEFI
9
0
Le protocole SMB (Server Message Block) passe en version 3.0 et a été
considérablement amélioré. Il prend charge des fonctionnalités comme le basculement
transparent SMB, la montée en charge SMB, le Serveur
bail de répertoire, etc. Il prend aussi en
Terminal Server
charge le stockage de fichiers VHD (fichier image
2012 R2disque pour Virtual PC) ou un
système de base de données SQL. Serveur d'impression (SMB : Server Message Block)
 Permet de centraliser les applications  Permet aux utilisateurs

d’accéder aux applications à partir de terminaux
Serveur Web IIS (Internet Information server)
 Serveur web, il permet l’affichage et le stockage de sites et applications

Web
Quelques autres rôles : Serveur WINS, Serveur Telnet, Serveur de temps (NTP),
Serveur de messagerie (Smtp et Pop3) , Serveur ftp, Serveur d’authentification
Kerberos, Serveur de flux multimédia.
L'outil Gérer votre serveur Lorsque Windows Server 2012 est installé et qu'un utilisateur ouvre
une session pour la première fois, l'outil Gérer votre serveur démarre automatiquement. Cet outil
permet d'ajouter ou de supprimer des rôles de serveur.

ROLES SUR WINDOWS SERVER 2012 R2
Une fonctionnalité apporte des "outils" supplémentaire
Comme pour un rôle, une fonctionnalité peut s’installer
Les fonctionnalités de manière automatique.
 Chiffrement de données BitLocker
• BitLocker permet le chiffrement de chaque volume afin d’éviter une fuite des
données en cas de perte ou de vol de la machine. Une vérification du système
d’amorçage nécessite la présence d’une puce TPM (Trusted Plateform Modul :
composant cryptographique matériel) sur la machine.  Clustering avec
basculement (MSCS : Microsoft Cluster Service)
• Permet à des serveurs de fonctionner ensemble, ceci afin d’offrir une haute
disponibilité. En cas de panne de l’un des serveurs, la continuité de service est
assurée par les autres (Actif/Passif).  Équilibrage de la charge réseau (NLB
: Network Load Balancing)
• Permet la distribution du trafic afin d’éviter une saturation d’un des serveurs
(Actif/Actif).  Gestion de stratégies de groupe
• Composant logiciel enfichable qui permet l’administration et la gestion des
différentes stratégies de groupe.  Outils de migration de Windows
Server
• Ajoute des applets de commande PowerShell afin de faciliter la migration des
rôles serveur.  Service de gestion des adresses IP
• Installe une infrastructure permettant la gestion d’un espace d’adresses IP et
des serveurs correspondants (DHCP...). IPAM prend en charge la découverte 1 1
des serveurs dans la forêt Active Directory de manière automatique.
12
CARACTERISTIQUES : SERVER 2012 R2

Prérequis avant installation de Windows Server 2012
Avant de procéder à l’installation de Windows Server 2012 sur le poste physique, il est
nécessaire de s’assurer de respecter les prérequis du système d’exploitation.
Windows Server 2012 Standard/DataCenter
Composant Minimum Recommandé
Processeur/
1.4 GHz (processeur 64-bits) ou plus CPU socket
rapide pour un simple core, ou 1.3 GHz (processeur 64-bits) ou plus rapide pour un
multi-core
3.1 GHz (processeur 64- bits) ou plus rapide pour un multi-core
Memoire (RAM)
512 MB 1024 MB
Max : 4 TB Standard Max : 4 TB DataCenter
Disque Dur 32 GB pour la partition système Plus si le système possède
plus de 16 Go de RAM
Windows Server 2012 Essentials/Foundation
Composant Minimum Recommandé
Processeur/ CPU socket
1.4 GHz (processeur 64-bits) ou plus rapide pour un simple core, ou 1.3 GHz
(processeur 64-bits) ou plus rapide pour un multi-core
3.1 GHz (processeur 64- bits) ou plus rapide pour un multi-core
Memoire (RAM)
2 GB 8 GB
Max : 64 GB Essentials Max : 32 GB Foundation
Disque Dur 160 GB de disque dur avec 60 GB pour
la partition système
Depuis Windows 2008, deux types d’installation sont proposés.
 Une installation complète : une interface graphique est installée et permet
l’administration du serveur de manière graphique ou en ligne de commande.
 Une installation minimale : le système d’exploitation est installé mais aucune
interface graphique n’est installée (version Core).
Seule une invite de commandes est présente : les installations des rôles et fonctionnalités, ou l’admini
ligne de commande. Il est néanmoins possible d’administrer les différents rôles à distance en installan
Server Administration Tools) sur un poste distant.
 Une fois l’installation du serveur terminée, il est nécessaire de configurer le

nom du serveur et de définir s configuration IP.
Les différentes éditions de Windows Server 2012

Comme à l’accoutumée, Microsoft Windows Server 2012 est disponible sous différentes éditions. Le c
notamment :
 Du rôle du serveur que vous prévoyez d’installer.  De la stratégie de virtualisation qui sera
utilisée.  Du type de licensing qui sera utilisé.
Windows Server 2012 Foundation : Utile pour de petites entreprises mettant en place leur premier se
les fonctionnalités essentielles sont présentes, elle n’offre pas de solution de virtualisation (HyperV
être installé). Cette licence a une limitation de 15 utilisateurs par serveur. Elle est accessible à l’heure
sont écrites uniquement en OEM. Pas possible d’intégrer un domaine, mono processeur (1 cœur).
Windows Server 2012 Essentials : Cette version remplace Small Business Server Essentials. Plusie
pas disponibles comparé à une version Standard (Server Core, HyperV, Failover Clustering, Re
Services, etc. ). A destination des petites et moyennes entreprises comme pour la version Foundation
limitation plus grande en autorisant que 25 utilisateurs et 50 machines. Supporte 2 processeurs Cores
RAM.
Windows Server 2012 Standard Edition : Elle peut être utilisée pour des entreprises ayant peu de se
virtualisés. Son modèle de licensing est calculé en fonction du nombre de processeurs et du nombre d
les fonctionnalités sont présentes. Cette version est composée de deux licences pour deux VM en plus
machine hôte. Supporte jusqu’à 64 processeurs et 4 Terabytes (TB) of RAM. Windows Server 2012 D
Utile pour les environnements de Cloud hybride ou utilisant un nombre important de machines virtuelle
accès à l’ensemble des fonctionnalités ainsi qu’à un droit de virtualisation illimitée. Supporte de 64 à 6
Cores et 4TB de RAM, ainsi qu’un cluster de 63 nœuds.

13
14
: SERVER 2012 R2
Les différents modes de licences
De huit licences différentes pour la version 2008 R2, Windows Server 2012 R2 est
passé à quatre.
Avec Windows Server 2012, Microsoft propose un nouveau mode de licence

adapté aux besoins des clients, à l'évolution de leur infrastructure et au Cloud.
La gestion des licences a également été revue totalement. Pour Windows Server 2012
Standard et Datacenter. Le calcul des licences « par serveur » change pour des
licences « par processeur ». Attention donc désormais au choix matériel de vos futurs
serveurs. Par défaut, ces versions arrivent avec une licence pour deux
processeurs. La seule différence entre ces deux versions réside dans le droit de
virtualisation : illimité sous la version Datacenter et de deux machines virtuelles pour la
version Standard. Un licensing particulier aux machines virtuelles est également
appliqué.
Services réseaux nécessitant les licences

d’accès
 Les services de fichiers et d’impression
SMB  Les services d’accès distant (RAS)
Datacenter => Par processeur + CAL Standard => Par

processeur + CAL (5 CAL incluses) Essentials => Par Serveur
(Limité à 25 utilisateurs) Pas de CAL. Foundation => Par
Serveur.(Limité à 15 utilisateurs) Pas de CAL.
Disponible en OEM* uniquement
=====================================================================
Pour la version Standard il vous faudra une nouvelle licence toutes les deux
VM(s) ou tous les deux processeurs supplémentaires !
Ex : 2 processeurs ou moins et 5 VM(s) => 3 Licence(s) Standard requise(s) Ex : 4

processeurs et 10 VM(s) => 5 Licence(s) Standard requise(s)
==================================================================
Voici un autre exemple :
Vous possédez une entreprise composée des services, nombre d'imprimantes et

nombre d'employés suivant :
• Un service informatique / 60 employés ( + 6 imprimantes

réseau )
• Un service communication / 40 employés ( + 4 imprimantes
réseau )
• Un service comptabilité / 50 employés ( + 5 imprimantes
réseau )
• Un service administration / 50 employés ( + 5 imprimantes
réseau )
Vous souhaitez installer un Windows Server en vue de mieux géré tout votre parc
informatique. En honnête citoyen et chef d'entreprise que vous êtes, vous tenez
absolument à obtenir une clé de licence authentique !
_Windows Server 2012 Standard :

724€

CARACTERISTIQUES : SERVER 2012 R2 = 5.800€) et encore on ne parle pas ici d’Office.....
5
Bon, c'est cher, mais pour une entreprise de 200=========================================

employés, ce n'est pas énorme. Vous
Exemple de tarifs
encaissez le coup ! Donc, vous aurez 200 clients et 20 périphériques qui devrons se
connecté à Windows Server.
Et là, c'est le drame. Oui, vous avez bien lu, il faut que vous achetiez une licence
pour TOUT LES CLIENTS ET TOUT LES PÉRIPHÉRIQUES qui se connecteront à
votre serveur Windows.
_Licence standard pour Windows 8 Pro :

279€ _Licence CAL pour les clients : 36€
_Licence CAL pour les périphériques : 42€
Petits calculs rapides :
200*36 = 7200€ 20*42 =

840€ 7.200 + 840 + 724 =
8.810€ CENTRE DE FORMATION GEFI
15
6
(ps : il ne faut pas oublier que les 200 employés de votre entreprises doivent
DNS
également posséder une licence Windows 8 Pro chacun, à 279€ l'unité... 200*279
LE SYSTEME DNS
Vue d'ensemble du système DNS
DNS (Domain Name System) est un service de résolution de noms
d’hôte.
DNS résout donc les adresses lisibles pour les humains (comme
WWW.Microsoft.com) en adresses IP (comme 128.18.0.1) ou inversement. Avant
DNS, le système de résolution d’un nom sur Internet devait se faire à l’aide d’un
fichier texte, le fichier HOSTS. Fichier maintenu par le NIC du Standford Research
Institute (SRI), les postes devaient récupérer le ficher par transfert de fichier.
Sans DNS, vous devriez trouver les adresses IP des ressources pour accéder à ces
ressources. http://www.google.com => implique une résolution de noms d’hôte, donc
Serveur DNS http://74.125.71.147 => ne nécessite pas de résolution de noms d’hôte
Cependant les utilisateurs préfèrent utiliser des noms prononçables pour désigner une
machine. On parle alors de noms symboliques ou de noms de haut niveau.
DNS e st une base de données distribuée hiérarchisée qui contient les mappages
(correspondance) de noms d'hôtes DNS à des adresses IP. DNS permet de
repérer des ordinateurs et des services en utilisant des noms alphanumériques
faciles à retenir. DNS permet également de découvrir des services réseau comme des
serveurs de messagerie et des contrôleurs de domaine dans le service d'annuaire
Active Directory®. DNS est à la base du système de noms Internet, mais aussi du
système de noms de domaine Active Directory d'une organisation. Il est
naturellement plus facile de retenir un nom de domaine ou un nom de poste qu’une
adresse IP, de plus l’implémentation d’IPv6 favorise l’utilisation d’un nom plutôt que
d’une adresse IP.
Le DNS est, par définition, constitué de trois composants

principaux :
1. L’espace de noms de domaines (Domain Namespace) , lequel comprend les
enregistrements de ressources associés à cet espace. Les enregistrements de
ressources sont appelés RR pour Resources Records et clarifient le type de
chaque enregistrement. 2. Les serveurs de noms DNS (DNS Name Servers) . Il
s’agit de machines sur lesquelles s’exécute le processus offrant le service
"Serveur DNS". Ces serveurs hébergent tout ou partie de l’espace de nom géré
ainsi que les enregistrements de ressources. Assurent les résolutions de noms
initiées par les clients DNS. 3. Les clients DNS (DNS Resolvers ou DNR).
Machines qui émettent des requêtes DNS vers un ou plusieurs serveurs DNS
(résolution de noms d’hôtes en @IP, déclaration dans le serveur DNS, etc...)

LE SYSTEME DNS
17
8
DNS
L’espace de nom DNS (Domain Namespace)
L’espace de nommage du système DNS est implémenté sous la forme d’une
hiérarchie de noms implémentée par un arbre structuré. Le nom de cet arbre
est par convention indéfini mais sera appelé racine de l’espace et prendra la
forme d’un point. Par exemple, le domaine microsoft.com est réellement et
techniquement nommé "microsoft.com.", donc terminé par le caractère (.).
Points clés :
• L’espace peut être composé d’une ou de plusieurs
branches.
• Chaque branche peut être composée de N
noms.
• Chaque nom d’hôte est limité à 63 caractères.
• Le nom complet d’un nœud situé dans l’espace de nommage DNS est appelé
FQDN (Fully Qualified Domain Name) ce qui signifie "nom de domaine
pleinement qualifié". Il est recommandé de respecter le RFC 1123, lequel
définit les conventions de nommage suivantes :
• Utiliser les caractères A Z, a z,0 9et le caractère ""
• Le FQDN ne doit pas excéder 255 caractères.
Hiérarchie DNS et espace de noms Internet
Les données nom/adresse IP des ordinateurs situés d
dans un fichier de zone sur un serveur DNS.
Chaque serveur DNS maintient seulement une partie de la base de données de
l’espace DNS. La base de données "totale" est divisée en différentes
La structure parties
hiérarchique appeléesde noms de
de l'espace
zones, chaque zone correspondant à une partiedomaine
de l’espace
: DNS, donc à un domaine
ou un sous domaine particulier. Nous reviendrons sur ce point plus loin. Les fichiers de
zone pourront ensuite être répliqués vers de multiples serveurs à l’aide de ce que l’on
appelle des transferts de zones.
1). Domaine racine
• Le domaine racine (.) est sollicité via les treize serveurs DNS de la racine, sur ces
13 serveurs, 9 sont situés aux USA. Ces 13 serveurs racine possèdent les mêmes
informations concernant les serveurs de premier niveau (TLD).
• . Ces serveurs contiennent les informations qui permettent de localiser les
serveurs DNS du premier niveau tels que .com, .org, .net ou encore .fr.
• Notez que les serveurs de la racine ne contiennent pas toutes les informations
sur les domaines du premier niveau. Ils connaissent seulement les serveurs qui
ont la responsabilité de ces domaines.
Une synchronisation à lieu entre les serveurs de même niveau gérant la même zone
que l’on appelle « transfert de zone ». Vous pouvez connaître leurs adresses IP en
éditant le fichier cache.dns situé sous %systemroot%\system32\dns. Pour
connaître la dernière mise à jour du fichier cache.dns, connectez-vous sur le serveur
ftp.rs.internic.net.
2). Domaine de niveau supérieur Les domaines de premier niveau sont aussi appelés
TLDs pour Top Level Domains.Il s'agit de la portion finale (à l'extrême droite) d'un nom
de domaine. En général, un domaine de niveau supérieur est représenté par un nom de
deux ou trois caractères qui identifie le statut
LE SYSTEME DNS
19
0
DNS
organisationnel ou géographique du nom de domaine.

www.gefi-sa.com., la portion « .com » représente le n
supérieur et indique que ce nom a été inscrit auprès d'
pour un usage commercial. Dans les débuts du DNS, da
de premier niveau existaient.
com Commercial (for example, microsoft.com for Microsoft Corporation) edu
Educational (for example, mit.edu for Massachusetts Institute of Technology) gov
Government (for example, whitehouse.gov for the Whitehouse in Washington D.C.) int
International organizations (for example, nato.int for NATO) mil Military operations (for
example, army.mil for the Army) net Networking organizations (for example, nsfServer
2003 for NSFNET) org Non commercial organizations (for example, fidonet.org for
FidoNet)
+ Un code par pays (et parfois par

régions
Remarque : Depuis une nouvelle extension existe pour l’Europe, le «

.eu »
3). Domaine de second niveau Un nom de domaine de second niveau est un nom
unique de longueur variable, formellement inscrit par InterNIC auprès d'un individu ou
d'une organisation qui se connecte à Internet. Dans l'exemple www.gefi-sa.com, le
nom de second niveau est la portion « .gefi-sa » du nom de domaine, inscrite par
InterNIC et affectée à la Société GEFI-SA Corporation.
4). Sous-domaine Outre le nom de second niveau inscrit auprès de InterNIC, une
organisation de grande envergure peut choisir de subdiviser encore son nom de
domaine en ajoutant des départements ou des services représentés chacun par
une portion distincte dans le nom de domaine : 1. Ventes.gefi-sa.com. 2.
Finance.gefi-sa.com. 3. Corp.example.local. (extension non routable sur
l’Internet : votre Intranet)
Le DNS ne distingue pas les majuscules des

minuscules.
LE SYSTEME DNS
• Transfert de zone rapide : permet l’envoi de plusie
message.
Résolution des noms de domaine • Transfert de zone incrémentiel : permet lors du tra
DNS, de ne transférer que les modifications apport
Le système DNS fournit les solutions • Enregistrements WINS et WINS-R : permet d’utilis
suivantes : ne trouve pas la réponse à la requête demandée.
• Résolution des noms de domaine complète (FQDN :Fully Qualified Domain
Name) ntégration du système DNS à d'autres services de Window
• Résolution des noms NetBIOS (Network Le
Basic Input/Output
système Systemà
DNS s'intègre ) pd'autres
ar services réseau p
transmission de requêtes au service WINS
(
W indows Internet
fonctionnalités. Naming
Service) .
1). Protocole DHCP (Dynamic Host Configuration P
Fonctionnalités du serveur DNS Windows 2003/2008/2012
automatiquement les entrées du système DNS lorsque
attribuées de
• Pour installer Active Directory (AD), il est nécessaire auxdisposer
ordinateurs serveurDHCP. 2). Service W
d’un clients
DNS car ce dernier offre un espace de nom pour DNS les
en domaines
les transmettant
Windows à un serveur WINS et en les
2000/2003/2008/2012. de la base de données WINS. 3). Active Directory : F
maîtres,services
• Le service DNS permet aussi de localiser certains des misesparàlajour de zone sécurisées et une d
présence d’enregistrements de type (SRV) . - Réduction de la gestion du réseau. La gesti
système DNS utilise la duplication d'Active Directory p
• Prise en charge des mises à jour dynamiques sécurisées et non
données de zone DNS.
sécurisées.
- Maintenance sécurisée et automatique des bases de données de zone 21
DNS à l'aide du système DNS mis à jour de 2 façon dynamique. Vous pouvez
intégrer le système DNS à d'autres produitsDNSqui utilisent les normes IETF. Le
système DNS est compatible avec les serveurs DNS d'autres systèmes
d'exploitation du fait de sa conformité avec BIND
TP (Berkeley Internet Name Domain)
à réaliser.
version 8.2.2 (Unix).
Le prérequis pour l’installation du rôle DNS est que le serveur dispose d’une
adresse IP statique. En effet, si l’adresse IP du serveur DNS change, les clients
DNS ne peuvent le contacter.
Prérequis pour la machine hôte Windows serveur 2012 R2 : Configuration des paramètres IP de la
carte réseau, création d’un compte utilisateur, nommer votre ordinateur, modifier le nom du
groupe de travail.
==================================================================
1. Démarrer votre PC (SRV2012x). 2. Ouvrez une session, Nom : Administrateur, Mot de passe :
Pa$$w0rd. 3. Dans la zone de notification en bas à droite, bouton droit de la souris sur Connexion
réseau, puis Ouvrir le Centre Réseau et partage, cliquez sur Modifier les paramètres de la carte
réseau (à gauche), bouton droit sur la carte réseau Ethernet, puis propriétés, double-cliquez sur
TCP/IPv4, cochez Utiliser l’adresse IP suivante, puis mettre :
Adresse IP : 192.168.x.1 Masque : 255.255.255.0 DNS Primaire : 192.168.x.1 4. Puis Ok, et OK, fermer
la boite de Connexion réseau. 5. Bouton droit sur le bouton D
émarrer, Gestion de l’ordinateur,
Utilisateurs et groupes locaux, bouton droit sur Utilisateurs, Nouvel utilisateur :
Nom d’utilisateur : bob Mot de passe : Pa$$w0rd Confirmer le mot de passe : Pa$$w0rd Décocher
L’utilisateur doit changer le mot de passe à la prochaine ouverture de session Cocher L’utilisateur
ne peut pas changer de mot de passe Cocher Le mot de passe n’expire jamais, puis Créer, Fermer
6. Bouton droit sur le bouton Démarrer, Système, Paramètres système avancés, onglet Nom de
l’ordinateur, puis Modifier : 7
. Dans Nom de l’ordinateur mettre comme nom : SRV2012x (ici remplacer
le X par votre Numéro) 8. Dans Membre d’un, vérifier que Groupe de travail est bien coché, et que le
nom est GEFINET, faire OK, OK, r edémarrer votre ordinateur, puis ouvrez une session, Nom :
Administrateur, Mot de passe : Pa$$w0rd.
==================================================================
Prérequis pour la machine virtuelle (Virtual Box) Windows 2012Client : : Configuration des
paramètres IP de la carte réseau, nommer le nom de votre ordinateur, modifier le nom du groupe
de travail.
==================================================================
1. Double-cliquez sur l’icône sur le bureau 2012Client, pour lancer la machine virtuelle (CL2012x). 2.
CTRL (droite) + SUPPR pour ouvrir une session, Nom : Administrateur, Mot de passe : Pa$$w0rd. 3.
Bouton droit sur le bouton Démarrer, Gestion de l’ordinateur, Utilisateurs et groupes locaux, bouton
droit sur Utilisateurs, Nouvel utilisateur :
Nom d’utilisateur : bob Mot de passe : Pa$$w0rd Confirmer le mot de passe : Pa$$w0rd Décocher
L’utilisateur doit changer le mot de passe à la prochaine ouverture de session Cocher L’utilisateur
ne peut pas changer de mot de passe Cocher Le mot de passe n’expire jamais, puis Créer, Fermer
4. Touche WIN + E pour lancer l’Explorateur Windows 5. Dans la zone de notification en bas à droite,
bouton droit de la souris sur Connexion réseau, puis Ouvrir le Centre Réseau et partage, cliquez sur
Modifier les paramètres de la carte réseau (à gauche), bouton droit sur la carte réseau Ethernet, puis
Propriétés, double-cliquez sur TCP/IPv4, cochez Utiliser l’adresse IP suivante, puis mettre :
Adresse IP : 192.168.x.2 Masque : 255.255.255.0 DNS Primaire : 192.168.x.1 6. Puis Ok, et OK, fermer
la boite de Connexion réseau. 7. Dans l’Explorateur de Windows, bouton droit sur votre ordinateur :
Ce PC, puis Propriétés, puis Paramètres système avancés, onglet Nom de l’ordinateur, puis Modifier
: 8. Dans Nom de l’ordinateur mettre comme nom : CL2012x (ici remplacer le X par votre Numéro) 9.
Dans Membre d’un, vérifier que Groupe de travail e st bien coché, et que le nom est GEFINET, faire
OK, OK, redémarrer votre ordinateur virtuel (touche WIN + i, puis cliquez sur Marche/Arrêt, puis
Redémarrer.

LE SYSTEME DNS _______ _____________________________________________
Ouvrez l’éditeur de registre « regedit.exe » et développer la clé
HKLM\System\CurrentControlSet\Services\DNS et vérifier l’exi
==================================================================
sous clés :
____________________________________________________
TP à réaliser. _______
____________________________________________________
Installation du service Serveur DNS et vérification que_______
le service _____________________________________________
DNS est démarré
dossier
================================================================== :
% systemroot%\system32\dns , et vérifier l’existence de
fichiers texte, ouvrez-les.
1. Ouvrez une session en tant qu’Administrateur de votre poste hôte : SRV2012X, mot de passe :
Pa$$w0rd 2. Le Gestionnaire de Serveur est lancé automatiquement =========================================
à l’ouverture de session.. 3. En
haut de Gestionnaire de Serveur, sélectionner Gérer puis cliquer sur Ajouter des rôles et
fonctionnalités. 4. Sur la page Avant de commencer , cliquer sur
Lorsque Suivant.Serveur
le service 5. Sélectionner
DNS Iest nstallation
installé, vous pouvez
basée sur un rôle ou une fonctionnalité, puis cliquer sur S uivant. 6. Cliquer sur Sélectionner un
serveur du pool de serveurs, sélectionner le nom du serveur a). Toujours
sur lequel
sur sera
le poste
installé SRV2012X
hôtele: service DNS,Ouvrez le Gestionnair
puis cliquer sur Suivant. 7. Sélectionner Serveur DNS 8. bouton LorsqueGla boite de dialogue
estionnaire de ServeurAjouter les
au niveau de la barre des tâche
fonctionnalités requises pour Serveur DNS ?, apparaît,b). cliquer
Touche Aindows
surW jouter des fonctionnalités
du clavier, puis Outils, puis
d’Administration pu
cliquer sur Continuer, puis Suivant 9. Lorsque la page Sélectionner des fonctionnalités
a pparaît,
Constater dans la console DNS, qu’aucune zone DNS
cliquer sur Suivant. 10. Sur la page Serveur DNS, cliquer sur Suivant. 11. Sur la page Confirmer les
sélections d’installation, cliquer sur le bouton Installer. 12. Lorsque l’installation est terminée, cliquer
sur le bouton Fermer. 13. Ouvrer une invite de commandeL’installation(cmd.exe) puisdu service
saisir DNS ajoute
la commande : C:\> une clé de registre
HKLM\System\CurrentControlSet\Services\DNS
netstat –an | find /i ‘’53’’ | find /i ‘’tcp’’ afin de vérifier si le port TCP 53 est bien en écoute (Serveur et c
DNS) Expliquer la commande complète de l’étape 13 dans %systemroot%\system32 qui contient la base D
____________________________________________________________________________________
23
4
DNS
Qu'est-ce qu'une requête DNS ?

Une requête DNS est une demande de résolution de noms DNS en adresse IP,
envoyée par un client DNS à un serveur DNS. Un serveur DNS peut faire autorité ou
non pour l'espace de noms d'une requête. Un serveur DNS fait autorité s 'il héberge
une copie principale ou secondaire d'une zone DNS. Le serveur DNS réagit alors de
l'une des deux manières suivantes :
 Il consulte le cache DNS et la zone DNS, puis renvoie l'adresse demandée.  Il
renvoie une réponse négative qui fait autorité si l’information n’est pas trouvée. S'il
ne fait pas autorité pour l'espace de noms de la requête, le serveur DNS local réagit
de l'une des deux manières suivantes :
 Il transmet la requête qu'il ne sait pas résoudre à un serveur spécifique
appelé
redirecteur.  Il utilise les adresses connues de plusieurs serveurs racines
pour aller chercher une
réponse plus haute dans l'arborescence DNS. Ce processus est également
appelé indication de racine.  Il existe deux types de requêtes : requêtes
récursives et requêtes itératives.
Requêtes Itérative.
Requête envoyée par un client à un serveur DNS, dans laquelle le serveur renvoie la
meilleure réponse qu’il peut fournir, en fonction de ses données de cache ou de zone.
Si le serveur recevant la requête ne possède pas de réponse exacte à la requête, il
renvoie un pointeur vers un serveur de référence dans un niveau inférieur de l’espace
de noms du domaine.
Le client interroge alors le serveur de référence, auquel il a été
renvoyé. Le client poursuit ce processus jusqu’à ce qu’il localise un
serveur de référence pour le nom requis, ou jusqu’à ce qu’une
erreur se produise ou que le délai soit dépassé. La réponse à une
requête itérative peut être :
 Une réponse positive ;  Une
réponse négative ;  Une
référence à un autre serveur
DNS de niveau inférieur.
Requêtes Récursive.
Une requête récursive est une requête

envoyée à un serveur DNS dans
laquelle le client DNS demande au
serveur de fournir une réponse
complète. En retour, le serveur peut
uniquement renvoyer une réponse
complète ou indiquer qu'il ne sait pas
résoudre le nom. Une requête récursive
ne peut pas être redirigée vers un autre
serveur DNS.

Les requêtes récursives sont lancées par un client DNS ou par un serveur DNS
configuré pour utiliser des redirecteurs. Une requête récursive place toute la
responsabilité de la réponse finale sur le serveur interrogé. Le fonctionnement
d'une requête récursive envoyée par un client à son serveur DNS configuré
comprend les étapes suivantes :
TP à réaliser.
Désactiver IPv6 sur SRV2012x et CL2012xavec PowerShell pour ne pas gêner la suite du TP
==================================================================
1. Ouvrez une session en tant qu’Administrateur de votre poste hôte : SRV2012X, mot de passe :
Pa$$w0rd 2. Bouton droit sur le menu Démarrer, puis Exécuter, puis saisir : PowerShell 3. Dans l’invite
de commande PowerShell, saisir : Get-NetAdapterBinding pour connaître tous les adaptateurs réseau
déclarés dans votre PC. 4. Repérer la ligne ms_tcpip6 qui est sur Enable = True sur cmdlet. 5. Saisir la
commande suivante : Set-NetAdapterBinding -Name Ethernet -ComponentID ms_tcpip6 - Enabled
$False 6. Dans l’invite de commande PowerShell, saisir de nouveau : Get-NetAdapterBinding pour
connaître l’état de l’adaptateur réseau ms_tcpip6, vérifier qu’il est bien sur False.
==================================================================
1. Ouvrez une session en tant qu’Administrateur de votre poste hôte : CL2012x, mot de passe :
Pa$$w0rd 2. Bouton droit sur le menu Démarrer, puis Exécuter, puis saisir : PowerShell 3. Dans l’invite
de commande PowerShell, saisir : Get-NetAdapterBinding pour connaître tous les adaptateurs réseau
déclarés dans votre PC. 4. Repérer la ligne ms_tcpip6 qui est sur Enable = True sur cmdlet. 5. Saisir la
commande suivante : Set-NetAdapterBinding -Name Ethernet -ComponentID ms_tcpip6 - Enabled
$False 6. Dans l’invite de commande PowerShell, saisir de nouveau : Get-NetAdapterBinding pour
connaître l’état de l’adaptateur réseau ms_tcpip6, vérifier qu’il est bien sur False.
==================================================================
LE SYSTEME DNS
25
6
DNS
Processus de résolution de noms d'hôte
La procédure de résolution de noms par défaut est décrite ci-dessous (Windows

XP/2000/2003/2008/2012). La résolution de noms d'hôtes e st le processus qui
consiste à résoudre un nom d'hôte en adresse IP. Le processus de résolution de noms
d'hôtes fonctionne de la façon suivante : 1. Le processus commence lorsqu'une
application ou un service en cours d'utilisation passe le nom d'hôte au service client
DNS. 2. Le service client DNS recherche dans le cache de résolution client DNS le
mappage du nom d'hôte à une adresse IP. Toutes les entrées du fichier Hosts sont
pré chargé dans le cache de résolution client. 3. Si le service client DNS ne repère
pas de correspondance dans le cache de résolution client DNS, il transmet une
demande de nom d'hôte à un serveur DNS local. 4. Si les méthodes de résolution de
noms d'hôtes configurées échouent, les méthodes de résolution de noms NetBIOS
configurées sont utilisées pour tenter de résoudre le nom. Cela ne se produit que si le
nom d'hôte comporte au maximum 15 caractères.
a) Cache NetBIOS, b) Serveur WINS, c) Diffusion, d) Fichier Lmhosts 5. Lorsque le
nom d'hôte est trouvé, l'adresse IP correspondante est renvoyée à l'application.
Les noms d'hôte peuvent être résolus directement par le fichier Hosts ou par un
serveur DNS.
Ces méthodes de résolutions des noms d'hôtes, peuvent également fonctionner pour
résoudre des noms NetBIOS. Le type de nœud spécifie les méthodes de
résolution, ainsi que l'ordre dans lequel une machine les mettra en œuvre.
Cache de résolution client
Le cache de résolution client est un emplacement mémoire (RAM) qui stocke les
noms d'hôtes qui ont récemment été résolus en adresses IP. Il s'agit également d'un
emplacement de stockage pour les mappages de nom d'hôte à adresse IP qui sont
chargés à partir du fichier Hosts.

Les entrées de cache négatives s ont des noms d'hôtes entrés dans le cache
mais dont la résolution a échoué.
Avant que DNS ne devienne la norme Internet en mat

Pour afficher un cache de résolution client au moyen
noms,deleslanoms
commande
d’ordinateur étaient mappés sur des a
ipconfig. Hosts.
- À l'invite de commandes, tapez ipconfig /displaydns (vérifie aussi le
contenu du fichier hosts) . Pour vider un cache de résolution
Windows client
Server à l'aide de la peut utiliser un fichie
2003/2008/2012
commande ipconfig. de noms, ce qui permet d’obtenir une réponse plus rap
- À l'invite de commandes, tapez ipconfigfichier HostsPest
/flushdns ourinterrogé
forcer votre
avant n’importe quel serveu
client DNS à s’inscrire auprès du serveur DNS local, à l'aide
le cache DNSdeclient
la commande
(RAM). Voir service Client DNS. D
ipconfig. vous pouvez utiliser un éditeur de texte pour éditer le f
- À l'invite de commandes, tapez ipconfigle dossier %SystemRoot%\System32\Drivers\Etc.
/registerdns LE SYSTEME DNS
Configuration du fichier Hosts
Un fichier Hosts est un fichier texte qui contient les correspondances statiques
(saisie manuellement) entre les noms d’hôte et les adresses IP.
27
8
DNS
======================================================================================
Utilisation du fichier Hosts sur SRV2012X pour la résolution de noms d’hôtes et vérification par la
commande IPCONFIG 1. Ouvrez le fichier Host avec le Bloc-notes (Windows\system32\drivers\etc),
ajouter la ligne : 127.0.0.1 www.laposte.com. Enregistrer et fermer le Bloc-notes. Dans la zone de
notification, bouton droit sur Carte réseau, puis Centre Réseau et Partage, puis Modifier les
paramètres de la carte, bouton sur la carte réseau, puis Propriétés, décocher Protocole Internet
version 6 (TCP/IPv6), puis OK, fermer les autre boites de dialogues 2. Faire C:\> hostname (affiche le
nom d’hôte de votre PC) 3. Faire C:\> Ipconfig /all (affiche le nom d’hôte et le suffixe DNS de votre PC) 4.
Afin de visualiser le contenu de votre cache DNS client, ouvrez une invite de commande, C:\>Ipconfig
/displaydns, vous devez observer 127.0.0.1 = www.laposte.com dans le cache Client DNS 5. Afin de
vider le contenu de votre cache DNS client et charge le contenu du fichier Hosts, utilisez en invite de
commande la commande : C:\>Ipconfig /flushdns 6 . Ajouter dans le fichier Host : 192.168.x.2 CL2012x
(@IP du PC Virtuel 2012x et le nom d’hôte du PC : CL2012x) 7. Afficher le contenu de votre cache Client
DNS : C:\>Ipconfig /displaydns 8. Faire C:\> Ping 192.168.x.2 (test les couches 1, 2 et 3 de OSI),
pensez à désactiver les pare feux si actif des 2 côtés. Ici que se passe-t-il ? : _________________ 9.
Faire C:\> Ping CL2012x Ici qui à résolue le nom ? : _________________ 10. Enlever du le fichier Host :
192.168.x.2 CL2012x, enregistrer et fermer le fichier 11. Faire C:\> ipconfig /flushdns afin de vider le
cache Client DNS 12. Faire C:\> Ping CL2012x Ici qui à résolue ? : _________________ 13. Bouton droit
sur le menu Démarré, puis Exécuter, saisir : services.msc, double-clic sur Client DNS, puis click sur
Arrêter. 14. Faire C:\>Ipconfig /displaydns Que constatez-vous ? : ______________ 15. Bouton droit
sur le menu Démarré, puis Exécuter, saisir : services.msc, double-clic sur Client DNS, puis click sur
Démarrer, puis fermer toute les boites.
======================================================================================
Vous pouvez aussi utiliser la commande n et stop dnscache p uis net start dnscache
lient Dns) afin d’arrêter et de redémarrer le client DNS, ce qui a pour
(voir service C
conséquence de vider le cache DNS.Si après avoir vidé le cache DNS vous visualisez
toujours des enregistrements dans ce même cache, c’est que vous devez avoir des
mappages noms d’hôtes/adresses IP dans le fichier Hosts.
Recherche du réseau LLMNR (LinkLocal Multicast Name Resolution)
LLMNR défini par la RFC 4795 permet la résolution de noms dans des
environnements locaux où il n’existe pas de serveurs DNS, son principe est
semblable à la diffusion mais les messages utilisés sont des messages de
multidiffusion. Pour en bénéficier, il faut utiliser un ordinateur exécutant au moins
Windows Vista, 7, Server 2008/2012. Le principal avantage de LLMNR réside dans le
fait qu’il supporte les protocoles IPv4 et IPv6 alors que le résolveur NetBT (NetBIOS)
qui passe par la diffusion n’est pas supporté par le protocole IPv6. Il faut également
noter qu’il est possible d’activer ou de désactiver LLMNR via la stratégie de groupe
suivante Turn off Multicast Name Resolution (Configuration Ordinateur\Modèles
d’administration\Réseau\Client DNS). LLMNR utilise le port 5355/UDP et l’adresse de
multicast IPv4 224.0.0.252 et comme adresse de destination multicast 333300010003 et
en IPv6 FF02::1:3 avec comme adresse de destination multicast 01005E0000FC. La
résolution TCP/IP utilise depuis Windows Vista, 7, Server 2008/12 les cinq éléments
dans l’ordre suivant, à savoir :
Ensuite, si la résolution de noms NetBIOS est activée et que le nom n’a pas été
résolu, le résolveur TCP/IP passe la main au résolveur NetBIOS.
======================================================================================
Vérifier le N°de Port utilisé par LLMNR, puis le désactiver sur SRV2012x 1. Ouvrez une session en
tant qu’Administrateur de votre poste hôte : SRV2012X, mot de passe : Pa$$w0rd 2. Bouton droit sur le
menu Démarrer, puis Exécuter, puis saisir : Cmd C:\>netstat –an | find /i “5355” | find /i “UDP” 3.
Bouton droit sur Démarrer, puis Exécuter, saisir regedit. Au sein de la clé
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient, créez la clé
DNSClient si elle n’existe pas, puis créez la valeur DWORD 32 bits EnableMulticast et affectez-lui la
valeur 0.
PS : voilà une autre manière de le faire , C:\> REG add " HKEY_LOCAL_MACHINE
\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" /v EnableMulticast /t REG_DWORD /d 0
=====================================================================================
Résolution NetBIOS et type de nœud
Normalement, le cache local est toujours utilisé ainsi que le fichier LMHOSTS. Par
contre, la diffusion et le serveur WINS peuvent être désactivés par la valeur Type de
nœud. Le type de nœud indique comment ces éléments sont utilisés. On les gère grâce
à une stratégie de groupe ou via le serveur DHCP. Les valeurs admissibles sont :
LE SYSTEME DNS
29
0
Les zones DNS

DNS
Avant d'ajouter des enregistrements de ressources, vous devez créer dans le système
DNS la structure logique qui va les accueillir, notion de zones.
Après avoir installé le service Serveur DNS et configuré les propriétés du service
DNS, il ne vous reste plus qu'à achever le service en ajoutant des mappages de nom
d'hôte à adresse IP. Ces mappages sont appelés enregistrements de ressources
dans le système DNS.
Lorsque vous créez une zone, vous

créez un fichier de zone pour
stocker les propriétés et les
enregistrements de ressources de
la zone. Il existe plusieurs
configurations de zone possibles
dans DNS. Les zones que vous allez
créer seront déterminées par les
besoins en matière de résolution de
noms dans votre environnement.
Un enregistrement de ressource e st une structure de base de données DNS

standard qui contient des informations utilisées (mappage : nom d’hôte=@IP) pour
traiter les requêtes DNS.
Une z one est une portion de la base de données DNS (suffixe DNS) qui contient les
enregistrements de ressources dans lesquels le nom du propriétaire appartient à la
portion contiguë de l'espace de noms DNS. Vous pouvez diviser l’espace de noms
DNS en zones, ce qui permet de stocker les informations de nom concernant un ou
plusieurs domaines DNS ou des portions d’un domaine DNS. Pour chaque nom de
domaine DNS inclus dans une zone, la zone devient la source de référence pour les
informations concernant ce domaine.
Une zone DNS est :

 soit une zone principale (lecture/écriture), secondaire (lecture seule) o u de
stub, 
soit une zone de recherche directe o
u i nversée ( uniquement pour les
zones Principales
ou inversées).
Les serveurs DNS peuvent héberger différents types de zones. Afin de limiter le
nombre de serveurs DNS sur votre réseau, vous pouvez configurer un serveur DNS
pour prendre en charge, ou héberger, plusieurs zones à lui seul.
Un fichier de zone e st le fichier, stocké sur le disque dur local du serveur DNS, qui
contient toutes les informations de configuration d'une zone et des enregistrements de
ressources contenus dans celle-ci. Le fichier de zone stocke des informations utilisées
pour résoudre des noms d’hôte en adresses IP, et inversement.

LE SYSTEME DNS
Enregistrements de ressources, comme par

exemple Start of Authority (SOA) et Name
Server (NS), composent les données qui
permettent aux serveurs DNS de résoudre
des noms et services en une partie Un enr
hiérarchique spécifique de l’espace du nom comme
DNS. Il est important que vous ne confondiez délégati
pas une zone DNS avec un domaine DNS. est util
clientes
ns1.us.e
L’enregistrement de ressource SOA (Start of Authority) est toujours le premier serveur
enregistrement déclaré dans une zone standard. Il permet de spécifier le serveur délégué
DNS original ou qui joue actuellement le rôle de serveur principal pour la zone Cet
enregistrement de ressource est également utilisé pour stocker des propriétés très
importantes telles que les informations de version (en anglais, le S erial Number) et
Les différents types d'enregistrements
les délais qui affectent le renouvellement ou l’expiration des enregistrements de la représentent dif
zone et aussi de la zone elle-même. Ces propriétésdansaffecteront
la base deladonnées DNS.
périodicité desLes tableaux suivants
transferts entre les serveurs agissant en tant qued'enregistrements
serveurs de noms etde
fournissent
la zone. pour chacun d'eux un
Zones primaires
31
Une zone primaire (on dit aussi parfois principal
2 ) pour une zone donnée est le seul
serveur disposant d’une copie de la zone disponible
DNS en écriture. Ce point signifie que
toute modification de la zone nécessitera un accès au seul et unique serveur primaire
pour ladite zone. Ce fichier est stocké sur le disque, dans le répertoire
Zones secondaires
%systemroot%\system32\dns.
Une fois les opérations de modification apportées, les données seront automatiquement
répliquées vers le ou les autres serveurs DNS agissant en tant que serveurs de noms
DNS secondaires en lecture seule pour la zone. Ces opérations de réplication de
zones sont bien sûr fondamentales pour assurer la disponibilité d’une zone sur de
multiples serveurs DNS locaux et aussi distants. Ce fichier est stocké sur le disque,
dans le répertoire %systemroot%\system32\dns.
Les zones principales peuvent être de deux

types :
-Zones principales standard -Zones
principales intégrées dans Active Directory
Les serveurs secondaires vous permettront de répartir le trafic de requêtes DNS dans
certaines parties du réseau où une zone serait particulièrement utilisée. Les serveurs
secondaires assureront une disponibilité totale de la zone, en dehors de la possibilité
d’en modifier le contenu. Dans le cas où le serveur primaire pour la zone serait
indisponible de manière prolongée, vous aurez malgré tout la possibilité de
"promouvoir la zone" d’un serveur secondaire défaillant en primaire dans l’attente que
le serveur principal original soit à nouveau disponible. L’intérêt de configurer un serveur
DNS disposant d’un fichier de zone secondaire standard est d’offrir au service de
résolution de noms une tolérance de panne ainsi qu’une répartition de charge. Une
zone dont l’état est « A expiré » devient non répondante. Le changement du type de la
zone de secondaire en principale permet de rendre la zone autonome. De fait, la zone
passera à l’état « En cours » d’exécution et sera à nouveau opérationnelle.
Toutes les opérations de création, suppression, modification et réplication des zones

sont réalisables via la commande dnscmd.exe ou via la console MMC du DNS.
Zones principales standard
Lorsqu’il s’agit d’une zone principale standard, un seul serveur DNS pourra héberger
et charger la copie principale de la zone. Aucun autre serveur principal supplémentaire
ne sera autorisé pour cette zone. De plus, seul le serveur DNS principal pour la zone
sera autorisé à accepter des mises à jour dynamiques et à traiter des modifications qui
concernent la zone. Ce modèle fait apparaître un point de défaillance puisque
l’indisponibilité du serveur assurant la gestion de la zone principale aura pour effet de ne
plus permettre de mises à jour de la zone, tant via les fonctions d’administration que via
le protocole de mise à jour dynamique des enregistrements DNS (DDNS, Dynamic
DNS) . Toutefois, les autres serveurs DNS jouant le rôle de secondaires pour la zone,
pourront continuer de répondre aux requêtes des clients, jusqu’à expiration de celle-ci.
Contient donc une version en lecture/écriture du fichier de zone dans un fichier texte
standard possédant l’extension .dns.

Toute modification apportée à la zone est consignée
pour l'ordinateur,
dans ce fichier.
le groupe
Vous devez
ou l'utilisateur
créer en mesure d
une zone principale standard à chaque fois que sur
vouslescréez
zonesune
DNS.
nouvelle
Elles zone.
sont dupliquées uniquement
Directory.
Ce fichier de zone est stocké sur le disque, dans le répertoire
%systemroot%\system32\dns.
Zones principales intégrées dans Active Directory
Stocke les informations concernant la

zone dans Active Directory, et non
dans un fichier texte. Les mises à
jour de la zone ont lieu
automatiquement au cours de la
duplication Active Directory entre Le seul moyen qui permette de mettre à jour les donné
contrôleurs de domaine via le consiste à réaliser un transfert de zone à partir de l’un
protocole kerberos (chiffrement). que source pour la zone.
LE SYSTEME DNS
Les zones DNS standard ne sont pas multi maitres. Comme les zones intégrées Active
Directory stockent les informations sur les zones, vous pouvez établir des autorisations
33
34
LE SYSTEME DNS
Zone de stub
Les zones de stub sont des copies d'une zone qui contiennent uniquement les
enregistrements de ressources nécessaires à l'identification du serveur DNS faisant
autorité pour la zone en question. Une zone de stub contient un sous-ensemble des
données de la zone qui se compose d'un enregistrement SOA, NS et A, ces derniers
enregistrements, appelés Glue records (ou enregistrement de résolution par requêtes
successives), permettent de déterminer directement au sein de la zone les adresses IP
des serveurs de noms (NS). C’est en quelque sorte un signet qui pointe simplement
vers le serveur DNS qui fait autorité pour la zone DNS concernée. C’est aussi un
moyen de connaître de manière automatique pour une zone DNS parent les
différents DNS ajoutés sur une zone DNS enfant sans avoir à les communiquer de
manière manuelle à la zone DNS parent.
Avec une zone stub, vous vous affranchissez de ces modifications. En effet une zone
de stub apprend dynamiquement à partir d’un maître les nouveaux
enregistrements de type serveur de nom et leur nom d’hôte associé, mais ne
duplique pas les autres enregistrements présents dans la zone parent. Les
résolutions de noms sont nettement améliorées. L’administration des zones DNS
est simplifiée.
Par définition, une zone secondaire ne peut être stockée au sein de l’annuaire Active
Directory tandis qu’une zone de stub le peut.
Serveur DNS
Serveur DNS Mexico.monentreprise.fr
Merida.consulting.monentreprise.fr 10.0.0.1
10.0.0.2
Zone principale : monentreprise.fr
Zone principale : consulting.monentreprise.fr SOA : mexico .monentreprise.fr
SOA : merida.consulting.monentreprise.fr NS : mexico.monentreprise.fr
NS : merida.consulting.monentreprise.fr A : 10.0.0.1
NS : cancun.consulting.monentreprise.fr Enregistrement A, MX, SRV etc...des
A : 10.0.0.2 hôtes IP présent dans cette zone
A : 10.0.0.3
Enregistrement A, MX, SRV etc...des Zone stub : consulting.monentreprise.fr
hôtes IP présent dans cette zone SOA : merida.consulting.monentreprise.fr NS : merida.consulting.monentreprise.fr NS :
cancun.consulting.monentreprise.fr A : 10.0.0.2 A : 10.0.0.3
Serveur DNS Cancun.consulting.monentreprise.fr Lecture/Ecriture Lecture/Ecriture 10.0.0.3
Lecture Zone secondaire : consulting.monentreprise.fr
SOA : merida.consulting.monentreprise.fr NS : merida.consulting.monentreprise.fr NS :
cancun.consulting.monentreprise.fr A : 10.0.0.2
A : 10.0.0.3 Enregistrement A, MX, SRV etc...des hôtes IP présent dans cette zone
Remarque : Si les adresses IP des serveurs DNS Merida.consulting.monentreprise.fr et
Cancun.consulting.monentreprise.fr c hange, cela changera automatiquement aussi dans la zone Stub de
Mexico.monentreprise.fr = > gestion simplifiée, ce qui ne sera pas le cas si vous utilisez à la place des redirecteurs
Création de zones de recherche

Après avoir décidé si une zone est une zone principale, une zone secondaire ou une zone de stub, v
quel type de zone de recherche les enregistrements de ressources seront stockés, à savoir :
Une zone de recherche directe Une zone de recherche inversée.
Création d’une zone de recherche directe
Requête pour mapper un nom sur une adresse IP. Il s’agit du type de recherche le plus courant. Il est
d’un serveur de manière à pouvoir établir une connexion avec lui. Ce type de requête nécessite une ré
le Gestionnaire DNS, les zones de recherche directe s'appuient sur des noms de domaines DNS et c
enregistrements de ressources de type A (hôte) pour IPv4 et de type AAAA (hôte) pour IPv6.
====================================================================================== Création d’une zon
Directes) sur SRV2012x 1. Sur SRV2012x, o uvrez le Gestionnaire de serveur. 2. c liquez sur Outils > DNS afin d’ouvrir l
développer la console DNS afin d’avoir une vue complète. 4. Développez votre serveur afin de voir Zone de recherche dire
5. Bouton droit sur Zones de recherché directes, puis Nouvelle zone... 6. Dans l’assistant de Nouvelle zone, dans la pag
Dans Type de zone, sélectionnez Zone principale, puis Suivant. 8. Dans Nom de zone dans Nom de la zone, entrez le no
(attention ici, il faut remplacer X p
ar le numéro qui est affecté), puis Suivant.
LE SYSTEME DNS
35
36
E SYSTEME DNS
9. Dans Fichier zone, sélectionnez Créer un nouveau fichier nommé : (le nom créé est de type GefiX.local.dns), puis Suiv
dynamique, sélectionnez Autoriser à la fois les mises à jours dynamiques sécurisées et non sécurisées..., puis Suiva
zone, cliquez sur Terminer. 12 Au niveau de votre serveur DNS, sélectionner dans la zone de Recherche Directes : Gefix
onglet Transfert de zone, cochez Autoriser les transfert de zone et aussi Vers n’importe quel serveur, puis OK.
======================================================================================
Création d’un enregistrement de type A dans la zone de recherches directes sur SRV2012x 1. Sur
SRV2012X, démarrez le Gestionnaire de serveur. 2. Au niveau du Gestionnaire de serveur, cliquez sur
Serveur local (à gauche), double-cliquez sur votre nom d’ordinateur : SRV2012X, onglet nom
d’ordinateur, puis Modifier, puis Autres.., mettre comme Suffixe DNS principal de cet ordinateur :
GefiX.local, puis Ok, validez toutes les fenêtres, puis redémarrer l’ordinateur. 3. Ouvrez une session en
tant qu’Administrateur de votre PC SRV2012x, mot de passe : Pa$$w0rd 4. Ouvrez la console D NS, et
vérifiez que dans la zone de recherche directes de Gefix.local, que votre serveur SRV2012x y est bien
déclaré avec un enregistrement de type A (SRV2012X = 192.168.x.1) , sinon ouvrez une invite de
commande sur votre machine virtuelle SRV2012x, puis saisir la commande C:\> Ipconfig /registerdns,
puis revérifier.
====================================================================================== 5.
Basculer sur la machine virtuelle CL2012x, démarrez le Gestionnaire de serveur, au niveau du
Gestionnaire de serveur, cliquez sur Serveur local (à gauche), double-cliquez sur votre nom
d’ordinateur : CL2012x, onglet nom d’ordinateur, puis Modifier, puis Autres.., m
ettre comme Suffixe
DNS principal de cet ordinateur : GefiX.local, puis Ok, validez toutes les fenêtres, puis redémarrer
l’ordinateur. Et ouvrez une session en tant qu’Administrateur de votre PC, mot de passe : Pa$$w0rd 6.
Ouvrez une invite de commande sur votre machine virtuelle CL2012x, puis saisir la commande :
C:\> Ipconfig /registerdns vérifiez que votre nom est bien déclaré dans votre Serveur DNS
dans la zone de recherche directes de Gefix.local (de type A) de SRV2012x.
====================================================================================== 7.
Ouvrez une invite de commande sur votre serveur SRV2012x, puis saisir la commande :
C:\> ping CL2012x qui résout ici ? : ______________ C:\> ping CL2012x.Gefix.local qui résout ici ? :
______________ C:\> ipconfig /displaydns voir l’enregistrement de votre PC dans le cache client DNS
local
=======================================================================================
Création d’une zone de recherche inversée
Permet de retrouver un nom d'hôte à partir de son adresse IP. Si des applications
ou la sécurité du réseau nécessitent de pouvoir convertir des adresses IP en noms de
domaine, vous pouvez inclure des zones de recherche inversée dans votre solution.
Dans le Gestionnaire DNS, les zones de recherche inversée s'appuient sur le nom de
domaine in-addr.arpa complété par l’adresse du réseau, mais à l’envers. Ainsi, pour les
adresses IP qui concerneraient le réseau 192.168.1.0, il sera nécessaire de déclarer
une zone de recherches inversées dont le nom devra être 1.168.192.inaddr.arpa.pour
IPv4, ip6.arpa. pour IPv6 et contiennent généralement des enregistrements de
ressources de type PTR (pointeur) .
Par exemple, si vous surveillez des connexions IP qui sont faites à un serveur, vous
pouvez utiliser une recherche inversée pour localiser le nom de domaine associé à
l’adresse IP de l’ordinateur qui se connecte. Ce type de requête nécessite une
résolution adresse/nom.

LE SYSTEME DNS votre zone de recherche directes de votre DNS C:\> ping
de votre DNS C:\> ipconfig /displaydns voir l’enregistrem
TP à réaliser. ===============================================

=
=========================================================================
Création d’un enregistrement de type PTR et d’une zone de recherche inversées sur SRV2012x 1.
Création d’un sous domaine
Sur SRV2012x, ouvrez le Gestionnaire de serveur. 2. cliquez sur Outils > DNS afin d’ouvrir la console
DNS. 3. Si nécessaire développer la console DNS afin d’avoir une vue complète. 4. Développez votre
Un sous domaine, également
serveur afin de voir Zone de recherche directes et Zones de recherches inversées. 5. B outon droit sur
appelé domaine enfant, est un
Zones de recherche inversée puis sur Nouvelle zone... 6. Sur la page Assistant Nouvelle zone,
domaine
cliquez sur Suivant. 7. Sur la page Type de zone, sélectionnez ZoneDNS situéedirectement
principale t cliquez sur Suivant.
sous un autre
8. Sur la page Nom de la zone de recherche inversée, sélectionnez Zone de domaine
recherche dans la IPv4
inversée
et cliquez sur Suivant. 9. Sélectionnez ID réseau: mettre structure
: 192.168.Xhiérarchique
et cliquez sur Sdu uivant.
DNS. 10.Par
Dans la
page Fichier zone, laissez coché par défaut : Créer un nouveau fichier nommé : X.169.192.in-
exemple, training.microsoft.com
addr.arpa.dns, et cliquez sur Suivant. 1 1. Dans la page Mise à niveau dynamique, cochez Autoriser à
la fois les mises à jours dynamiques sécurisées et non est un sous domaine
sécurisées... , et cliquezdusurdomaine
uivant. 12. Sur
S
la page Fin de l’Assistant Nouvelle zone, cliquer sur T microsoft.com .
erminer. 13 Au niveau de votre serveur DNS,
sélectionner dans la zone de Recherche Inversée que vous venez de céer, puis Propriétés de cette
zone, onglet Transfert de zone, cochez Autoriser les transfert de zone et aussi Vers n’importe quel
serveur, puis OK. 14. Ouvrez une invite de commande sur votre serveur SRV2012x, puis saisir la
commande :
dans la zone inversée (de type PTR) de SRV2012x
========================================================================
= 14. Ouvrez une invite de commande sur votre serveur CL2012x, puis saisir la commande :
dans la zone inversée (de type PTR) de SRV2012x C:\> ping SRV2012x.Gefix.local test
37
8
DNS
Création d’un sous domaine dans une zone existante
Vous pouvez créer des sous domaines pour améliorer l’organisation d’une zone et
fournir une certaine structure à votre espace de noms. La division de ce dernier, pour y
inclure des sous domaines, peut être comparée à la création de dossiers et de
sous-dossiers sur un disque dur. Les sous domaines sont généralement créés par
service ou zone géographique dans une entreprise.
Création d’un sous domaine dans une nouvelle zone
Vous pouvez déléguer une autorité sur un sous domaine à un serveur DNS que vous
voulez charger de la gestion de cette portion de votre espace de noms DNS. La
délégation d’une autorité vous permet d’effectuer les tâches suivantes:
• Déléguer la gestion d’un domaine DNS à un grand nombre de services
u sein d’une entreprise;
(sous domaines) a
• Déléguer les tâches administratives pour tenir à jour une vaste base de
données DNS. Vous pouvez attribuer à des administrateurs différents la
gestion des serveurs DNS dans le sous domaine.
Délégation de zones
Ce mécanisme puissant permet la mise en place d’espaces de domaines quasiment
infinis. Le plus bel exemple à citer qui utilise la délégation est le réseau Internet.
Chaque domaine acheté est bien entendu une zone dont la gestion est déléguée à un
tiers responsable.
LE SYSTEME DNS
Ainsi, la délégation des zones DNS implique nécessairement une division de

l’espace de noms en une ou plusieurs parties, lesquelles peuvent ensuite être
stockées, distribuées et répliquées vers d’autres serveurs DNS.
Pour rappel, nous avons vu précédemment que l’utilisation de zones

supplémentaires permettait de répondre aux besoins suivants :
• Déporter la gestion d’une partie de votre espace de noms à un autre
emplacement géographique ou à une autre autorité d’administration.
• Diviser une zone particulièrement volumineuse en plusieurs zones plus petites
pour répartir les trafics entre différentes régions géographiques du réseau.
• Diviser un espace composé de n domaines DNS en plusieurs zones pour
implémenter une meilleure tolérance de panne en cas de défaillance de la zone. Ces
enregistrements joueront le rôle de "pointeurs" vers les serveurs DNS faisant autorité
pour résoudre les noms appartenant aux sous domaines délégués.
Au départ, l’entreprise met en œuvre un domaine nommé corporate.net. Ensuite, il

convient de disposer des enregistrements qui permettront de localiser le sous domaine
en question. Dans notre exemple, il faut qu’il soit possible d’en référer aux serveurs
faisant autorité pour le domaine DNS corpnet.corporate.net. Les déclarations
présentes dans le fichier montrent que le sous domaine corpnet.corporate.net e st géré
par quatre serveurs DNS, lesquels sont situés sur quatre sous réseaux différents. De
cette manière, il est possible de résoudre le contenu du sous domaine
corpnet.corporate.net s ur les quatre points géographiques. Finalement, il ne reste plus
qu’à s’assurer qu’il est possible de résoudre ces noms de serveurs DNS.
39
0
DNS
TP à réaliser
=========================================================================
Créer un sous domaine (domaine DNS Enfant : Ventes.Gefix.local) 1. Ouvrez le Gestionnaire de
serveur (SRV2012X). 2. cliquez sur Outils > DNS afin d’ouvrir la console DNS. 3. Si nécessaire
développer la console DNS afin d’avoir une vue complète. 4. Développez votre serveur afin de voir Zone
de recherche directes e t Zones de recherches inversées. 5. Développez Zones de recherche directes
puis bouton droit sur Zones de recherche directes, puis sélectionnez Nouvelle zone... 6. Dans
l’assistant de Nouvelle zone, dans la page Bienvenue !, cliquez sur Suivant. 7. Dans Type de zone,
sélectionnez Zone principale, puis Suivant. 8. Dans Nom de zone dans Nom de la zone, entrez le nom
du domaine à créer Ventes.GefiX.local (attention ici, il faut remplacer X par le numéro qui est affecté) ,
puis Suivant. 9. Dans Fichier zone, sélectionnez Créer un nouveau fichier nommé : (le nom créé est de
type Ventes.GefiX.local.dns), puis Suivant. 10. Dans Mise à niveau dynamique, sélectionnez Autoriser à
la fois les mises à jours dynamiques sécurisées et non sécurisées..., puis Suivant. 11. Dans Fin de
l’assistant Nouvelle zone, cliquez sur Terminer. 12 Au niveau de votre serveur DNS, sélectionner dans la
zone de Recherche Directes : Ventes.Gefix.local, puis Propriétés de cette zone, onglet Transfert de
zone, cochez Autoriser les transfert de zone et aussi Vers n’importe quel serveur, puis OK.
Si le sous domaine est place sur un autre serveur, vous pourrez distribuer le trafic DNS sur de
multiples serveurs, permettant une meilleure performance.
=========================================================================
Délégation d’un sous domaine DNS (domaine DNS Enfant : Ventes) 1. Toujours sur la console
DNS (SRV2012X). 2. Développez votre serveur afin de voir Zone de recherche directes et Zones de
recherches inversées. 3. Bouton droit sur GefiX.local puis sur Nouvelle délégation... 4. Sur la page
Assistant Nouvelle délégation, cliquez sur Suivant. 5. Sur la page Nom de domaine délégué, dans
Domaine délégué mettre : Ventes et cliquez sur S uivant. 6. Sur la page Serveurs de noms, dans Nom de
domaine complet (FQDN) du serveur : mettre : SRV2012X.GefiX.local, puis Résoudre, puis OK, cliquez
sur Suivant. 7. Dans Fin de l’assistant Nouvelle zone, cliquez sur Terminer.
=========================================================================
Intégrer CL2012x dans la zone DNS : Ventes.GefiX.local 1. Sur CL2012x, démarrez le
Gestionnaire de serveur, au niveau du Gestionnaire de serveur, cliquez sur Serveur local (à gauche),
double-cliquez sur votre nom d’ordinateur : CL2012x, onglet nom d’ordinateur, puis Modifier, puis
Autres.., mettre comme Suffixe DNS principal de cet ordinateur : Ventes.GefiX.local, puis Ok, validez
toutes les fenêtres, puis redémarrer l’ordinateur. Et ouvrez une session en tant qu’Administrateur de
votre PC, mot de passe : Pa$$w0rd 2. Ouvrez une invite de commande sur votre serveur CL2012x, puis
saisir la commande : C:\> Ipconfig /registerdns vérifiez que votre nom est bien déclaré dans votre
Serveur DNS SRV2012x, dans la zone Ventes.GefiX.local, dans la zone de recherche directes (de type
A).
========================================================================
= 3. Basculer de nouveau sur la machine SRV2012x 4. Ouvrez une invite de commande, puis saisir
les commandes :
C:\> ping CL2012x qui résout ici ? : ____________________________ C:\> ping
CL2012x.Gefix.local pourquoi ça ne fonctionne pas ? : ______________ C:\> ping
CL2012x.Ventes.Gefix.local qui résout ici ? : ____________________________ C:\>
ipconfig /displaydns voir l’enregistrement de votre PC
========================================================================
= 5. Basculer de nouveau sur la machine CL2012x

LE SYSTEME DNS
6. Sur CL2012x, démarrez le Gestionnaire de serveur, au niveau du Gestionnaire de serveur, cliquez

sur Serveur local (à gauche), double-cliquez sur votre nom d’ordinateur : CL2012x, onglet nom
d’ordinateur, puis Modifier, puis A
utres.., mettre comme Suffixe DNS principal de cet ordinateur :
GefiX.local, puis Ok, validez toutes les fenêtres, puis redémarrer l’ordinateur. Et ouvrez une session en
tant qu’Administrateur de votre PC, mot de passe : Pa$$w0rd 7. Ouvrez une invite de commande sur
votre serveur CL2012x, puis saisir la commande :
C:\> Ipconfig /registerdns vérifiez que votre nom est bien déclaré dans votre Serveur DNS dans la
zone GefiX.local, dans la zone de recherche directes (de type A).
========================================================================
=
41
2
DNS

Les indications de racine
Les indications de racine s ont des enregistrements de ressources DNS stockés sur
un serveur DNS qui répertorient les adresses IP des serveurs racines (.) du système
DNS.
Lorsque le serveur DNS reçoit une requête DNS, il consulte sa mémoire cache DNS. Il
essaie ensuite de trouver le serveur DNS qui fait autorité pour le domaine demandé. S’il
n’a pas l’adresse IP du serveur DNS faisant autorité pour ce domaine et qu’il est
configuré avec les adresses IP des indications de racine, le serveur DNS interroge un
serveur racine sur le domaine situé à gauche du domaine racine de la requête. Le
serveur racine DNS renvoie alors l’adresse IP du domaine à gauche du domaine racine
et le serveur DNS continue de parcourir le nom de domaine pleinement qualifié jusqu’à
ce qu’il trouve le domaine qui fait autorité.
Les indications de racine sont stockées dans le

fichier
%Systemroot%\System32\Dns\Cache.dns.
Dans des circonstances normales, les indications de racine

indiquent les adresses des serveurs racines DNS gérés par
InterNIC sur Internet. Les indications de racine peuvent
également pointer vers un serveur DNS local, dans ce cas, les
seuls noms qui peuvent être résolus sont ceux auxquels le
serveur DNS peut faire référence (il s’agit généralement
d’adresses locales uniquement). Cette configuration est parfois
utilisée à des fins de sécurité car elle ne permet de résoudre que
les noms des domaines locaux.
TP à réaliser (stagiaires).

=============================================================================
Vérification des différents noms et adresses IP des serveurs racine d’Internet 1. Dans la
console DNS de SRV2012x, bouton droit Propriétés sur votre serveur DNS, onglet Indications de
racine, observer les différentes adresses IP des différents serveurs racine d’Internet. 2. Les noter ici
leurs différentes adresses IP :
uis OK pour fermer la boîte de dialogue. 4. Vérifiez aussi la
a.root-servers.net => b.root-servers.net => 3.
P
présence du fichier Windows\system32\DNS\cache.dns, éditez-le avec le Bloc-notes, observez son
contenu. Fermez ensuite le fichier.
=============================================================================
Les redirecteurs déléguée ou de la zone de stub. 2. La redirectio

conditionnelle. 3. La redirection par défaut. 4. L
Généralement, un redirecteur est un serveur DNS DNS racine.
configuré pour rediriger les
requêtes DNS concernant des noms DNS externes vers des serveurs DNS situés
par la: racine
Remarque
hors du réseau de l’entreprise (donc ne pas passer Afin d’utiliser
DNS) . les redirecteurs, il faut que l
requêtes sont redirigées acceptent les requêtes récurs
Cependant, notez qu’il est aussi possible de des serveurs
rediriger racine sur
les requêtes un ) .
Internet
pour
LE SYSTEME DNS
domaine non pris en charge mais situé dans le réseau privé de l’entreprise.
Le redirecteur vous permettra de gérer la résolution des noms situés hors de votre
réseau, c’est à dire principalement sur Internet.
Il existe plusieurs types de redirecteurs, à

savoir :
• le redirecteur par défaut,
• le redirecteur conditionnel,
• la zone de stub.
Comportement des serveurs DNS avec ou sans l’usage d’un redirecteur
Lorsque le serveur DNS reçoit une requête, il tente de résoudre le nom en

adresse IP en utilisant les ressources dans l’ordre suivant :
1. Une zone DNS locale au serveur en utilisant les priorités
suivantes :
- zone DNS faisant autorité ou non ; - redirection de la zone
43
4
L'utilisation des redirecteurs permet une amélioration

processus de résolution de noms tout en conservan
totalité des noms de domaines mondiaux.
Infos.
DNS
=============================================================================
Ajout d’un redirecteur par défaut 1. Ouvrez le Gestionnaire de serveur (SRV2012X). 2. cliquez sur
Outils > DNS afin d’ouvrir la console DNS. 3. Si nécessaire développer la console DNS afin d’avoir une
vue complète (Menu Affichage, puis Affichage détaillé). 4. Bouton droit sur le serveur DNS puis
sélectionner Propriétés. 5. Sélectionner l’onglet Redirecteurs 6. Clicher sur le bouton Modifier. 7. Sur la
ligne Adresse IP, taper l’@IP du serveur DNS que vous désirez rediriger : mettre 8.8.8.8 ( @IP du serveur
DNS de Google.com), puis Entrer. 8. Clicher sur Ok et fermer toute les boites de dialogue.
La sélection de la case à cocher Utiliser les indications de racine si aucun redirecteur n’est
disponible permet d’utiliser les serveurs DNS racine, lorsqu’aucun redirecteur ne répond.
=============================================================================
Redirection conditionnelle
Le serveur DNS applique la logique de redirection conditionnelle suivante pour

déterminer la manière dont une requête d'un nom de domaine est redirigée : 1. Le
serveur DNS reçoit une requête pour jouets.networks.exemple.microsoft.com. 2. Il
compare ce nom de domaine à microsoft.com et à exemple.microsoft.com. 3. Le
serveur DNS détermine qu’exemple.microsoft.com est le nom de domaine qui
correspond le mieux à la requête de nom de domaine. 4. Le serveur DNS redirige la
requête vers le serveur DNS qui possède l'adresse IP 172.31.255.254 associée à
exemple.microsoft.com. 5. Si la requête porte sur un autre nom que ces deux-là, la
redirection sera faite vers le serveur dont l’adresse IP est renseignée sous le champ
Tous les autres domaines DNS (la redirection conditionnelle est généralement utilisée
lorsque dans un même réseau privé, plusieurs espaces de nom sont gérés sur des
serveurs DNS différents). TP à réaliser.
==================================================
Ajout d’un redirecteur conditionnel 1. O uvrez le Gestionnai
sur Outils > DNS afin d’ouvrir la console DNS. 3. Si nécessaire d
une vue complète, menu Affichage, puis Affichage détaillé, faire
Développer le serveur DNS pour afficher le dossier Redirecteurs
Redirecteurs conditionnels puis Nouveau redirecteur conditio
google-public-dns-a.google.com. 7. D ans Adresse IP, mettre :
Redirecteurs conditionnels puis Nouveau redirecteur conditio
dns1.proxad.net (serveur DNS de free). 10. Dans Adresse IP, m
Clicher sur OK pour fermer la boite de dialogue.
==================================================
LE SYSTEME DNS
45
6
DNS
Processus de transfert de zone
Lorsque plusieurs serveurs sont configurés pour héberger une zone, les
transferts de zone sont nécessaires pour dupliquer et synchroniser les données
de zone parmi tous ces serveurs.
Transfert de zone
Le transfert de zone est le processus qui consiste à dupliquer un fichier de zone

vers un autre serveur DNS. Les transferts de zone ont lieu lorsque des mappages de
noms et d’adresses IP changent à l’intérieur de votre domaine. Lorsque cela se produit,
les modifications de la zone sont copiées d’un serveur maître vers ses serveurs
secondaires.
Transfert de zone incrémentiel
Il existe deux types de transferts de zone DNS : Une requête AXFR

est une demande de transfert de zone complet. Une requête IXFR
est une demande de transfert de zone incrémentiel.
Quelle que soit la méthode de transfert de zone utilisée (AXFR ou IXFR) , la première
chose réalisée par le serveur DNS consiste à vérifier s’il est nécessaire d’effectuer ou
non un transfert de zone. Ce contrôle est réalisé en fonction de la valeur de l’intervalle
d’actualisation sur l’enregistrement de ressource de type SOA (Start of Authority) dont
la valeur par défaut est fixée à 15 minutes. Pour pouvoir déterminer s’il est nécessaire
ou non d’initier un transfert de zone, le serveur DNS secondaire pour la zone
considérée vérifie la valeur du numéro de série, à partir de l’enregistrement de
ressource SOA. Dans le cas où les deux versions sont identiques, alors aucun transfert
n’est effectué. Si, par contre, le numéro de série de la zone est plus élevé sur le serveur
maître que sur le serveur secondaire, alors un transfert est réalisé. Si le serveur maître
dispose d’un historique des changements incrémentiels, alors le protocole IXFR sera
négocié. Évidemment, le processus de transfert incrémentiel défini dans le RFC 1995
génère un trafic réseau beaucoup moins élevé. Un autre avantage concerne la rapidité
de l’opération de réplication puisque seules les modifications transitent entre les deux
partenaires.
Quand un transfert de zone peut-il se produire

?
• Lorsque l’intervalle d’actualisation de la zone arrive à expiration (c'est-à-dire
par défaut toutes les 15minutes).
• Lorsqu’un serveur secondaire est averti par son serveur maître que la zone a
changé. Les notifications sont implémentées par le RFC 1996.
• Lorsque le service Serveur DNS est démarré sur un serveur secondaire de la
zone.
• Lorsque la console DNS est utilisée sur un serveur secondaire de la zone pour
lancer manuellement un transfert de zone à partir de son serveur maître.

vieillissement et de nettoyage, vous devez
LE SYSTEME DNS
définir un datage valide lors de la création

de ces enregistrements.
Remarque : Lorsque vous créez une zone secondaire, le serveur DNS effectue un
transfert de zone complet pour remplir la base de données initiale.
 Infos
DNS Notify (bouton Notifier) est une mise à jour de la spécification d'origine du
==================================================
protocole DNS qui permet d'informer les serveurs secondairesdulorsqu'une
Configuration transfert de zone
zoneest
1. Ouvrez le G
estionnair
modifiée. sur Outils > DNS afin d’ouvrir la console DNS. 3. Si nécessaire d
une vue complète. 4. Développez votre serveur afin de voir Zone
droit sur Gefix.local, puis P ropriétés. 6. Onglet Transfer de zon
Lorsque vous utilisez DNS Notify, les transferts de zone, p uis Vers n’importe quel serveur, puis OK.
copies de la zone DNS sont mises à jour ==================================================
après des modifications non planifiées.
Un transfert de zone est entièrement à l'initiative du se
Remarque : Les enregistrements de (Backup).
ressources DNS entrés manuellement
présentent un datage égal à zéro, ce qui Paramètres de vieillissement et de nettoyage
signifie qu'ils ne vieillissent pas. Si vous Le vieillissement et le nettoyage sont des processu
voulez que les enregistrements de DNS pour supprimer les enregistrements de resso
ressources DNS entrés manuellement obsolètes.
soient soumis aux processus de
Si un ordinateur inscrit son propre enregistrement de ressource hôte (A) au démarrage
et qu’ensuite, sa connexion au réseau est rompue de manière incorrecte, cet
enregistrement hôte A risque de ne pas être supprimé. Cette situation peut être
fréquente sur les réseaux comportant des ordinateurs et des utilisateurs mobiles.
47
8
Le vieillissement et le nettoyage doivent être activés sur le serveur DNS et sur la zone
DNS. La case à cocher Nettoyer les enregistrements de ressources obsolètes
devrait être toujours sélectionnée afin que le système efface automatiquement
• L’Intervalle ces
d’actualisation indique l’intervalle duran
enregistrements. doivent rester dans le serveur DNS après la fin de l’inte
• L’Intervalle de non-actualisation indique un intervalle durant
Cet intervalle lequel
devrait il n’est pas à la durée de bail d
correspondre
possible de réactualiser cet enregistrement.DNS
L’adresse IP peut être modifiée.
Une tentative d’actualisation e st le processus par lequel un ordinateur demande une

actualisation de son enregistrement DNS. Elle a lieu lorsque le client, qui possède
l’enregistrement DNS, essaie de réinscrire son enregistrement de ressource. Elle ne
survient pas l orsqu’un client possédant l’enregistrement DNS met à jour
l’enregistrement de ressource (par exemple, quand il modifie son adresse IP mais
conserve le même nom d’hôte). Il est important de paramétrer les intervalles
d’actualisation et de non-actualisation de sorte à trouver le juste compromis qui permet
au système DNS de ne pas garder trop longtemps les enregistrements de ressources,
sans toutefois les supprimer trop tôt.
 TP à réaliser.
Pour vider le cache du serveur DNS à l'aide de la console DNS :
1. Ouvrez la console DNS. 2. Dans la console DNS, sélectionnez le
serveur. 3. Dans le menu Action, cliquez sur Effacer le cache. 4. C\>
dnscmd /clearcache (efface le cache du serveur DNS) 5. Sous
PowerShell : clear-DnsClientcache (identique à ipconfig /flushdns) 6.
Sous PowerShell : clear-DnsServerCache (efface la cache du serveur
DNS) 7. Sous PowerShell : get-DnsClientCache (affiche le cache
client DNS)
Remarque : attention on parle ici du Serveur de cache et pas du cache local à la machine pour les
résolutions DNS
=============================================================================
=============================================================================
Créer un CNAME pour votre machine (Nom raccourci). 1. Dans l'arborescence de la console
DNS, développez SRV2012X, développez Zones de recherche directes, Gefix.local, bouton droit,
Nouvel alias (CNAME). 2. Dans Nom de l’alias mettre : Ordix (ou x représente votre N° d’adresse IP). 3.
Dans Nom de domaine complet (FQDN) mettre : SRV2012X.Gefix.local. 4. Cliquez sur OK, et vérifier
que votre CNAME apparaît. 5. Faire depuis une invite de commande un Ping sur ce CNAME, vérifier que
cela fonctionne ? :
C:\> Ping
Ordix.Gefix.local

LE SYSTEME DNS
=================================================================================================
49
0
DNS
Vérification des enregistrements de ressource à l’aide de Nslookup
Après avoir ajouté des enregistrements de ressource, vous pouvez vérifier que ces
derniers sont corrects à l’aide de Nslookup.
Remarque : Pour que Nslookup fonctionne correctement, un enregistrement de

ressource PTR doit exister pour le serveur sur lequel vous voulez effectuer une
recherche. Au démarrage, Nslookup effectue une recherche inversée sur l’adresse IP
du serveur qui exécute le service Serveur DNS et signale une erreur s’il est incapable
de résoudre l’adresse en nom.
=============================================================================
Examen des enregistrements de ressource à l'aide de Nslookup 1. À l'invite, tapez C:\> nslookup
et appuyez sur ENTRÉE. 2. Pour définir un serveur comme serveur par défaut, tapez
SRV2012X.Gefix.local, puis appuyez sur ENTRÉE. 3. Tapez ls –t A Gefix.local et appuyez sur
ENTRÉE. Voyez- vous les différents enregistrements de type A pour la zone DNS Gefix.local ?, est-ce
normale ? :
____________________________________________________________________________________
_______ _______________________________________________________________________ 4.
Tapez ls –t CNAME Gefix.local et appuyez sur E NTRÉE.
Remarque : Si cela ne fonctionne pas, vérifier dans la console DNS, SRV2012x,

Zones de recherche directes, Gefix.local, P ropriétés, onglet S erveur de noms,
jouter, Srv2012x.Gefix.local ( ou
vérifier que votre FQDN est présent, sinon : A
Serveur représente le nom de votre machine), Résoudre, O K, essayer de nouveau
la commande : l s –t A Gefix.local.
5. Tapez set type=NS et appuyez sur ENTRÉE. 6. Tapez Gefix.local et appuyez sur ENTRÉE. 7.
Tapez set type=SOA et appuyez sur ENTRÉE. 8. Tapez Gefix.local et appuyez sur ENTRÉE. 9.
Tapez SRV2012X et appuyez sur ENTRÉE. Test la résolution de nom de la zone de recherches
directe 10. Tapez 192.168.x.1 et appuyez sur ENTRÉE. Test la résolution de nom de la zone de
recherches inversée
Les détails de l'enregistrement SOA du domaine sont affichés. Quelle partie de

l'enregistrement SOA pouvez-vous utiliser pour déterminer si les données des fichiers
de zone principale et secondaire sont à jour ?
A. Refresh B. Default TTL C. Serial D. Expire 11. Tapez exit
=============================================================================
LE SYSTEME DNS DNS Nslookup.exe Tester la résolution de nom DNS
la résolution de nom DNS Ipconfig.exe Vérifier et test
voir et effacer le cache
DNSCmd Client DNS
DNSCmd permet à l'administrateur d'effectuer de nombreuses tâches d'administration
du système DNS sur le serveur DNS et ce, à partir d'une invite de commandes. Avec
DNSCmd, vous pouvez contrôler l'inscription dynamique des enregistrements de
ressources DNS, y compris la mise à jour DNS sécurisée, en plus de l'annulation de
leur inscription.
La syntaxe de l'utilitaire DNSCmd est la suivante : dnscmd

<Nom_Serveur> <Commande> [<Paramètres_Commande>]
Commande DNSCmd
============================================================================= 1.
Ouvrir une invite de commande sur SRV2012X et saisir :
C:\>dnscmd /enumzones (visualiser les zones DNS) C:\>dnscmd SRV2012X /recordadd Gefix.local
totox A 192.168.x.200 (ajouter un enregistrement de type A), visualiser graphiquement que celui-ci
existe. C:\>dnscmd SRV2012X /recorddelete Gefix.local totox A 192.168.x.200 /f (supprimer un
enregistrement de type A), visualiser graphiquement que celui-ci existe. C:\> dnscmd SRV2012X
/statistics >c:\stat.txt (visualiser le contenu du fichier stat.txt) C:\> dnscmd SRV2012X /config
/scavengingInterval 17 (délai nettoyage : Onglet Avancé, Propriétés du Serveur DNS). dnscmd
C:\> DE
CENTRE FORMATION GEFI
/info (liste les différentes infos sur la config du serveur DNS)
51
=============================================================================
Outils Dnscmd.exe Configurer le serveur DNS Dnslint.exe Tester le serveur

52
GROUPES DE TRAVAIL (WORKGROUP)

Workgroup
Le groupe de travail est un environnement réseau simple, composé d’un ensemble
d’ordinateurs en nombre limité (une dizaine) où il n'existe aucune hiérarchie des
ordinateurs. Administration décentralisée.  Tous sont égaux et sont par conséquent
considérés comme « h omologues »(les termes
Chaque
peer to peer, d’égal à égal, poste à poste sont également utilisés). 
La sécurité est locale
ordinateur fonctionne à la fois comme client et serveur 
(assurée par chaque ordinateur)  Les utilisateurs définissent eux-mêmes les données
à partager sur le réseau.  La base d’annuaire (base de comptes) SAM : Security
Account Manager e st locale.  Les serveurs sont appelés : Serveurs autonomes
 Physiquement, la base de données fait partie du registre et est stocké dans le
répertoire %SystemRoot%\System32\CONFIG. Les informations à l’intérieur de ces
fichiers sont stockées sous une forme hautement chiffrée afin de prévenir les attaques
).
(normalement !!! 
Sam 
Registry key HKEY_LOCAL_MACHINE\SAM Ici, sont stockées les informations concernant les comptes utilisateurs
(noms, mots de passe) et les groupes cryptés . Security Registry key HKEY_LOCAL_MACHINE\SECURITY
Les droits et les permissions des utilisateurs de la machine locale. Software Registry key
HKEY_LOCAL_MACHINE\SOFTWARE
Contient les informations relatives à la configuration logicielle de l'ordinateur local System Registry key
HKEY_LOCAL_MACHINE\SYSTEM
Données de configuration pour contrôler le système (le nom de l'ordinateur dans le réseau, ...). Les pilotes, les
périphériques. Le jeu de configuration utilisé lors du dernier démarrage du système (lastknowgood). Les différents
profils matériels
GROUPES DE TRAVAIL (WORKGROUP)
SERVICES DE DOMAINE ACTIVE DIRECTORY (AD DS) SERVICES DE DOMAINE ACTIV

(AD DS)
Domaine AD-DS
Un domaine AD DS (Active Directory® Domain Services) représente un environnement réseau com
d’un ensemble d’ordinateurs, où, au moins un ordinateur est configuré en contrôleur de domaine (DC
La base de données AD DS contient des informations sur l’identité des utilisateurs, ordinateurs, gro
Les contrôleurs de domaine AD DS permettent également d’authentifier les comptes utilisateurs, ordi
domaine AD DS. AD DS est le premier moyen par lequel vous pouvez configurer et administrer des co
dans votre réseau d’entreprise (via GPO).
Les principales caractéristiques du domaine sont:

 Le domaine Windows 2012 R2 est un domaine Active Directory (AD DS)  La base d’annuaire
contrôleurs (DC) et s’appelle également
Active Directory (contient tous les comptes utilisateurs et tous les autres objets) .  La sécurité es
 Les données d’annuaires sont stockées dans le fichier :
C:\Windows\NTDS\NTDS.DIT (DIT=Directory Information Tree).  L’authentification des utilisat
minimum un contrôleur, et est
valable pour tout le domaine, grâce au jeton d’accès obtenu à l’ouverture de session.  Le nombre
peut être très élevé (plusieurs millions) , et il
n’y a pas de limite géographique.  Tous les utilisateurs et ordinateurs du domaine sont soumis au
domaine, via des stratégies de groupe (GPO)  Un administrateur du domaine dédié est
nécessaire
Les éléments ci-dessous sont nécessaires pour intégrer un domaine.
_ Un nom de domaine (ex : Gefix.local => structure de nom DNS). Vous devez connaître le nom
auquel vous voulez intégrer l'ordinateur.
_ Un compte d'ordinateur (gérer, administrer le poste client au niveau du domaine). Avant de
un ordinateur doit disposer d'un compte dans le domaine. Un administrateur de domaine peut créer le
de l'ordinateur ou vous pouvez créer le compte pendant l'installation si vous disposez des privilèges ap
pendant l'installation, le programme d'installation vous demande de spécifier le nom et le

53
54
SERVICES DE DOMAINE ACTIVE DIRECTORY (AD DS)
mot de passe d'un compte d'utilisateur qui dispose des droits nécessaires pour ajouter des comptes d'
_ Un serveur DNS (Domain Name System), soit un contrôleur de domaine (DC)
disponible et un serveur exécutant le service Serveur DNS. Au moins un contrôleur de
domaine du domaine auquel vous intégrez un ordinateur et un serveur DNS doit être en
ligne quand vous installez l'ordinateur dans le domaine. AD-DS s’appuie sur le service
DNS pour fonctionner.
_ Un compte utilisateur valide sur le domaine (login : ouvrir une
session).
Les utilisateurs n’ont besoin que d’un seul compte d’utilisateur de domaine dans
Active Directory pour accéder aux ressources réseau partagées du domaine.
 Le fait d'intégrer un ordinateur à un domaine soumet également l'ordinateur et

les utilisateurs à la stratégie de groupe, aux stratégies de compte et aux
paramètres de sécurité configurés pour le domaine.
Chaque fois qu'un ordinateur ou un compte d'utilisateur est créé dans un domaine ou
sur un ordinateur local, un identificateur de sécurité (SID, Security IDentifier) u nique
lui est attribué. Il est possible qu'un utilisateur dispose d'un compte d'utilisateur local et
d'un compte d'utilisateur de domaine ayant les mêmes noms d'utilisateur et mots de
passe. Cependant, étant donné qu'un identificateur de sécurité est créé pour chaque
compte, les identificateurs de sécurité des deux comptes seront différents.
Contrôleur du domaine
Le contrôleur du domaine (DC) n'est là que pour faire la gestion du réseau. C'est lui
qui possède chaque compte utilisateur, leur environnement de travail, leurs
privilèges. C'est lui également qui s'occupera de la gestion générale du réseau entier
à l'aide de ses différents outils (audit, gestion des imprimantes). Et c'est lui qui
centralisera toute la sécurité des différents serveurs et stations de travail. Ce serveur
n'est pas utilisé pour garder les programmes réseaux ni les différents fichiers sur son
disque dur.
Ordinateur qui détient le rôle de AD DS

:
 Active Directory database (NTDS.DIT) et SYSVOL ( répliquée entre contrôleurs
de
domaines)  Le service Kerberos KDC fournit l’authentification
mutuelle  Ainsi que d’autres services Active Directory 
Disponibilité: Au moins 2 DCs dans la domaine Active Directory
 Sécurité: Server Core, RODC et BitLocker
*** Chaque domaine et chaque ordinateur du domaine porte un nom
unique***.

SERVICES DE DOMAINE ACTIVEappelée LDAP
DIRECTORY ermet
p
(AD DS) d’effectuer des requêtes au niv
Implémentation d’un RODC

 Les services d'annuaires sont importants, car ils fou
Le RODC (Read Only Domain Controller) consistede n
enommer , décrire
un serveur ayant , localiser , administrer et sécur
le rôle de
contrôleur de domaine. Ce serveur a par contre à des droits de lecture
ces ressources seule sur
et d'y accéder. la Directory est
Active
base de données. Il est donc impossible d’effectuer
familledesWindows
modifications
Server depuis
2012ce R2.
serveur. Les attributs considérés comme critiques (mot de passe par exemple) ne sont
pas répliqués sur les RODC. Par défaut donc, un contrôleur
Ainsi, de domaine
nous avons : -  Uen ne lecture
administration simplifiée
seule transmet la demande d’authentification à son contrôleur
administration de domaine en écriture. du réseau d’un
toutes les ressources
Ce mécanisme peut très vite poser problème enpeut cas se
de loguer
coupure surden’importe
ligne WAN (Wide
quel ordinateur pour gére
Area Network), il est donc nécessaire d’effectuerordinateur
la mise enducache
réseau.des-  mots demise
Une passe. Il
à l’échelle : Activ
est nécessaire pour cela d’indiquer sur le serveur ayant d’objet
millions des droits d’écriture
réparti sur la base
sur plusieurs sites si cela est né
de données AD les utilisateurs et ordinateurs concernés
standardpar cette:mise
ouvert Active enDirectory
cache. Lorsutilise DNS pour no
de la réplication suivante, la mise en cache est opérée.
ressources, ainsi les noms de domaine Windows 2012
domaine DNS.
Sur un RODC, il est possible d’installer le rôle DNS et d’intégrer les zones à AD.
Néanmoins, comme pour Active Directory, le serveurLa baseDNS est en lecture
d’annuaire Activeseule.Directory supporte jusqu'à 2
16TB en taille. Le fichier NTDS.DIT fait approximative
Remarque : Attention, un seul serveur ayant le rôle de RODC
utilisateurs . peut être présent par
site AD.
Active directory
Active Directory est avant toute chose un annuaire distribué, permet aux
utilisateurs d’y accéder quel que soit leur emplacement ou même celui des
ressources Le concept même d’annuaire avait été formalisé par une norme, X.500,
qui définit précisément la façon d’accéder à un service d’annuaire. Le protocole
ceux qui existent sous Windows 2003. Un serveur Win
Trois rôles suivants : contrôleur de domaine (DC), se
autonome.
ACTIVE DIRECTORY (AD DS)

55
56
Sous Windows 2012 Server, les types de rôles de serveur diffèrent légèrement de
 Les domaines Windows 2000/2003/2008/2012 sont basés sur un modèle à
maîtres multiples, dans lequel tous les contrôleurs de domaine sont
mutuellement équivalents.
Les avantages d’un service d’annuaire.
Organisation des objets

Localisation simple des
données Délégation de
l'autorité
 Vous pouvez promouvoir un serveur membre ou autonome Windows 2012 au

rang de contrôleur de domaine, et inversement vous pouvez rétrograder un
contrôleur de domaine pour en faire un serveur membre ou autonome, sans être
obliger de réinstaller le système d’exploitation par la commande DCPROMO.EXE
afin de scripter l’installation en automatique du domaine AD.DS. Depuis Windows
Serveur 2012 l’interface graphique est préférée => Gestionnaire de Serveur =>
Ajouter un rôle.

Installation automatique d’AD DS
Utiliser la commande : C:\> dcpromo / adv
/answer:”D:\answerfile.txt” Installation de la base d’annuaire Active Directory (ADDS)
==============================================================
But : l’objet de cet atelier est d’installer le rôle AD DS sur SRV201
[Unattended]
à créer une forêt nommée GefiX.local. 1). Démarrez la machine S
Unattendmode=fullunattende tant qu’Administrateur, mot de passe : P a$$w0rd. 2).Vérifiez qu
d SRV2012x. La console Gestionnaire de serveur se lance, vérifie
IP adéquate : @IP, Masque, @DNS Serveur (dans le Gestionnair
[DCINSTALL] UserName=JoeB puis sur le lien Ethernet, propriétés de la carte réseau, propriétés
de Server, cliquez sur Gérer, puis sur Ajouter des rôles et des f
Password=Pa$$w0rd de commencer, cliquez sur Suivant. 5). Laissez le choix par défa
UserDomain=Gefix.local d’installation (ici, Installation basée sur un rôle ou une fonctionna
ReplicaOrNewDomain=Domain
TreeOrChild=Tree
CreateOrJoin=Create
NewDomainDNSName=Gefix.local
DNSOnNetwork=Yes
DomainNetbiosName=Gefix
AutoConfigDNS=Yes
6. Dans la fenêtre du choix du serveur de destination (cochez Sél
AllowAnonymousAccess=No
serveurs) , cliquez sur Suivant. 7
. Dans la fenêtre Sélectionner d
DatabasePath=%systemroot%\ntds Services AD DS.
LogPath=%systemroot%\ntds SERVICES DE DOMAINE ACTIVE DIREC
SYSVOLPath=%systemroot%\sysvo
l
SafeModeAdminPassword=P@sswr
d1 CriticalReplicationOnly=No
RebootOnSuccess=Yes
57
8
8. Cliquez sur Ajouter des fonctionnalités dans la fenêtre qui s’a

fenêtre Sélectionner des fonctionnalités. 10. Cliquez deux fois
L’installation est en cours, cliquez sur Fermer. 12. Dans la consol
le triangle jaune et sélectionnez l’option Promouvoir ce serveur
L’assistant se lance... 14. Dans la fenêtre Configuration de dépl
nouvelle forêt puis saisissez le Nom de domaine racine : GefiX.l
Suivant. 15. Laissez Serveur DNS (Domain Name System) et Ca
champ Mot de passe du mode de restauration des services d’
puis confirmez-le.
16. Cliquez sur Suivant. 17. Dans la page Options DNS, vérifiez que Créer une délégation DNS est
cochée, cliquez sur Modifier, dans Nom mettre : administrateur, Mot de passe mettre : Pa$$w0rd, puis
OK 18. Validez toutes les fenêtres en cliquant sur Suivant (comme le nom NetBios : Gefix, emplacement
des fichiers par défaut : C:\Windows\NTDS) , puis sur Installer pour lancer la promotion. 19. Suivre la
progression de l'installation. Le serveur redémarre à la fin de l'installation. 20. Après le redémarrage,
ouvrer une session en tant que "gefix\Administrateur", mot de passe : Pa$$w0rd. 21. Gestionnaire de
server, puis, Outils, puis lancer la console Utilisateurs et Ordinateurs Active Directory 22. Vérifier que
votre domaine est bien représenté dans l'interface. Développer quelques objets pour avoir une première
idée des objets gérés par cette console :
L’élément Ordinateurs, puis observer L’élément Contrôleurs de domaine, puis observer L’élément
Utilisateurs, puis observer 23. Lancer la console "Services" ("services.msc" dans le menu "Exécuter").
24. Vérifier que le service "Services de domaine Active Directory" est en cours d'exécution et en
démarrage automatique.
==================================================================
=
Structure logique d’Active Directory

• Un domaine d’Active Directory
est une unité est
contenant des straté
sécurité. souple et offre une
• Un domaine méthode pour
est une zone d’authentification et
concevoir
d’autorisation. une
hiérarchie au sein
• Un domaine est membre d’une forêt et à ce titr
d’Active Directory,
vers les autres domaines de la forêt.
compréhensible aussi
SERVICES DE DOMAINE ACTIVE DIREC
bien par les
utilisateurs que par
les administrateurs.
Les composants logiques de la structure d’Active Directory sont les

suivants:
•  les domaines;
•  les unités d’organisation (OU);
•  les arborescences (arbres) ;
•  les forêts;
•  le catalogue global (GC) ;
•  le schéma ;
•  les sites ;
•  Partitions de l’annuaire.
Domaines
 Le premier domaine créé dans Active Directory représente le domaine

racine de l'ensemble de la forêt. Le premier domaine est également appelé
racine de la forêt.
Le domaine Active Directory est donc un élément qu’il conviendra de créer à bon
escient et, par conséquent, il faudra toujours être capable d’en justifier la création en
se rapportant aux thèmes ou fonctions spécifiées ci-dessous :
• Un domaine est un container au sein de la
forêt.
• Un domaine est une unité de réplication.
59
0
La création de domaines permet une meilleure gestion

mais également d'autres points comme :  La Sécuri
2012 permet d'effectuer des limites de sécurité propre
 La Réplication : Il y a au minimum un contrôleur de domaine pour chaque
domaine qui contient l'ensemble des objets du domaine correspondant. Il est
possible d'avoir plusieurs contrôleurs de domaine pour un même domaine afin de
mettre en place une tolérance de panne ainsi qu'une répartition de charge.
 Appliquer des GPO : La grande utilité de mettre en place des domaines, est la
gestion centralisée à partir du serveur des comptes d'utilisateurs et des comptes
d'ordinateurs de tous les membres de l'entreprise. Ainsi au lieu de passer sur les
10000 machines par exemple pour installer le SP2 de Windows 2003 et bien vous
allez pouvoir le déployer à l'aide d'une stratégie de groupe (GPO : Group Policy Object)
 Structurer : En effet comme indiqué un peu plus haut, grâce au domaine, vous
allez pouvoir structurer votre réseau en créant plusieurs domaines, regroupant chacun
plusieurs sites afin de classer vos objets. Il faut savoir qu'un domaine peut prendre en
charge plusieurs millions d'objets...
 Délégation : En effet dans le cas de l'implémentation de plusieurs domaines, il est

possible de déléguer l'administration d'un domaine à une personne. Vu que la sécurité
est limitée au domaine, ceci permet de répartir les droits au sein même d'un domaine.
De plus si vous avez des unités d'organisations dans votre domaine vous allez pouvoir
déléguer la gestion d'une ou plusieurs de ces OU à un administrateur.
Une unité d’organisation
Une unité d’organisation ( OU) est un objet

conteneur utilisé pour organiser les objets
d’un domaine. Une unité d’organisation
contient des objets tels que des comptes
d’utilisateur, des groupes, des ordinateurs,
des imprimantes, ainsi que d’autres unités
d’organisation.
Remarque : Les unités d'organisation (UO) permettent aux administrateurs de

créer des limites administratives au sein d'un domaine. Grâce aux UO, les
administrateurs peuvent déléguer des tâches administratives à d'autres
administrateurs subordonnés sans leur accorder de privilèges administratifs
étendus sur l'ensemble du domaine.
Vous pouvez utiliser les unités contigu d'un domaine Parent (domaine Racine) et de
d’organisation pour regrouper des objets en nouvel espace de noms DNS devra faire l’objet de la c
une hiérarchie logique répondant aux arborescence au sein de la forêt Active Directory.
besoins de votre entreprise.
Voici quelques raisons justifiant la création
Vous pouvez déléguer le contrôle de plusieurs domaines :
d’administration sur les objets présents dans
• Des contraintes différentes en matière de
une unité d’organisation. Pour ce faire, vous
mots de passe, selon les organisations ;
accordez des autorisations spécifiques pour
l’unité d’organisation et les objets qu’elle • Un grand nombre d'objets ;
contient à un ou plusieurs utilisateurs et • Des noms de domaine Internet différents ;
groupes. • Un meilleur contrôle de la duplication ;
• L'administration décentralisée du réseau.
Arborescences
 Par définition, un arbre Active Directory est un espace de noms DNS parfaitement
61
2
Forêts
Une f orêt c omprend une ou plusieurs arborescences. Le premier domaine créé dans
la forêt est le domaine racine. De ce domaine dépendent l’administration de la forêt et
l’ajout de nouveaux domaines.  Les arborescences de domaine à l’intérieur
d’une forêt ne forment pas obligatoirement un espace de noms contigu. En
revanche, les arborescences d’une forêt partagent un schéma et un catalogue
global commun.
 Dans une forêt, tous les domaines ont

pour « ancêtre commun » le domaine
racine de la forêt.
Deux sociétés ne partagent aucun espace de

noms commun ; pourtant, en ajoutant un
nouveau domaine Active Directory en tant
que nouvelle arborescence d’une forêt
existante, les deux sociétés sont en mesure
de partager des ressources et des fonctions
administratives.
Approbations transitives bidirectionnelles
 Les approbations (relations de confiance) sont des mécanismes qui permettent à un

utilisateur authentifié dans son propre domaine d’accéder aux ressources de tous les
domaines approuvés avec son propre login, les administrateurs des domaines
approuvés n'ont aucun compte supplémentaire à créer.  Dans Windows Server 2012,
il existe deux types d’approbations : transitives et non transitives.
Voir outil : Domaines et Approbations Active Directory  Les relations
d’approbations transitives bidirectionnelles, sont les relations par défaut entre les
domaines Windows 2000/2003/2008/2012 Parent/Enfants ou de Racine. Une
approbation transitive bidirectionnelle est la combinaison d’une approbation
transitive et d’une approbation bidirectionnelle.

Approbations transitives/non transitives
Par exemple, le domaine D  Un site Ac

approuve directement le de un ou plu
domaine E, qui approuve réseaux IP c
directement le domaine F. et stables. G
Etant donné que les deux considérer qu
approbations sont transitives, 10 Mbps (ou
le domaine D approuve en Gigabits) e
indirectement le domaine F et vous de décid
inversement. géographique
Mbps formen
Active Directo
En général, les sites sont séparés les uns des a

plus lentes et certainement moins fiables puisque
à caractère public. Ces liaisons entre les dif
Structure physique d’Active Directory virtuellement représentées par les objets Liens
niveau de la topologie physique de l’annuaire Active
Ce sont les contrôleurs de domaine et les sites qui forment la structure physique
la topologie physique
d’Active Directory. SERVICES DE DOMAINE ACTIVE DIREC
Sites Il est important de comprendre qu’il n’y a pas de relation entre les domaines
Active
Directory et les sites Active Directory. Donc un site Active Directory peut contenir
plusieurs Domaines, et alternativement un simple domaine Active Directory peut
contenir plusieurs sites. Pour améliorer l'efficacité de la réplication, Active Directory
s'appuie sur des sites.
63
4
Deux raisons fondamentales justifient la création de

sites:
• Optimiser l(contrôler) le trafic lié à la duplication d’objets; l’infrastructure de site
vous permettra d’optimiser la bande passante disponible si bande passante dégradée
dans une partie du réseau
• Permettre aux utilisateurs d’ouvrir une session sur un contrôleur de domaine en
utilisant une connexion rapide fiable (en utilisant un DC de votre propre site).
Les objets
Un objet est un regroupement d'attributs renseignés pour désigner un élément

concret du système. Les objets doivent être définis (liste des attributs ou classe
d'objet) avant d'être créés. On distingue différents types d'objets (différentes
classes d'objet):
 Utilisateur: Objet qui contient tous les attributs nécessaires pour
représenter un
utilisateur physique. Cet objet, ou, compte utilisateur permet l'authentification des
utilisateurs physiques  Groupe: Objet qui permet de rassembler différents objets
(utilisateurs, ordinateurs, d'autres groupes) ayant les mêmes besoins d'accès à
une ressource (les permissions d'accès à une ressource, les différents privilèges,
seront associées aux groupes plutôt qu'aux utilisateurs individuels)  Unité
d'organisation (OU pour Organizationnal Unit): Objet pour contenir,
organiser d'autres objets (comme les dossiers dans le système de fichiers) de
manière hiérarchique. On pourra appliquer des stratégies de groupe à une OU, ou,
déléguer son contrôle à un utilisateur.  Ordinateur: Objet qui représente un
ordinateur physique, et, lui permet d'être
authentifié dans le domaine (l'ordinateur doit être authentifié comme un
utilisateur).  Imprimante: Objet qui représente une imprimante partagée
publiée dans Active
Directory.  Dossier partagé: Objet qui représente un dossier partagé
publié dans Active
Directory.  Beaucoup d'autres types d'objets sont utilisés

par le système.
La majorité des objets de la base Active Directory peuvent être gérés par la
console "Utilisateurs et Ordinateurs Active Directory"
Les partitions Active Directory tous les attributs et toutes les classes d'objet
(définitions d’objets) pour toute la forêt. Seul un co
La base Active Directory est découpée en plusieurs parties
maîtreappelées "Partition
de schéma) dans toute la forêt aura un a
Active Directory" ou "partition d'annuaire". schéma AD. La réplication permettra de mettre à j
contrôleurs.  Partition de domaine: Contient
(utilisateurs, groupes
ordinateurs, etc...).  Partition d'application (ex:
données DNS, si celles-
ci sont intégrées à AD).
TP à réaliser. Vérifier les différentes partitions de

==============================================================
Ouvrez une session en tant qu’Administrateur, mot de passe : P
Ouvrir une invite de commande PowerShell, puis saisir :
Get-addomaincontroller –identity srv2012x.gefix.local Set-loc
partitions de l’annuaire.
==============================================================
On distingue quatre types de partitions

d'annuaire:
 Partition de configuration: Contient des informations sur la forêt, la liste
des
arborescences et la liste des domaines.  Partition de schéma: Contient
65
6
Les maîtres d'opération FSMO (Flexible Single Master
Opération)
Dans Active Directory, certaines opérations ne peuvent pas être réalisées
simultanément par plusieurs contrôleurs de domaine, car elles pourraient engendrer
des conflits. Certains contrôleurs sont alors désignés pour réaliser ces rôles. Cinq
rôles FSMO existent dans une forêt, dont deux doivent être uniques dans la forêt, et
trois, uniques dans chaque domaine:
 Maître de schéma: unique dans la forêt, ce rôle doit être attribué à un seul
contrôleur pour toute la forêt. Le contrôleur ayant ce rôle pourra modifier la partition
de schéma. Les autres contrôleurs de la forêt ont un accès en lecture seule sur le
schéma.  Maître de dénomination de domaine: ce rôle est également unique au
niveau de la
forêt. Le contrôleur ayant ce rôle est contacté lors de la suppression ou l'ajout
d'un domaine. Il assure la cohérence des noms de domaine.  Maître RID: Ce
rôle doit être unique dans le domaine. Le contrôleur ayant ce rôle
alloue des blocs d'identificateurs relatifs (RID) aux autres contrôleurs de domaine.
Le RID est associé au SID du domaine pour construire les SID des nouveaux
objets créés.  Maître d'infrastructure: Ce rôle, également unique dans le
domaine, consiste à
surveiller les objets (surveiller les modifications) des autres domaines de la forêt qui
sont membres d'objets de son domaine.  Maître émulateur PDC: Ce rôle,
également unique dans le domaine, existe pour des raisons de compatibilité
applicative. Le contrôleur ayant ce rôle, émule un contrôleur principal de domaine
tel qu'il existait dans les domaines Windows NT4 pour satisfaire des anciennes
applications nécessitant l'existence d'un tel contrôleur. Le second rôle de ce
contrôleur sera d'être serveur de temps (NTP) pour le domaine. Le rôle de
"Explorateur maître de domaine" pour le service "Explorateur d'ordinateur" lui
sera également attribué.
Le transfert d'un rôle FSMO est réalisable (selon le rôle à transférer) à partir des
consoles suivantes:
 Utilisateurs et Ordinateurs Active directory (RID, PDC, infrastructure,

avec
exemple ci-dessous)  Domaines et approbations Active Directory
(dénomination de nom de
domaine)  Schéma Active Directory (maitre de schéma). La console est à créer
à partir
du gestionnaire de console "mmc.exe", après avoir enregistré la
DLL "schmmgmt.dll" par la commande "regsvr32
schmmgmt.dll".
TP à réaliser.  Seuls certains contrôleurs seront désignés pour gé

contrôleur de domaine est automatiquement configu
Vérifier les différents Maitres d’opérations.
Toutes les recherches d'objets (authentification, formu
================================================================================================= 1.
ces: contrôleurs.
Ouvrez une session en tant qu’Administrateur, mot de passe Pa$$w0rd sur Il
la sera nécessaire
machine SRV2012xd'avoir
2. un contrôle
chaque
Saisir la commande suivante afin de connaître les différents rôles FSMOsite.
: Il sera possible de désigner d'autres c
C:\> netdom query fsmo global en passant par la console "Sites et serv
=================================================================================================
Le catalogue global
Le catalogue global aussi appelé PAS (Partial Attribut Set) est une partie de la
base AD permettant de faciliter la recherche d'objets, fournit une
authentification des noms
d’utilisateurs principaux (UPN). Cette partie
de l’AD contient:
 Les objets du domaine

Pour localiser avec unde
un serveur sous-
catalogue global : Avec
ensemble d'attributs (seulement ceux
Nltest : Nltest /dsgetdc :mondomaineutilisés
/GC Avec Dsquery
pour la recherche  Certains objets des
Dsquery server -isgc Avec Nslookup : autres
domaines avec
gc._ un sous-ensemble
msdcs.gefix.local Avec Pd'attributs
owershell: : Get-ADForest
PAS (ceux ayant déjà
gefix.local fait l'objet d'une
| FL GlobalCatalogs
recherche). SERVICES DE DOMAINE ACTIVE DIREC
67
8
Schéma Active Directory
 Comme dans une base de données, chaque objet est associé à des propriétés.
L’ensemble des propriétés possibles pour n’importe quel objet, et la définition de tous
les objets pouvant exister forment le schéma de la forêt (il dicte les types d’objets qui
peuvent exister dans la base de données ainsi que leurs attributs.). Le schéma
d’Active Directory contient les définitions de tous les objets, tels que les ordinateurs,
les utilisateurs et les imprimantes, stockés dans Active Directory.
Dans Windows 2003/2008/2012, il n’y a qu’un seul schéma pour l’ensemble de la

forêt, de sorte que tous les objets créés dans Active Directory se conforment aux
mêmes règles.
 Le schéma comprend deux types de définitions les classes d’objets (description

d’un objet en regroupant plusieurs attributs) et les attributs d’objets (description d’une
caractéristique d’un objet) .
Chaque classe est un

regroupement d’attributs. Les
attributs et les classes sont
définis séparément. Chaque
attribut est défini une seule fois
et peut être utilisé dans
plusieurs classes. Le schéma
est stocké dans la base de
données d’Active Directory. Ce
stockage dans une base de
données signifie que le
schéma:
•Est dynamiquement disponible pour toutes les applications utilisateur (cela signifie
que ces dernières peuvent lire le schéma pour connaître les objets et propriétés
utilisables) ;
•Peut être mis à jour dynamiquement, ce qui permet à une application d’enrichir le
schéma avec de nouveaux attributs et classes d’objets, puis d’utiliser immédiatement
ces nouveaux éléments. Seuls les membres du groupe Administrateurs du schéma
peuvent modifier celui-ci, par le biais de la console MMC (Microsoft Management
Console) d’Administration du Schéma.

SERVICES DE DOMAINE ACTIVEfonctionnel
DIRECTORY soit choisi
(AD DS) pour un domaine, il faut que tous
exécute une version d'un système d'exploitation corres
Voici comment démarrer Schéma Active Directory : 1. Pour enregistrer la dll, à l’invite
choisi (ex: pour le niveau fonctionnel "Windows serve
de commandes, tapez Regsvr32 schmmgmt.dll, puis appuyez sur ENTRÉE. 2. Pour ajouter
contrôleurs
Schéma Active Directory à une MMC, cliquez sur Démarrer, doivent Tapez
puis sur Exécuter. exécuter
mmcau
et minimum "Windows s
niveaux
appuyez sur ENTRÉE. 3. Dans le menu Fichier de la console MMC fonctionnels
vierge, cliquez pour
sur les systèmes Windows 2012
Ajouter/Supprimer un composant logiciel enfichable. 4. Dans la liste des composants logiciels
enfichables proposés, cliquez sur Schéma Active Directory Ajouter, puis Windows
Niveau, fonctionnel OK. 2003: (2003, 2008, 2008R2, 2
 Utilisation
Tous les contrôleurs de domaine de la même forêt ont au moins des
deuxsystèmes
partitionsWindows 2003/2008/20
d’annuaire en commun : celles du schéma et de la contrôleurs.  .L'outil
configuration netdom
De plus, est disponible (créer
tous les
joindre aucommune.
contrôleurs de domaine partagent une partition de domaine domaine,
renommer, déplacer, etc...)  La redirection des co
Les niveaux fonctionnels du domaine et de la forêt est possible  Déploiement d'un RO
et "computers"
Windows 2003 de la forêt)  Changement du nom
Un niveau fonctionnel est une configuration qui active une ou plusieurs
fonctionnel Windowsfonctionnalités
2003 de la forêt)  Approbati
pour un domaine ou pour la forêt (tous les domaines). Pour qu'un certain niveau
fonctionnel Windows 2003 de la forêt) erreur
(restauration de l'objet et de tous ses
Niveau fonctionnel Windows 2008: (2008, 2008R2, 2012, 2012R2)
attributs)
 Utilisation de Windows 2008 et plus pour les contrôleurs de domaines 
Activation de la réplication DFS pour le dossier SYSVOL  Protocole AES
(Advanced Encryption Service) 128 et 256 bits pour l'authentification
Kerberos.  Stratégie des mots de passe affinée 
Pas de nouvelle fonctionnalité au niveau de la forêt CENTRE DE FORMATION GEFI
69
Niveau fonctionnel Windows 2008 R2: (2008R2, 0
2012, 2012R2)
 Ajout de l'utilisation de la corbeille AD pour restaurer des objets supprimés par
Niveau fonctionnel Windows 2012: (2012, 2012R2)
 Ajout de la stratégie de modèles d'administration du centre de distribution de

clés
Kerberos.  Pas d'autres
nouveautés.
Les niveaux fonctionnels sont gérables (augmenter uniquement) à partir des

consoles:
 Domaines et approbations Active Directory (exemple

ci-dessous)  Utilisateurs et Ordinateurs Active Directory
Il est possible de rétrograder le niveau fonctionnel de forêt puis de domaine

(uniquement sous PowerShell) :
Set-ADForestMode -Identity Gefix.local -ForestMode Windows2008Forest Une fois
le niveau fonctionnel de foret rétrogradé, la commande suivante agira sur votre domaine
2008 R2 :
Set-ADDomainMode -Identity Gefix.local -DomainMode Windows2008Domain
Les noms DN désignent le chemin complet de n'impor
Format de noms des objets Trois codes sont utilisés pour exprimer les différentes
code, associé à une information désigne une partie du
Plusieurs formats de noms sont utilisés pour désigner
partiesles objets
étant dans différentes
séparées par une virgule. Le nom DN com
situations. Les chemins d’accès LDAP servent àqueaccéder aux objets Active
l'on veut exprimer, et, seDirectory
termineet
par la dernière p
comprennent les éléments suivants: différents codes sont:
• les noms uniques (distinguished name :  CN (Common Name) : utilisé pour exprimer une
DN); (utilisateur,
• les noms uniques relatifs (relative distinguished name :
groupe, ordinateur, conteneur système) Utilisation
RDN).
(Organizationnal Unit): utilisé pour exprimer les O
autant de fois l'expression "OU" qu'il y a d'OU dans
Utilisation: OU=nomOU  DC (Domain Compon
Les noms DN (Distinguished Name)
composants du nom de 71
2
domaine. Il y aura autant de fois l'expression "DC" qu'il y a de parties dans le
nom de domaine (différentes parties du nom de domaine séparées par un point)
Utilisation: DC=nom-partiel-domain,DC=nom-partiel-domain
Exemple, si dans le domaine "gefi.local", il y a une OU "stagiaire" contenant

l'utilisateur "jack". Le nom DN de "jack" sera :
CN=jack,OU=stagiaire,DC=gefi,DC=local
On utilise ce format de nom dans la syntaxe de certaines commandes de gestion

des objets AD.
==================================================================
Indiquez sur le dessin ci-dessous le DN pour l’utilisateur Jane
==================================================================
Les noms UPN (User Principal Name)
Le nom UPN est utilisé uniquement pour exprimer un objet "utilisateur". Ce nom UPN
peut être utilisé lors d'une authentification, ou lors de la création d'un compte
utilisateur. Il est composé du nom de l'utilisateur, du séparateur "@" et du suffixe
DNS. Le nom UPN a le même format qu'une adresse de messagerie. Exemple, si
dans le domaine "gefix.local", il y a le compte utilisateur "jack". Le nom UPN de
"jack" sera: jack@gefix.local
Les noms SAM
Les noms SAM sont utilisés pour assurer la compatibilité avec les systèmes et
logiciels anciens, et expriment les objets utilisateur lors d'une authentification. Le
format est: Nom-domain\nom-utilisateur (nom NetBIOS du domaine) Exemple:
Si le compte utilisateur "jack" est dans le domaine dont le nom NetBIOS est
"gefi", Le nom SAM de "jack" sera: gefi\jack
En résumé on distingue quatre méthodes pour nommer un compte utilisateur : - Le

nom d’ouverture de session (login) : Marc - Le nom d’ouverture de session
pré-Windows 2000 : Gefix\Marc - Le nom d’utilisateur principal : Marc@Gefix.local -
Le nom unique LDAP : CN=Marc, CN=users, DC=Gefix, DC=local Un login ne peut
dépasser les 20 caractères, il prend en compte la casse et ne peut contenir de
caractère spéciaux comme : " / \ [ ] : ; | = , + * ? < >.
Enregistrements de type SRV

Réenregistrements des enregistrements de type SR
 Windows 2003/2008/2012 utilise le système DNS pour adéterminer
domaine ). Service "l'emplacement
Ouverture de session réseau"
des contrôleurs de domaine en résolvant un nom de domaine ou d'ordinateur
"Ouverture de session réseau en" sur le contrôleur de d
adresse IP. Cela est possible grâce aux enregistrements
DNS doiventde ressource SRVou
être réinscrits (Svia
ervice
l’invite de command
Resource Record), qui mappent un service particulier sur le
start Netlogon.contrôleur de domaine
offrant ce service.
b). NLTest : utilisez la commande NLTest /dsregdns
 Les enregistrements SRV permettent aux ordinateurs clients de localiser des
de tous les enregistrements.
serveurs offrant des services Active Directory particuliers. Les clients Active
Directory tels que Windows XP Professionnel ou Windows Server 2003 ou
2008/2012, utilisent les services DNS comme service de localisation principal et
exclusif. Les détections réalisées grâce aux résolutions DNS permettront ainsi de
résoudre les éléments importants que sont les noms de domaines, de sites et de
services Active Directory.
 Lors de l'installation d'Active Directory celui-ci déclare au sein du serveur DNS de

l'entreprise les différents services de ressource disponibles (enregistrements SRV).
Contrôleurs de domaine (DC) Ldap Kerberos Catalogue Global (GC)
Enregistrement de SRV pour spécifier que le serveur

booster2003.corp2003.corporate.net joue le rôle de serveur Kerberos (V5) sur le
port TCP 88.
73
4
Les protocoles d'authentification
Pour ouvrir une session, l'utilisateur doit fournir les informations
suivantes:
 Le nom de login (nom d'ouverture de session) 
Le mot de passe (password)  Le nom du domaine
ou le nom de l'ordinateur local
Les informations fournies par l'utilisateur doivent être vérifiées dans la base d'annuaire
avant de valider l'authentification. Des protocoles d'authentification sont utilisés entre
les processus qui participent à l'authentification. Plusieurs protocoles d'authentification
sont gérés par les systèmes Windows:
 LM (LAN Manager): Protocole d'authentification non sécurisé qui existe toujours
sur
les systèmes récents pour assurer une certaine compatibilité. Les stratégies de
groupe peuvent restreindre son utilisation.  NTLM et NTLMv2 : Protocole
d'authentification sécurisé, utilisé pour les
authentifications locales (groupe de travail), ainsi que dans le domaine AD si
nécessaire.  Kerberos: Protocole d'authentification standard qui est très
sécurisé, et, est utilisé par
défaut dans le domaine Active
Directory
Caractéristiques du protocole Kerberos:
Le protocole Kerberos :
 Est plus sûr et plus rapide que NTLM.  Aucun mot de passe (en clair ou
chiffré) ne circule sur le réseau (sauf cas rare).  Permet une authentification
mutuelle (le client et le serveur sont authentifiés).  Permet l’intégrité et la
confidentialité des données d'authentification.  Les messages sont cryptés.
 Les messages ont une durée de vie limitée, ce qui nécessite une
synchronisation des horloges des ordinateurs du réseau.  S’appuie sur des
services d’authentification de confiance et centralisés (KDC :
Key Distribution Center) sur les DC dans AD. 
Protégé contre la relecture (anti rejeu).
Fonctionnement général de Kerberos
Kerberos est architecturé autour de deux éléments

clés :
 l’AS (Authentication Service) : Service d’Authentification, qui s'occupe

des
vérifications nécessaires à une authentification.  Le TGS (Ticket Granting
Service): Service qui crée les tickets TGT (Ticket
Granting Ticket) pour confirmer l'authentification, et les ST (Services Ticket) pour
accéder aux services. Ces deux éléments l’AS et le TGS, qui sont deux entités
logiques distinctes, sont, dans le cas de Active directory, regroupés dans un seul
service : le KDC (Key Distribution Center : Centre de distribution de clés Kerberos qui
est intégré au processus lsass.exe)

services à des serveurs spécifiques.  Le serveur
service correspondant au ST, accepte les
requêtes du client pour échanger les don
cryptées)
Jonction du poste client CL2012x au domaine Active Dire
=========================================
= 1. Sur CL2012x, o uvrez une session (CTRL Droite + SUPPR)
de passe : P
Les différents échanges au niveau du système Kerberos les 2. Lancer l’Explorateur de Windows : WIN +
a$$w0rd
sont
bouton droit sur votre ordinateur : Ce PC, puis Propriétés, puis P
suivants :
Nom de l’ordinateur, puis Modifier : 4. Cliquer sur "Autres" pou
 Le poste client envoie une requête cet ordinateur, mettre auprès
d’authentification : "Gefix.local
de son ", puis. OK. 5. Renseigner le n
6. Une fenêtre d'authentification apparaît, s'authentifier avec le co
serveur
"Pa$$w0rd". 7. Redémarrer l’ordinateur après le message de bie
Kerberos (un contrôleur de domaine)  Le serveur
de session) Kerberos
8. Vérifierenvoie un message
sur SRV2012x (le contrôleur) que le nom d
confirmant l’authentification (TGT).  apparaît
Le client utilise
bien en tantdes informations
qu'objet ordinateurdu dans la console "Utilisat
message reçu pour envoyer des requêtes à l'intérieur de l'objet " C omputers ".
de tickets de service (ST) auprès de son serveur Kerberos.  Le serveur

Kerberos retourne au client les tickets de services demandés.  Le
client utilise ces tickets de service (ST) pour envoyer des requêtes de
==================================================================
= 9. Sur CL2012x, ouvrez une session en tant que :
75
6
Nom utilisateur : CL2012x\bob (SAM local) Mot de passe : Pa$$w

peut prendre plusieurs mn la première fois). 11. Ouvrez l’Explora
répertoire C:\ Temp, puis partager-le : y êtes-vous arrivé (pourquo
____________________________________________________
Essayer de modifier la configuration IP de votre machine en y ajo
192.168.14.222 : y êtes-vous arrivé (pourquoi
?)___________________________________________________
modifier l’heure système de votre PC : y êtes-vous arrivé (pourqu
?)___________________________________________________
actuellement en Workgroups ou en Domaine sur CL2012x (pourq
?)___________________________________________________
votre ouverture de session ?______________________________
ouvrez une session en tant que :
Nom utilisateur : Gefix\Administrateur (client du Domaine) Mot de passe : Pa$$w0rd
Êtes-vous actuellement en Workgroups ou en Domaine sur CL2012x (pourquoi
?)_________________________________________________________________ 17.
Qui ici authentifie votre ouverture de session
?___________________________________ 18. Sur CL2012x, fermer puis ouvrez une
session en tant que :
Nom utilisateur : Gefix\bob (client du Domaine) Mot de passe : Pa$$w0rd 19. Ouvrez l’Explorateur de
Windows (Win + E), puis essayer de partager le dossier C:\ Temp : y êtes-vous arrivé (pourquoi ?)
___________________________________________________________________________ 20.
Essayer de modifier la configuration IP de votre machine en y ajoutant l’adresse de passerelle :
192.168.14.222 : y êtes-vous arrivé (pourquoi
?)_________________________________________________________________
=================================================================================================
21. Basculer sur la machine SRV2012x, puis ouvrez une session en tant que :
Nom utilisateur : Gefix\bob (client du Domaine) Mot de passe : Pa$$w0rd Que se
passe-t-il (pourquoi ?)___________________________________________________
22. Fermer la session, puis ouvrez une session en tant que :
Nom utilisateur : Gefix\Administrateur (client du Domaine) Mot de passe : Pa$$w0rd
=================================================================================================

INSTALLER LES OUTILS D'ADMINISTRATION
INSTALLER LES OUTILS D'ADMINISTRATION

Domaines et approbations Active Directory
Schéma Active Directory Sites et services
Active Directory Utilisateurs et ordinateurs
Active Directory Autorité de certification
Administrateur de cluster Kit d'administration
de Connexion Manager DHCP, DNS, WINS
Système de fichiers distribués Service
Depuis de nombreuses années, il est possible de télécharger les outils
d'authentification d’administration
Internet Gestionnaire des
sur Internet. Très pratiques, ils permettent d’administrer à distance les différents
services Internet Contrôle rôles QoS
d'admission
Stockage
installés sur les serveurs. Les manipulations s’effectueront étendu
depuis Routage
le poste et accès
client sansdistant
Téléphonie Gestionnaire des services
avoir à se connecter en bureau à distance à la machine concerné. Anciennement
Terminal Server Gestionnaire de licences
appelés Adminpack.msi, les fichiers utilisés portent depuis Windows
Gestionnaire Server client
de connexion 2008 le
nom de RSAT (Remote Server Administration Tool). À chaque changement majeur
(changement de système d’exploitation ou changementVous de yservice
trouverez le gestionnaire
pack de serveur
) , il convient de (Server Mana
composants avec de gérer une multitude de fonctionnalité
réinstaller les bonnes versions. Pour Windows 8.1 le fichier s’appelle :
commandes et les composants PowerShell de Windows S
Windows6.2-KB2693643-x64.msu
Les outils d’administration Active Directory sont des composants logiciels enfichables de
la console MMC (Microsoft Management Console). Les principaux outils de gestion sont
les suivants :  Utilisateurs et ordinateurs Active Directory Pour gérer lesDE FORMATION GEFI
CENTRE
utilisateurs, groupes, ordinateurs et unités d’organisation.  Domaines et 77
approbations Active Directory Pour exploiter 8 les domaines, les arborescences de
domaines et les forêts de domaines.  SitesATION
et services Active Directory Pour gérer
les sites et les sous-réseaux.
Installer les Outils d'administration sur CL2012x. Sur Windows Serveur 2012 les outils
d’administration à distance est une fonctionnalité du système, pas besoin de télécharger un
fichier depuis le site Microsoft.
================================================================================================= 1.
Ouvrez une session en local sur CL2012x :
Nom CL2012x\administrateur (SAM locale) Mot de passe : Pa$$w0rd 2. Installer les Outils
d'administrateur des serveurs distants (si ce n'est pas déjà fait). Gestionnaire de
serveurs--Gérer---Ajouter des rôles---avancer les étapes jusqu'à "f onctionnalités"---développer "O
utils
d'administration de serveurs distants"---"O utils d'administration de rôles"---cocher "Outils AD DS").
Continuer les étapes pour "Installer" et "Terminer".
=================================================================================================
Travaux pratiques
Créer une unité organisationnelle (OU) nommée "STUDENT" Déléguer le contrôle de cette OU
à un utilisateur ou à un groupe (ici, ce sera le groupe "Utilisateurs authentifiés"). Vérifier
l'ACL sur cette OU en passant par ses propriétés Créer une OU à l'invite de commande
================================================================================================= 1.
Sur CL2012x, ouvrez une session en local
Nom : "CL2012x\Administrateur" (c'est peut-être déjà fait). Mot de passe : Pa$$w0rd 2. Lancer la
console "Utilisateurs et Ordinateurs Active Directory" en tant qu’administrateur du domaine Gefix
(bouton Démarrer, Outils d’administration, bouton droit sur Utilisateurs et ordinateurs Active
Directory, puis Epingler à l’écran d’accueil, faire de nouveau bouton droit sur Utilisateurs et
ordinateurs Active Directory puis Envoyer vers le bureau, puis sur le bureau faire Shift + bouton droit
sur Utilisateurs et ordinateurs Active Directory, puis Exécuter en tant que autre utilisateur, dans le
nom mettre : Gefix\Administrateur, dans mot de passe mettre : Pa$$w0rd, et OK) 3. Faire un clic droit
sur l'icône de votre domaine Gefix, et, sélectionnez "Unité organisationnelle". 4. Saisir le nom
"STUDENT", puis OK. 5. Clic droit sur cette OU STUDENT, sélectionner "Délégation de contrôle",
avancer d'une étape pour pouvoir cliquer sur "Ajouter". 6. Passer par "Avancé" pour faire une recherche
d'objets. Sélectionner "Utilisateurs authentifiés" dans les résultats de la recherche. OK, puis OK. 7.
Passer aux étapes suivantes pour pouvoir cocher "Créer une tâche personnalisée à déléguer" 8.
Passer aux étapes suivantes pour pouvoir cocher "Contrôle total", puis Terminer. 9. Ouvrez les
propriétés de l'OU "STUDENT", sélectionner l'onglet "Sécurité" (Si l'onglet "S écurité" n 'apparait pas,
cocher "F onctionnalités avancées" dans le menu "A ffichage)" . 1
0. Vérifier que l'objet "Utilisateurs
authentifiés" est bien dans l’ACL’, et que, les autorisations "Contrôle total" sont bien associées à cet
objet. 11. Lancer l'invite de commandes en tant qu’administrateur du domaine Gefix et, exécuter la
commande suivante (adapter selon le nom de votre domaine):
C:\> runas /user:Gefix\administrateur cmd.exe, puis Entrée, mettre le mot de passe : Pa$$w0rd. C:\>
dsadd ou OU=STUDENTBIS,DC=Gefix,DC=local 12. Vérifier dans la console "Utilisateurs et
Ordinateurs Active directory" que cette nouvelle OU existe bien (Actualiser l'affichage avec la touche
F5).
=================================================================================================

LES COMPTES UTILISATEURS / GROUPES
LES COMPTES UTILISATEURS / GROUPES
Les comptes utilisateurs locaux

d'écran
Les comptes utilisateurs locaux sont des objets enregistrés dansci-dessous) : accessible
la base "SAM " dans le menu
serveur",
des ordinateurs d'un groupe de travail, ainsi que dans les ans les
d
ordinateurs nonoutils d'administration du" pa
contrôleurs, mais, membres d'un domaine. Chemin du que parde
fichier lala base SAM:"compmgmt.msc" dans le
commande
"%Systemroot%\system32\config\SAM" Ces comptes sont utilisés pour ouvrir
 Commande
une session locale. Les principaux attributs de ces objets sont: "net user" (présentée dans la copi
 Nom de l'utilisateur  Mot de passe  accessible à
Description  Nom complet  L'identifiant de partir de l'invite de commandes. Différentes options
sécurité (créé par le système)  Le profil  Le les différentes actions de gestion des comptes utilis
verrouillage, l'activation/désactivation, etc.... user pierre Pa$$wàrd /add  net user pierre Pa
pierre /delete
Deux comptes existent par
défaut:
 Administrateur: C’est un compte qui a tous les privilèges sur le
système  Invité: C'est un compte qui est désactivé par défaut
Gestion des comptes utilisateurs locaux 79
0 gérés à partir des outils d'administration
Les comptes utilisateurs locaux peuvent être
OUPES
suivants:  Gestion de l'ordinateur (partie "utilisateurs et groupes" présentée
dans la copie
Utiliser des outils de gestion ("gestion de l'ordinateur", et la commande "net user") pour
consulter, créer, supprimer et modifier des comptes utilisateur (on prévoit des
caractéristiques différentes pour chaque compte). Utiliser les nouveaux comptes
utilisateurs créés pour ouvrir des sessions
================================================================================================= 1.
Ouvrir une session sur CL2012x :
Nom : CL2012x\Administrateur (SAM locale) Mot de passe : Pa$$w0rd 2. A partir de la console
"Gestion de l'ordinateur", consulter la liste des comptes utilisateurs existants par défaut (noter la
liste ci-dessous):
___________________________________________________________
____
3. A partir de la console "Gestion de l'ordinateur", créer deux comptes dans la SAM locale et
pas sur le Domaine avec les caractéristiques suivantes: Compte 1:

2 - Gefi Wserver2012-1-1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

2 - Gefi Wserver2012-1-1

Transféré par

Droits d'auteur :

Formats disponibles

Volume

© GEFI – REPRODUCTION INTERDITE

CENTRE DE FORMATION GEFI

T​ABLE DES MATIERES

Table des matières

rôles sur Windows Server 2012 R2

Caractéristiques : Server 2012 R2

Les différentes éditions de Windows Server 2012

Les différents modes de licences

Qu'est-ce qu'une requête DNS ? ..............................................................................................

Processus de résolution de noms d'hôte

Les zones DNS .........................................................................................................................

Création de zones de recherche

Délégation de zones ................................................................................................................

Les indications de racine .........................................................................................................

Les redirecteurs ......................................................................................................................

Processus de transfert de zone

Groupes de travail (Workgroup)

Services de Domaine Active Directory (AD DS)

Domaine AD-DS ......................................................................................................................

Les avantages d’un service d’annuaire.

Structure logique d’Active Directory

CENTRE DE FORMATION GEFI

Les protocoles d'authentification.............................................................................................

Installer les Outils d'administration

Les comptes utilisateurs / groupes

CENTRE DE FORMATION GEFI

Le rôle du technicien micro-réseau (​premier niveau​)

Principaux éléments qui seront abordés au cours de cette première semaine :

Connaître les différentes versions de Windows 2012 Server R2

CENTRE DE FORMATION GEFI

ROLES SUR ​W​INDOWS ​S​ERVER

Microsoft a totalement retravaillé le noyau de son systè

L’accès à distance ​Le rôle Accès à distance permet de

HyperV ​Depuis Windows Server 2008, l’hyperviseur de Microsoft, Hyper-V, peut

 Il permet de mettre en place une plateforme de virtualisation ​sous

 Système qui centralise une base de correspondance entre les noms

DHCP Dynamic Host Configuration Protocol

 Le rôle permet la distribution de baux DHCP (config IP complète) aux

Il peut être installé sur un serveur en mode installation complète ou en mode

Active Directory Federation Services (AD FS) Active

 Autorité de certification : fournit une infrastructure à clé

CENTRE DE FORMATION GEFI

 ​Serveur NPS ​: permet la mise en place des st

 Système qui assure le partage et la centralisation de documents de

 Permet de centraliser les applications  Permet aux utilisateurs

Serveur Web IIS (Internet Information server)

 Serveur web, il permet l’affichage et le stockage de sites et applications

CENTRE DE FORMATION GEFI

C​ARACTERISTIQUES ​: S​ERVER ​2012 R2

 ​Une fois l’installation du serveur terminée, il est nécessaire de configurer le

Les différentes éditions de Windows Server 2012

CENTRE DE FORMATION GEFI

Les différents modes de licences

Avec Windows Server 2012, Microsoft propose un nouveau mode de licence

Services réseaux nécessitant les licences

Datacenter => Par processeur + CAL Standard => Par

Ex : ​2 processeurs ou moins et 5 VM(s) ​=> ​3 Licence(s) Standard requise(s) ​Ex : ​4

Vous possédez une entreprise composée des services, nombre d'imprimantes et

• Un service ​informatique ​/ ​60 employés ​( + ​6 imprimantes

_Windows ​Server 2012 Standard ​:

CENTRE DE FORMATION GEFI

Bon, c'est cher, mais pour une entreprise de 200=========================================

TABLE DES MATIERES

Le rôle du technicien micro-réseau (premier niveau)

ROLES SUR WINDOWS SERVER

L’accès à distance Le rôle Accès à distance permet de

HyperV Depuis Windows Server 2008, l’hyperviseur de Microsoft, Hyper-V, peut

 Il permet de mettre en place une plateforme de virtualisation sous

 Serveur NPS : permet la mise en place des st

CARACTERISTIQUES : SERVER 2012 R2

 Une fois l’installation du serveur terminée, il est nécessaire de configurer le

Ex : 2 processeurs ou moins et 5 VM(s) => 3 Licence(s) Standard requise(s) Ex : 4

• Un service informatique / 60 employés ( + 6 imprimantes

_Windows Server 2012 Standard :

20036 = 7200€ 2042 =

+ Un code par pays (et parfois par

Remarque : Depuis une nouvelle extension existe pour l’Europe, le «

Une requête récursive est une requête

Avant que DNS ne devienne la norme Internet en mat

Un enregistrement de ressource e st une structure de base de données DNS

Au départ, l’entreprise met en œuvre un domaine nommé corporate.net. Ensuite, il

6. Sur CL2012x, démarrez le Gestionnaire de serveur, au niveau du Gestionnaire de serveur, cliquez

Les redirecteurs déléguée ou de la zone de stub. 2. La redirectio

L'utilisation des redirecteurs permet une amélioration

Il existe deux types de transferts de zone DNS : Une requête AXFR

Une tentative d’actualisation e st le processus par lequel un ordinateur demande une

Remarque : Pour que Nslookup fonctionne correctement, un enregistrement de

Remarque : Si cela ne fonctionne pas, vérifier dans la console DNS, SRV2012x,

La syntaxe de l'utilitaire DNSCmd est la suivante : dnscmd