Académique Documents
Professionnel Documents
Culture Documents
20
SUPPORT DE COURS -DOCUMENTATION Centre
de formation GEFI
Windows
Server 2012
Semaine 1
R2
2
DES MATIERES
4
DES MATIERES
Objectifs du cours
............................................................................................................. 6
Le rôle du technicien micro-réseau (premier niveau)
.................................................................. 6
LE SYSTEME DNS
............................................................................................................. 16
Vue d'ensemble du système DNS
............................................................................................. 16
L’espace de nom DNS (Domain Namespace)
............................................................................ 18
DNSCmd .................................................................................................................................
51
Workgroup .............................................................................................................................
52
OBJECTIFS DU COURS
Serveur DNS
Système Windows 2012 sur lequel est installé Active Directory Ce dernier a
pour fonction d’authentifier des utilisateurs et ordinateurs présents sur
le domaine AD. Ce rôle peut être installé sur un serveur ne possédant pas
d’interface graphique.
Protège une ressource contre une utilisation non autorisée. Les utilisateurs
sont
identifiés et une licence leur est attribuée pour les informations
protégées.
Il est ainsi plus simple d’interdire à un utilisateur de copier un document sur une clé
USB ou d’imprimer un fichier confidentiel.
Active Directory Certificate Service (AD CS) Installe une autorité de certification afin
d’effectuer des opérations d’émission et de gestion de certificats.
Quelques autres rôles : Serveur WINS, Serveur Telnet, Serveur de temps (NTP),
Serveur de messagerie (Smtp et Pop3) , Serveur ftp, Serveur d’authentification
Kerberos, Serveur de flux multimédia.
L'outil Gérer votre serveur Lorsque Windows Server 2012 est installé et qu'un utilisateur ouvre
une session pour la première fois, l'outil Gérer votre serveur démarre automatiquement. Cet outil
permet d'ajouter ou de supprimer des rôles de serveur.
Une installation minimale : le système d’exploitation est installé mais aucune
interface graphique n’est installée (version Core).
Seule une invite de commandes est présente : les installations des rôles et fonctionnalités, ou l’admini
ligne de commande. Il est néanmoins possible d’administrer les différents rôles à distance en installan
Server Administration Tools) sur un poste distant.
Du rôle du serveur que vous prévoyez d’installer. De la stratégie de virtualisation qui sera
utilisée. Du type de licensing qui sera utilisé.
Windows Server 2012 Foundation : Utile pour de petites entreprises mettant en place leur premier se
les fonctionnalités essentielles sont présentes, elle n’offre pas de solution de virtualisation (HyperV
être installé). Cette licence a une limitation de 15 utilisateurs par serveur. Elle est accessible à l’heure
sont écrites uniquement en OEM. Pas possible d’intégrer un domaine, mono processeur (1 cœur).
Windows Server 2012 Essentials : Cette version remplace Small Business Server Essentials. Plusie
pas disponibles comparé à une version Standard (Server Core, HyperV, Failover Clustering, Re
Services, etc. ). A destination des petites et moyennes entreprises comme pour la version Foundation
limitation plus grande en autorisant que 25 utilisateurs et 50 machines. Supporte 2 processeurs Cores
RAM.
Windows Server 2012 Standard Edition : Elle peut être utilisée pour des entreprises ayant peu de se
virtualisés. Son modèle de licensing est calculé en fonction du nombre de processeurs et du nombre d
les fonctionnalités sont présentes. Cette version est composée de deux licences pour deux VM en plus
machine hôte. Supporte jusqu’à 64 processeurs et 4 Terabytes (TB) of RAM. Windows Server 2012 D
Utile pour les environnements de Cloud hybride ou utilisant un nombre important de machines virtuelle
accès à l’ensemble des fonctionnalités ainsi qu’à un droit de virtualisation illimitée. Supporte de 64 à 6
Cores et 4TB de RAM, ainsi qu’un cluster de 63 nœuds.
De huit licences différentes pour la version 2008 R2, Windows Server 2012 R2 est
passé à quatre.
La gestion des licences a également été revue totalement. Pour Windows Server 2012
Standard et Datacenter. Le calcul des licences « par serveur » change pour des
licences « par processeur ». Attention donc désormais au choix matériel de vos futurs
serveurs. Par défaut, ces versions arrivent avec une licence pour deux
processeurs. La seule différence entre ces deux versions réside dans le droit de
virtualisation : illimité sous la version Datacenter et de deux machines virtuelles pour la
version Standard. Un licensing particulier aux machines virtuelles est également
appliqué.
Vous souhaitez installer un Windows Server en vue de mieux géré tout votre parc
informatique. En honnête citoyen et chef d'entreprise que vous êtes, vous tenez
absolument à obtenir une clé de licence authentique !
Et là, c'est le drame. Oui, vous avez bien lu, il faut que vous achetiez une licence
pour TOUT LES CLIENTS ET TOUT LES PÉRIPHÉRIQUES qui se connecteront à
votre serveur Windows.
LE SYSTEME DNS
Vue d'ensemble du système DNS
DNS (Domain Name System) est un service de résolution de noms
d’hôte.
DNS résout donc les adresses lisibles pour les humains (comme
WWW.Microsoft.com) en adresses IP (comme 128.18.0.1) ou inversement. Avant
DNS, le système de résolution d’un nom sur Internet devait se faire à l’aide d’un
fichier texte, le fichier HOSTS. Fichier maintenu par le NIC du Standford Research
Institute (SRI), les postes devaient récupérer le ficher par transfert de fichier.
Sans DNS, vous devriez trouver les adresses IP des ressources pour accéder à ces
ressources. http://www.google.com => implique une résolution de noms d’hôte, donc
Serveur DNS http://74.125.71.147 => ne nécessite pas de résolution de noms d’hôte
Cependant les utilisateurs préfèrent utiliser des noms prononçables pour désigner une
machine. On parle alors de noms symboliques ou de noms de haut niveau.
DNS e st une base de données distribuée hiérarchisée qui contient les mappages
(correspondance) de noms d'hôtes DNS à des adresses IP. DNS permet de
repérer des ordinateurs et des services en utilisant des noms alphanumériques
faciles à retenir. DNS permet également de découvrir des services réseau comme des
serveurs de messagerie et des contrôleurs de domaine dans le service d'annuaire
Active Directory®. DNS est à la base du système de noms Internet, mais aussi du
système de noms de domaine Active Directory d'une organisation. Il est
naturellement plus facile de retenir un nom de domaine ou un nom de poste qu’une
adresse IP, de plus l’implémentation d’IPv6 favorise l’utilisation d’un nom plutôt que
d’une adresse IP.
Une synchronisation à lieu entre les serveurs de même niveau gérant la même zone
que l’on appelle « transfert de zone ». Vous pouvez connaître leurs adresses IP en
éditant le fichier cache.dns situé sous %systemroot%\system32\dns. Pour
connaître la dernière mise à jour du fichier cache.dns, connectez-vous sur le serveur
ftp.rs.internic.net.
2). Domaine de niveau supérieur Les domaines de premier niveau sont aussi appelés
TLDs pour Top Level Domains.Il s'agit de la portion finale (à l'extrême droite) d'un nom
de domaine. En général, un domaine de niveau supérieur est représenté par un nom de
deux ou trois caractères qui identifie le statut
LE SYSTEME DNS
19
0
DNS
3). Domaine de second niveau Un nom de domaine de second niveau est un nom
unique de longueur variable, formellement inscrit par InterNIC auprès d'un individu ou
d'une organisation qui se connecte à Internet. Dans l'exemple www.gefi-sa.com, le
nom de second niveau est la portion « .gefi-sa » du nom de domaine, inscrite par
InterNIC et affectée à la Société GEFI-SA Corporation.
4). Sous-domaine Outre le nom de second niveau inscrit auprès de InterNIC, une
organisation de grande envergure peut choisir de subdiviser encore son nom de
domaine en ajoutant des départements ou des services représentés chacun par
une portion distincte dans le nom de domaine : 1. Ventes.gefi-sa.com. 2.
Finance.gefi-sa.com. 3. Corp.example.local. (extension non routable sur
l’Internet : votre Intranet)
Résolution des noms de domaine • Transfert de zone incrémentiel : permet lors du tra
DNS, de ne transférer que les modifications apport
Le système DNS fournit les solutions • Enregistrements WINS et WINS-R : permet d’utilis
suivantes : ne trouve pas la réponse à la requête demandée.
• Résolution des noms de domaine complète (FQDN :Fully Qualified Domain
Name) ntégration du système DNS à d'autres services de Window
• Résolution des noms NetBIOS (Network Le
Basic Input/Output
système Systemà
DNS s'intègre ) pd'autres
ar services réseau p
transmission de requêtes au service WINS
(
W indows Internet
fonctionnalités. Naming
Service) .
1). Protocole DHCP (Dynamic Host Configuration P
Fonctionnalités du serveur DNS Windows 2003/2008/2012
automatiquement les entrées du système DNS lorsque
attribuées de
• Pour installer Active Directory (AD), il est nécessaire auxdisposer
ordinateurs serveurDHCP. 2). Service W
d’un clients
DNS car ce dernier offre un espace de nom pour DNS les
en domaines
les transmettant
Windows à un serveur WINS et en les
2000/2003/2008/2012. de la base de données WINS. 3). Active Directory : F
maîtres,services
• Le service DNS permet aussi de localiser certains des misesparàlajour de zone sécurisées et une d
présence d’enregistrements de type (SRV) . - Réduction de la gestion du réseau. La gesti
système DNS utilise la duplication d'Active Directory p
• Prise en charge des mises à jour dynamiques sécurisées et non
données de zone DNS.
sécurisées.
- Maintenance sécurisée et automatique des bases de données de zone 21
DNS à l'aide du système DNS mis à jour de 2 façon dynamique. Vous pouvez
intégrer le système DNS à d'autres produitsDNSqui utilisent les normes IETF. Le
système DNS est compatible avec les serveurs DNS d'autres systèmes
d'exploitation du fait de sa conformité avec BIND
TP (Berkeley Internet Name Domain)
à réaliser.
version 8.2.2 (Unix).
Le prérequis pour l’installation du rôle DNS est que le serveur dispose d’une
adresse IP statique. En effet, si l’adresse IP du serveur DNS change, les clients
DNS ne peuvent le contacter.
Prérequis pour la machine hôte Windows serveur 2012 R2 : Configuration des paramètres IP de la
carte réseau, création d’un compte utilisateur, nommer votre ordinateur, modifier le nom du
groupe de travail.
==================================================================
1. Démarrer votre PC (SRV2012x). 2. Ouvrez une session, Nom : Administrateur, Mot de passe :
Pa$$w0rd. 3. Dans la zone de notification en bas à droite, bouton droit de la souris sur Connexion
réseau, puis Ouvrir le Centre Réseau et partage, cliquez sur Modifier les paramètres de la carte
réseau (à gauche), bouton droit sur la carte réseau Ethernet, puis propriétés, double-cliquez sur
TCP/IPv4, cochez Utiliser l’adresse IP suivante, puis mettre :
Adresse IP : 192.168.x.1 Masque : 255.255.255.0 DNS Primaire : 192.168.x.1 4. Puis Ok, et OK, fermer
la boite de Connexion réseau. 5. Bouton droit sur le bouton D
émarrer, Gestion de l’ordinateur,
Utilisateurs et groupes locaux, bouton droit sur Utilisateurs, Nouvel utilisateur :
Nom d’utilisateur : bob Mot de passe : Pa$$w0rd Confirmer le mot de passe : Pa$$w0rd Décocher
L’utilisateur doit changer le mot de passe à la prochaine ouverture de session Cocher L’utilisateur
ne peut pas changer de mot de passe Cocher Le mot de passe n’expire jamais, puis Créer, Fermer
6. Bouton droit sur le bouton Démarrer, Système, Paramètres système avancés, onglet Nom de
l’ordinateur, puis Modifier : 7
. Dans Nom de l’ordinateur mettre comme nom : SRV2012x (ici remplacer
le X par votre Numéro) 8. Dans Membre d’un, vérifier que Groupe de travail est bien coché, et que le
nom est GEFINET, faire OK, OK, r edémarrer votre ordinateur, puis ouvrez une session, Nom :
Administrateur, Mot de passe : Pa$$w0rd.
==================================================================
Prérequis pour la machine virtuelle (Virtual Box) Windows 2012Client : : Configuration des
paramètres IP de la carte réseau, nommer le nom de votre ordinateur, modifier le nom du groupe
de travail.
==================================================================
1. Double-cliquez sur l’icône sur le bureau 2012Client, pour lancer la machine virtuelle (CL2012x). 2.
CTRL (droite) + SUPPR pour ouvrir une session, Nom : Administrateur, Mot de passe : Pa$$w0rd. 3.
Bouton droit sur le bouton Démarrer, Gestion de l’ordinateur, Utilisateurs et groupes locaux, bouton
droit sur Utilisateurs, Nouvel utilisateur :
Nom d’utilisateur : bob Mot de passe : Pa$$w0rd Confirmer le mot de passe : Pa$$w0rd Décocher
L’utilisateur doit changer le mot de passe à la prochaine ouverture de session Cocher L’utilisateur
ne peut pas changer de mot de passe Cocher Le mot de passe n’expire jamais, puis Créer, Fermer
4. Touche WIN + E pour lancer l’Explorateur Windows 5. Dans la zone de notification en bas à droite,
bouton droit de la souris sur Connexion réseau, puis Ouvrir le Centre Réseau et partage, cliquez sur
Modifier les paramètres de la carte réseau (à gauche), bouton droit sur la carte réseau Ethernet, puis
Propriétés, double-cliquez sur TCP/IPv4, cochez Utiliser l’adresse IP suivante, puis mettre :
Adresse IP : 192.168.x.2 Masque : 255.255.255.0 DNS Primaire : 192.168.x.1 6. Puis Ok, et OK, fermer
la boite de Connexion réseau. 7. Dans l’Explorateur de Windows, bouton droit sur votre ordinateur :
Ce PC, puis Propriétés, puis Paramètres système avancés, onglet Nom de l’ordinateur, puis Modifier
: 8. Dans Nom de l’ordinateur mettre comme nom : CL2012x (ici remplacer le X par votre Numéro) 9.
Dans Membre d’un, vérifier que Groupe de travail e st bien coché, et que le nom est GEFINET, faire
OK, OK, redémarrer votre ordinateur virtuel (touche WIN + i, puis cliquez sur Marche/Arrêt, puis
Redémarrer.
Requêtes Itérative.
Requête envoyée par un client à un serveur DNS, dans laquelle le serveur renvoie la
meilleure réponse qu’il peut fournir, en fonction de ses données de cache ou de zone.
Si le serveur recevant la requête ne possède pas de réponse exacte à la requête, il
renvoie un pointeur vers un serveur de référence dans un niveau inférieur de l’espace
de noms du domaine.
Le client interroge alors le serveur de référence, auquel il a été
renvoyé. Le client poursuit ce processus jusqu’à ce qu’il localise un
serveur de référence pour le nom requis, ou jusqu’à ce qu’une
erreur se produise ou que le délai soit dépassé. La réponse à une
requête itérative peut être :
Une réponse positive ; Une
réponse négative ; Une
référence à un autre serveur
DNS de niveau inférieur.
Requêtes Récursive.
Les noms d'hôte peuvent être résolus directement par le fichier Hosts ou par un
serveur DNS.
Ces méthodes de résolutions des noms d'hôtes, peuvent également fonctionner pour
résoudre des noms NetBIOS. Le type de nœud spécifie les méthodes de
résolution, ainsi que l'ordre dans lequel une machine les mettra en œuvre.
Cache de résolution client
Le cache de résolution client est un emplacement mémoire (RAM) qui stocke les
noms d'hôtes qui ont récemment été résolus en adresses IP. Il s'agit également d'un
emplacement de stockage pour les mappages de nom d'hôte à adresse IP qui sont
chargés à partir du fichier Hosts.
Un fichier Hosts est un fichier texte qui contient les correspondances statiques
(saisie manuellement) entre les noms d’hôte et les adresses IP.
27
8
DNS
TP à réaliser.
======================================================================================
Utilisation du fichier Hosts sur SRV2012X pour la résolution de noms d’hôtes et vérification par la
commande IPCONFIG 1. Ouvrez le fichier Host avec le Bloc-notes (Windows\system32\drivers\etc),
ajouter la ligne : 127.0.0.1 www.laposte.com. Enregistrer et fermer le Bloc-notes. Dans la zone de
notification, bouton droit sur Carte réseau, puis Centre Réseau et Partage, puis Modifier les
paramètres de la carte, bouton sur la carte réseau, puis Propriétés, décocher Protocole Internet
version 6 (TCP/IPv6), puis OK, fermer les autre boites de dialogues 2. Faire C:\> hostname (affiche le
nom d’hôte de votre PC) 3. Faire C:\> Ipconfig /all (affiche le nom d’hôte et le suffixe DNS de votre PC) 4.
Afin de visualiser le contenu de votre cache DNS client, ouvrez une invite de commande, C:\>Ipconfig
/displaydns, vous devez observer 127.0.0.1 = www.laposte.com dans le cache Client DNS 5. Afin de
vider le contenu de votre cache DNS client et charge le contenu du fichier Hosts, utilisez en invite de
commande la commande : C:\>Ipconfig /flushdns 6 . Ajouter dans le fichier Host : 192.168.x.2 CL2012x
(@IP du PC Virtuel 2012x et le nom d’hôte du PC : CL2012x) 7. Afficher le contenu de votre cache Client
DNS : C:\>Ipconfig /displaydns 8. Faire C:\> Ping 192.168.x.2 (test les couches 1, 2 et 3 de OSI),
pensez à désactiver les pare feux si actif des 2 côtés. Ici que se passe-t-il ? : _________________ 9.
Faire C:\> Ping CL2012x Ici qui à résolue le nom ? : _________________ 10. Enlever du le fichier Host :
192.168.x.2 CL2012x, enregistrer et fermer le fichier 11. Faire C:\> ipconfig /flushdns afin de vider le
cache Client DNS 12. Faire C:\> Ping CL2012x Ici qui à résolue ? : _________________ 13. Bouton droit
sur le menu Démarré, puis Exécuter, saisir : services.msc, double-clic sur Client DNS, puis click sur
Arrêter. 14. Faire C:\>Ipconfig /displaydns Que constatez-vous ? : ______________ 15. Bouton droit
sur le menu Démarré, puis Exécuter, saisir : services.msc, double-clic sur Client DNS, puis click sur
Démarrer, puis fermer toute les boites.
======================================================================================
Vous pouvez aussi utiliser la commande n et stop dnscache p uis net start dnscache
lient Dns) afin d’arrêter et de redémarrer le client DNS, ce qui a pour
(voir service C
conséquence de vider le cache DNS.Si après avoir vidé le cache DNS vous visualisez
toujours des enregistrements dans ce même cache, c’est que vous devez avoir des
mappages noms d’hôtes/adresses IP dans le fichier Hosts.
LLMNR défini par la RFC 4795 permet la résolution de noms dans des
environnements locaux où il n’existe pas de serveurs DNS, son principe est
semblable à la diffusion mais les messages utilisés sont des messages de
multidiffusion. Pour en bénéficier, il faut utiliser un ordinateur exécutant au moins
Windows Vista, 7, Server 2008/2012. Le principal avantage de LLMNR réside dans le
fait qu’il supporte les protocoles IPv4 et IPv6 alors que le résolveur NetBT (NetBIOS)
qui passe par la diffusion n’est pas supporté par le protocole IPv6. Il faut également
noter qu’il est possible d’activer ou de désactiver LLMNR via la stratégie de groupe
suivante Turn off Multicast Name Resolution (Configuration Ordinateur\Modèles
d’administration\Réseau\Client DNS). LLMNR utilise le port 5355/UDP et l’adresse de
multicast IPv4 224.0.0.252 et comme adresse de destination multicast 333300010003 et
en IPv6 FF02::1:3 avec comme adresse de destination multicast 01005E0000FC. La
résolution TCP/IP utilise depuis Windows Vista, 7, Server 2008/12 les cinq éléments
dans l’ordre suivant, à savoir :
Ensuite, si la résolution de noms NetBIOS est activée et que le nom n’a pas été
résolu, le résolveur TCP/IP passe la main au résolveur NetBIOS.
TP à réaliser.
======================================================================================
Vérifier le N°de Port utilisé par LLMNR, puis le désactiver sur SRV2012x 1. Ouvrez une session en
tant qu’Administrateur de votre poste hôte : SRV2012X, mot de passe : Pa$$w0rd 2. Bouton droit sur le
menu Démarrer, puis Exécuter, puis saisir : Cmd C:\>netstat –an | find /i “5355” | find /i “UDP” 3.
Bouton droit sur Démarrer, puis Exécuter, saisir regedit. Au sein de la clé
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient, créez la clé
DNSClient si elle n’existe pas, puis créez la valeur DWORD 32 bits EnableMulticast et affectez-lui la
valeur 0.
PS : voilà une autre manière de le faire , C:\> REG add " HKEY_LOCAL_MACHINE
\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" /v EnableMulticast /t REG_DWORD /d 0
=====================================================================================
Normalement, le cache local est toujours utilisé ainsi que le fichier LMHOSTS. Par
contre, la diffusion et le serveur WINS peuvent être désactivés par la valeur Type de
nœud. Le type de nœud indique comment ces éléments sont utilisés. On les gère grâce
à une stratégie de groupe ou via le serveur DHCP. Les valeurs admissibles sont :
LE SYSTEME DNS
29
0
Après avoir installé le service Serveur DNS et configuré les propriétés du service
DNS, il ne vous reste plus qu'à achever le service en ajoutant des mappages de nom
d'hôte à adresse IP. Ces mappages sont appelés enregistrements de ressources
dans le système DNS.
Une z one est une portion de la base de données DNS (suffixe DNS) qui contient les
enregistrements de ressources dans lesquels le nom du propriétaire appartient à la
portion contiguë de l'espace de noms DNS. Vous pouvez diviser l’espace de noms
DNS en zones, ce qui permet de stocker les informations de nom concernant un ou
plusieurs domaines DNS ou des portions d’un domaine DNS. Pour chaque nom de
domaine DNS inclus dans une zone, la zone devient la source de référence pour les
informations concernant ce domaine.
Les serveurs DNS peuvent héberger différents types de zones. Afin de limiter le
nombre de serveurs DNS sur votre réseau, vous pouvez configurer un serveur DNS
pour prendre en charge, ou héberger, plusieurs zones à lui seul.
Un fichier de zone e st le fichier, stocké sur le disque dur local du serveur DNS, qui
contient toutes les informations de configuration d'une zone et des enregistrements de
ressources contenus dans celle-ci. Le fichier de zone stocke des informations utilisées
pour résoudre des noms d’hôte en adresses IP, et inversement.
Zones primaires
31
Une zone primaire (on dit aussi parfois principal
2 ) pour une zone donnée est le seul
serveur disposant d’une copie de la zone disponible
DNS en écriture. Ce point signifie que
toute modification de la zone nécessitera un accès au seul et unique serveur primaire
pour ladite zone. Ce fichier est stocké sur le disque, dans le répertoire
Zones secondaires
%systemroot%\system32\dns.
Une fois les opérations de modification apportées, les données seront automatiquement
répliquées vers le ou les autres serveurs DNS agissant en tant que serveurs de noms
DNS secondaires en lecture seule pour la zone. Ces opérations de réplication de
zones sont bien sûr fondamentales pour assurer la disponibilité d’une zone sur de
multiples serveurs DNS locaux et aussi distants. Ce fichier est stocké sur le disque,
dans le répertoire %systemroot%\system32\dns.
Les serveurs secondaires vous permettront de répartir le trafic de requêtes DNS dans
certaines parties du réseau où une zone serait particulièrement utilisée. Les serveurs
secondaires assureront une disponibilité totale de la zone, en dehors de la possibilité
d’en modifier le contenu. Dans le cas où le serveur primaire pour la zone serait
indisponible de manière prolongée, vous aurez malgré tout la possibilité de
"promouvoir la zone" d’un serveur secondaire défaillant en primaire dans l’attente que
le serveur principal original soit à nouveau disponible. L’intérêt de configurer un serveur
DNS disposant d’un fichier de zone secondaire standard est d’offrir au service de
résolution de noms une tolérance de panne ainsi qu’une répartition de charge. Une
zone dont l’état est « A expiré » devient non répondante. Le changement du type de la
zone de secondaire en principale permet de rendre la zone autonome. De fait, la zone
passera à l’état « En cours » d’exécution et sera à nouveau opérationnelle.
Lorsqu’il s’agit d’une zone principale standard, un seul serveur DNS pourra héberger
et charger la copie principale de la zone. Aucun autre serveur principal supplémentaire
ne sera autorisé pour cette zone. De plus, seul le serveur DNS principal pour la zone
sera autorisé à accepter des mises à jour dynamiques et à traiter des modifications qui
concernent la zone. Ce modèle fait apparaître un point de défaillance puisque
l’indisponibilité du serveur assurant la gestion de la zone principale aura pour effet de ne
plus permettre de mises à jour de la zone, tant via les fonctions d’administration que via
le protocole de mise à jour dynamique des enregistrements DNS (DDNS, Dynamic
DNS) . Toutefois, les autres serveurs DNS jouant le rôle de secondaires pour la zone,
pourront continuer de répondre aux requêtes des clients, jusqu’à expiration de celle-ci.
Contient donc une version en lecture/écriture du fichier de zone dans un fichier texte
standard possédant l’extension .dns.
Les zones DNS standard ne sont pas multi maitres. Comme les zones intégrées Active
Directory stockent les informations sur les zones, vous pouvez établir des autorisations
33
34
LE SYSTEME DNS
Zone de stub
Les zones de stub sont des copies d'une zone qui contiennent uniquement les
enregistrements de ressources nécessaires à l'identification du serveur DNS faisant
autorité pour la zone en question. Une zone de stub contient un sous-ensemble des
données de la zone qui se compose d'un enregistrement SOA, NS et A, ces derniers
enregistrements, appelés Glue records (ou enregistrement de résolution par requêtes
successives), permettent de déterminer directement au sein de la zone les adresses IP
des serveurs de noms (NS). C’est en quelque sorte un signet qui pointe simplement
vers le serveur DNS qui fait autorité pour la zone DNS concernée. C’est aussi un
moyen de connaître de manière automatique pour une zone DNS parent les
différents DNS ajoutés sur une zone DNS enfant sans avoir à les communiquer de
manière manuelle à la zone DNS parent.
Avec une zone stub, vous vous affranchissez de ces modifications. En effet une zone
de stub apprend dynamiquement à partir d’un maître les nouveaux
enregistrements de type serveur de nom et leur nom d’hôte associé, mais ne
duplique pas les autres enregistrements présents dans la zone parent. Les
résolutions de noms sont nettement améliorées. L’administration des zones DNS
est simplifiée.
Par définition, une zone secondaire ne peut être stockée au sein de l’annuaire Active
Directory tandis qu’une zone de stub le peut.
Serveur DNS
Serveur DNS Mexico.monentreprise.fr
Merida.consulting.monentreprise.fr 10.0.0.1
10.0.0.2
Zone principale : monentreprise.fr
Zone principale : consulting.monentreprise.fr SOA : mexico .monentreprise.fr
SOA : merida.consulting.monentreprise.fr NS : mexico.monentreprise.fr
NS : merida.consulting.monentreprise.fr A : 10.0.0.1
NS : cancun.consulting.monentreprise.fr Enregistrement A, MX, SRV etc...des
A : 10.0.0.2 hôtes IP présent dans cette zone
A : 10.0.0.3
Enregistrement A, MX, SRV etc...des Zone stub : consulting.monentreprise.fr
hôtes IP présent dans cette zone SOA : merida.consulting.monentreprise.fr NS : merida.consulting.monentreprise.fr NS :
cancun.consulting.monentreprise.fr A : 10.0.0.2 A : 10.0.0.3
CENTRE DE FORMATION GEFI
Serveur DNS Cancun.consulting.monentreprise.fr Lecture/Ecriture Lecture/Ecriture 10.0.0.3
Lecture Zone secondaire : consulting.monentreprise.fr
SOA : merida.consulting.monentreprise.fr NS : merida.consulting.monentreprise.fr NS :
cancun.consulting.monentreprise.fr A : 10.0.0.2
A : 10.0.0.3 Enregistrement A, MX, SRV etc...des hôtes IP présent dans cette zone
Remarque : Si les adresses IP des serveurs DNS Merida.consulting.monentreprise.fr et
Cancun.consulting.monentreprise.fr c hange, cela changera automatiquement aussi dans la zone Stub de
Mexico.monentreprise.fr = > gestion simplifiée, ce qui ne sera pas le cas si vous utilisez à la place des redirecteurs
Requête pour mapper un nom sur une adresse IP. Il s’agit du type de recherche le plus courant. Il est
d’un serveur de manière à pouvoir établir une connexion avec lui. Ce type de requête nécessite une ré
le Gestionnaire DNS, les zones de recherche directe s'appuient sur des noms de domaines DNS et c
enregistrements de ressources de type A (hôte) pour IPv4 et de type AAAA (hôte) pour IPv6.
TP à réaliser.
====================================================================================== Création d’une zon
Directes) sur SRV2012x 1. Sur SRV2012x, o uvrez le Gestionnaire de serveur. 2. c liquez sur Outils > DNS afin d’ouvrir l
développer la console DNS afin d’avoir une vue complète. 4. Développez votre serveur afin de voir Zone de recherche dire
5. Bouton droit sur Zones de recherché directes, puis Nouvelle zone... 6. Dans l’assistant de Nouvelle zone, dans la pag
Dans Type de zone, sélectionnez Zone principale, puis Suivant. 8. Dans Nom de zone dans Nom de la zone, entrez le no
(attention ici, il faut remplacer X p
ar le numéro qui est affecté), puis Suivant.
LE SYSTEME DNS
35
36
E SYSTEME DNS
9. Dans Fichier zone, sélectionnez Créer un nouveau fichier nommé : (le nom créé est de type GefiX.local.dns), puis Suiv
dynamique, sélectionnez Autoriser à la fois les mises à jours dynamiques sécurisées et non sécurisées..., puis Suiva
zone, cliquez sur Terminer. 12 Au niveau de votre serveur DNS, sélectionner dans la zone de Recherche Directes : Gefix
onglet Transfert de zone, cochez Autoriser les transfert de zone et aussi Vers n’importe quel serveur, puis OK.
TP à réaliser.
======================================================================================
Création d’un enregistrement de type A dans la zone de recherches directes sur SRV2012x 1. Sur
SRV2012X, démarrez le Gestionnaire de serveur. 2. Au niveau du Gestionnaire de serveur, cliquez sur
Serveur local (à gauche), double-cliquez sur votre nom d’ordinateur : SRV2012X, onglet nom
d’ordinateur, puis Modifier, puis Autres.., mettre comme Suffixe DNS principal de cet ordinateur :
GefiX.local, puis Ok, validez toutes les fenêtres, puis redémarrer l’ordinateur. 3. Ouvrez une session en
tant qu’Administrateur de votre PC SRV2012x, mot de passe : Pa$$w0rd 4. Ouvrez la console D NS, et
vérifiez que dans la zone de recherche directes de Gefix.local, que votre serveur SRV2012x y est bien
déclaré avec un enregistrement de type A (SRV2012X = 192.168.x.1) , sinon ouvrez une invite de
commande sur votre machine virtuelle SRV2012x, puis saisir la commande C:\> Ipconfig /registerdns,
puis revérifier.
====================================================================================== 5.
Basculer sur la machine virtuelle CL2012x, démarrez le Gestionnaire de serveur, au niveau du
Gestionnaire de serveur, cliquez sur Serveur local (à gauche), double-cliquez sur votre nom
d’ordinateur : CL2012x, onglet nom d’ordinateur, puis Modifier, puis Autres.., m
ettre comme Suffixe
DNS principal de cet ordinateur : GefiX.local, puis Ok, validez toutes les fenêtres, puis redémarrer
l’ordinateur. Et ouvrez une session en tant qu’Administrateur de votre PC, mot de passe : Pa$$w0rd 6.
Ouvrez une invite de commande sur votre machine virtuelle CL2012x, puis saisir la commande :
C:\> Ipconfig /registerdns vérifiez que votre nom est bien déclaré dans votre Serveur DNS
dans la zone de recherche directes de Gefix.local (de type A) de SRV2012x.
====================================================================================== 7.
Ouvrez une invite de commande sur votre serveur SRV2012x, puis saisir la commande :
C:\> ping CL2012x qui résout ici ? : ______________ C:\> ping CL2012x.Gefix.local qui résout ici ? :
______________ C:\> ipconfig /displaydns voir l’enregistrement de votre PC dans le cache client DNS
local
=======================================================================================
Permet de retrouver un nom d'hôte à partir de son adresse IP. Si des applications
ou la sécurité du réseau nécessitent de pouvoir convertir des adresses IP en noms de
domaine, vous pouvez inclure des zones de recherche inversée dans votre solution.
Dans le Gestionnaire DNS, les zones de recherche inversée s'appuient sur le nom de
domaine in-addr.arpa complété par l’adresse du réseau, mais à l’envers. Ainsi, pour les
adresses IP qui concerneraient le réseau 192.168.1.0, il sera nécessaire de déclarer
une zone de recherches inversées dont le nom devra être 1.168.192.inaddr.arpa.pour
IPv4, ip6.arpa. pour IPv6 et contiennent généralement des enregistrements de
ressources de type PTR (pointeur) .
Par exemple, si vous surveillez des connexions IP qui sont faites à un serveur, vous
pouvez utiliser une recherche inversée pour localiser le nom de domaine associé à
l’adresse IP de l’ordinateur qui se connecte. Ce type de requête nécessite une
résolution adresse/nom.
========================================================================
= 14. Ouvrez une invite de commande sur votre serveur CL2012x, puis saisir la commande :
C:\> Ipconfig /registerdns vérifiez que votre nom est bien déclaré dans votre Serveur DNS
dans la zone inversée (de type PTR) de SRV2012x C:\> ping SRV2012x.Gefix.local test
37
8
DNS
Vous pouvez créer des sous domaines pour améliorer l’organisation d’une zone et
fournir une certaine structure à votre espace de noms. La division de ce dernier, pour y
inclure des sous domaines, peut être comparée à la création de dossiers et de
sous-dossiers sur un disque dur. Les sous domaines sont généralement créés par
service ou zone géographique dans une entreprise.
Vous pouvez déléguer une autorité sur un sous domaine à un serveur DNS que vous
voulez charger de la gestion de cette portion de votre espace de noms DNS. La
délégation d’une autorité vous permet d’effectuer les tâches suivantes:
• Déléguer la gestion d’un domaine DNS à un grand nombre de services
u sein d’une entreprise;
(sous domaines) a
• Déléguer les tâches administratives pour tenir à jour une vaste base de
données DNS. Vous pouvez attribuer à des administrateurs différents la
gestion des serveurs DNS dans le sous domaine.
CENTRE DE FORMATION GEFI
Délégation de zones
Ce mécanisme puissant permet la mise en place d’espaces de domaines quasiment
infinis. Le plus bel exemple à citer qui utilise la délégation est le réseau Internet.
Chaque domaine acheté est bien entendu une zone dont la gestion est déléguée à un
tiers responsable.
LE SYSTEME DNS
TP à réaliser
=========================================================================
Créer un sous domaine (domaine DNS Enfant : Ventes.Gefix.local) 1. Ouvrez le Gestionnaire de
serveur (SRV2012X). 2. cliquez sur Outils > DNS afin d’ouvrir la console DNS. 3. Si nécessaire
développer la console DNS afin d’avoir une vue complète. 4. Développez votre serveur afin de voir Zone
de recherche directes e t Zones de recherches inversées. 5. Développez Zones de recherche directes
puis bouton droit sur Zones de recherche directes, puis sélectionnez Nouvelle zone... 6. Dans
l’assistant de Nouvelle zone, dans la page Bienvenue !, cliquez sur Suivant. 7. Dans Type de zone,
sélectionnez Zone principale, puis Suivant. 8. Dans Nom de zone dans Nom de la zone, entrez le nom
du domaine à créer Ventes.GefiX.local (attention ici, il faut remplacer X par le numéro qui est affecté) ,
puis Suivant. 9. Dans Fichier zone, sélectionnez Créer un nouveau fichier nommé : (le nom créé est de
type Ventes.GefiX.local.dns), puis Suivant. 10. Dans Mise à niveau dynamique, sélectionnez Autoriser à
la fois les mises à jours dynamiques sécurisées et non sécurisées..., puis Suivant. 11. Dans Fin de
l’assistant Nouvelle zone, cliquez sur Terminer. 12 Au niveau de votre serveur DNS, sélectionner dans la
zone de Recherche Directes : Ventes.Gefix.local, puis Propriétés de cette zone, onglet Transfert de
zone, cochez Autoriser les transfert de zone et aussi Vers n’importe quel serveur, puis OK.
Si le sous domaine est place sur un autre serveur, vous pourrez distribuer le trafic DNS sur de
multiples serveurs, permettant une meilleure performance.
=========================================================================
Délégation d’un sous domaine DNS (domaine DNS Enfant : Ventes) 1. Toujours sur la console
DNS (SRV2012X). 2. Développez votre serveur afin de voir Zone de recherche directes et Zones de
recherches inversées. 3. Bouton droit sur GefiX.local puis sur Nouvelle délégation... 4. Sur la page
Assistant Nouvelle délégation, cliquez sur Suivant. 5. Sur la page Nom de domaine délégué, dans
Domaine délégué mettre : Ventes et cliquez sur S uivant. 6. Sur la page Serveurs de noms, dans Nom de
domaine complet (FQDN) du serveur : mettre : SRV2012X.GefiX.local, puis Résoudre, puis OK, cliquez
sur Suivant. 7. Dans Fin de l’assistant Nouvelle zone, cliquez sur Terminer.
=========================================================================
Intégrer CL2012x dans la zone DNS : Ventes.GefiX.local 1. Sur CL2012x, démarrez le
Gestionnaire de serveur, au niveau du Gestionnaire de serveur, cliquez sur Serveur local (à gauche),
double-cliquez sur votre nom d’ordinateur : CL2012x, onglet nom d’ordinateur, puis Modifier, puis
Autres.., mettre comme Suffixe DNS principal de cet ordinateur : Ventes.GefiX.local, puis Ok, validez
toutes les fenêtres, puis redémarrer l’ordinateur. Et ouvrez une session en tant qu’Administrateur de
votre PC, mot de passe : Pa$$w0rd 2. Ouvrez une invite de commande sur votre serveur CL2012x, puis
saisir la commande : C:\> Ipconfig /registerdns vérifiez que votre nom est bien déclaré dans votre
Serveur DNS SRV2012x, dans la zone Ventes.GefiX.local, dans la zone de recherche directes (de type
A).
========================================================================
= 3. Basculer de nouveau sur la machine SRV2012x 4. Ouvrez une invite de commande, puis saisir
les commandes :
C:\> ping CL2012x qui résout ici ? : ____________________________ C:\> ping
CL2012x.Gefix.local pourquoi ça ne fonctionne pas ? : ______________ C:\> ping
CL2012x.Ventes.Gefix.local qui résout ici ? : ____________________________ C:\>
ipconfig /displaydns voir l’enregistrement de votre PC
========================================================================
= 5. Basculer de nouveau sur la machine CL2012x
Lorsque le serveur DNS reçoit une requête DNS, il consulte sa mémoire cache DNS. Il
essaie ensuite de trouver le serveur DNS qui fait autorité pour le domaine demandé. S’il
n’a pas l’adresse IP du serveur DNS faisant autorité pour ce domaine et qu’il est
configuré avec les adresses IP des indications de racine, le serveur DNS interroge un
serveur racine sur le domaine situé à gauche du domaine racine de la requête. Le
serveur racine DNS renvoie alors l’adresse IP du domaine à gauche du domaine racine
et le serveur DNS continue de parcourir le nom de domaine pleinement qualifié jusqu’à
ce qu’il trouve le domaine qui fait autorité.
Le redirecteur vous permettra de gérer la résolution des noms situés hors de votre
réseau, c’est à dire principalement sur Internet.
Infos.
DNS
=============================================================================
Ajout d’un redirecteur par défaut 1. Ouvrez le Gestionnaire de serveur (SRV2012X). 2. cliquez sur
Outils > DNS afin d’ouvrir la console DNS. 3. Si nécessaire développer la console DNS afin d’avoir une
vue complète (Menu Affichage, puis Affichage détaillé). 4. Bouton droit sur le serveur DNS puis
sélectionner Propriétés. 5. Sélectionner l’onglet Redirecteurs 6. Clicher sur le bouton Modifier. 7. Sur la
ligne Adresse IP, taper l’@IP du serveur DNS que vous désirez rediriger : mettre 8.8.8.8 ( @IP du serveur
DNS de Google.com), puis Entrer. 8. Clicher sur Ok et fermer toute les boites de dialogue.
La sélection de la case à cocher Utiliser les indications de racine si aucun redirecteur n’est
disponible permet d’utiliser les serveurs DNS racine, lorsqu’aucun redirecteur ne répond.
=============================================================================
CENTRE DE FORMATION GEFI
Redirection conditionnelle
Lorsque plusieurs serveurs sont configurés pour héberger une zone, les
transferts de zone sont nécessaires pour dupliquer et synchroniser les données
de zone parmi tous ces serveurs.
Transfert de zone
Quelle que soit la méthode de transfert de zone utilisée (AXFR ou IXFR) , la première
chose réalisée par le serveur DNS consiste à vérifier s’il est nécessaire d’effectuer ou
non un transfert de zone. Ce contrôle est réalisé en fonction de la valeur de l’intervalle
d’actualisation sur l’enregistrement de ressource de type SOA (Start of Authority) dont
la valeur par défaut est fixée à 15 minutes. Pour pouvoir déterminer s’il est nécessaire
ou non d’initier un transfert de zone, le serveur DNS secondaire pour la zone
considérée vérifie la valeur du numéro de série, à partir de l’enregistrement de
ressource SOA. Dans le cas où les deux versions sont identiques, alors aucun transfert
n’est effectué. Si, par contre, le numéro de série de la zone est plus élevé sur le serveur
maître que sur le serveur secondaire, alors un transfert est réalisé. Si le serveur maître
dispose d’un historique des changements incrémentiels, alors le protocole IXFR sera
négocié. Évidemment, le processus de transfert incrémentiel défini dans le RFC 1995
génère un trafic réseau beaucoup moins élevé. Un autre avantage concerne la rapidité
de l’opération de réplication puisque seules les modifications transitent entre les deux
partenaires.
Remarque : attention on parle ici du Serveur de cache et pas du cache local à la machine pour les
résolutions DNS
=============================================================================
TP à réaliser.
=============================================================================
Créer un CNAME pour votre machine (Nom raccourci). 1. Dans l'arborescence de la console
DNS, développez SRV2012X, développez Zones de recherche directes, Gefix.local, bouton droit,
Nouvel alias (CNAME). 2. Dans Nom de l’alias mettre : Ordix (ou x représente votre N° d’adresse IP). 3.
Dans Nom de domaine complet (FQDN) mettre : SRV2012X.Gefix.local. 4. Cliquez sur OK, et vérifier
que votre CNAME apparaît. 5. Faire depuis une invite de commande un Ping sur ce CNAME, vérifier que
cela fonctionne ? :
C:\> Ping
Ordix.Gefix.local
Après avoir ajouté des enregistrements de ressource, vous pouvez vérifier que ces
derniers sont corrects à l’aide de Nslookup.
TP à réaliser.
=============================================================================
Examen des enregistrements de ressource à l'aide de Nslookup 1. À l'invite, tapez C:\> nslookup
et appuyez sur ENTRÉE. 2. Pour définir un serveur comme serveur par défaut, tapez
SRV2012X.Gefix.local, puis appuyez sur ENTRÉE. 3. Tapez ls –t A Gefix.local et appuyez sur
ENTRÉE. Voyez- vous les différents enregistrements de type A pour la zone DNS Gefix.local ?, est-ce
normale ? :
____________________________________________________________________________________
_______ _______________________________________________________________________ 4.
Tapez ls –t CNAME Gefix.local et appuyez sur E NTRÉE.
5. Tapez set type=NS et appuyez sur ENTRÉE. 6. Tapez Gefix.local et appuyez sur ENTRÉE. 7.
Tapez set type=SOA et appuyez sur ENTRÉE. 8. Tapez Gefix.local et appuyez sur ENTRÉE. 9.
Tapez SRV2012X et appuyez sur ENTRÉE. Test la résolution de nom de la zone de recherches
directe 10. Tapez 192.168.x.1 et appuyez sur ENTRÉE. Test la résolution de nom de la zone de
recherches inversée
TP à réaliser.
Commande DNSCmd
============================================================================= 1.
Ouvrir une invite de commande sur SRV2012X et saisir :
C:\>dnscmd /enumzones (visualiser les zones DNS) C:\>dnscmd SRV2012X /recordadd Gefix.local
totox A 192.168.x.200 (ajouter un enregistrement de type A), visualiser graphiquement que celui-ci
existe. C:\>dnscmd SRV2012X /recorddelete Gefix.local totox A 192.168.x.200 /f (supprimer un
enregistrement de type A), visualiser graphiquement que celui-ci existe. C:\> dnscmd SRV2012X
/statistics >c:\stat.txt (visualiser le contenu du fichier stat.txt) C:\> dnscmd SRV2012X /config
/scavengingInterval 17 (délai nettoyage : Onglet Avancé, Propriétés du Serveur DNS). dnscmd
C:\> DE
CENTRE FORMATION GEFI
/info (liste les différentes infos sur la config du serveur DNS)
51
=============================================================================
Domaine AD-DS
Un domaine AD DS (Active Directory® Domain Services) représente un environnement réseau com
d’un ensemble d’ordinateurs, où, au moins un ordinateur est configuré en contrôleur de domaine (DC
La base de données AD DS contient des informations sur l’identité des utilisateurs, ordinateurs, gro
Les contrôleurs de domaine AD DS permettent également d’authentifier les comptes utilisateurs, ordi
domaine AD DS. AD DS est le premier moyen par lequel vous pouvez configurer et administrer des co
dans votre réseau d’entreprise (via GPO).
_ Un nom de domaine (ex : Gefix.local => structure de nom DNS). Vous devez connaître le nom
auquel vous voulez intégrer l'ordinateur.
_ Un compte d'ordinateur (gérer, administrer le poste client au niveau du domaine). Avant de
un ordinateur doit disposer d'un compte dans le domaine. Un administrateur de domaine peut créer le
de l'ordinateur ou vous pouvez créer le compte pendant l'installation si vous disposez des privilèges ap
pendant l'installation, le programme d'installation vous demande de spécifier le nom et le
mot de passe d'un compte d'utilisateur qui dispose des droits nécessaires pour ajouter des comptes d'
_ Un serveur DNS (Domain Name System), soit un contrôleur de domaine (DC)
disponible et un serveur exécutant le service Serveur DNS. Au moins un contrôleur de
domaine du domaine auquel vous intégrez un ordinateur et un serveur DNS doit être en
ligne quand vous installez l'ordinateur dans le domaine. AD-DS s’appuie sur le service
DNS pour fonctionner.
_ Un compte utilisateur valide sur le domaine (login : ouvrir une
session).
Les utilisateurs n’ont besoin que d’un seul compte d’utilisateur de domaine dans
Active Directory pour accéder aux ressources réseau partagées du domaine.
Chaque fois qu'un ordinateur ou un compte d'utilisateur est créé dans un domaine ou
sur un ordinateur local, un identificateur de sécurité (SID, Security IDentifier) u nique
lui est attribué. Il est possible qu'un utilisateur dispose d'un compte d'utilisateur local et
d'un compte d'utilisateur de domaine ayant les mêmes noms d'utilisateur et mots de
passe. Cependant, étant donné qu'un identificateur de sécurité est créé pour chaque
compte, les identificateurs de sécurité des deux comptes seront différents.
Contrôleur du domaine
Le contrôleur du domaine (DC) n'est là que pour faire la gestion du réseau. C'est lui
qui possède chaque compte utilisateur, leur environnement de travail, leurs
privilèges. C'est lui également qui s'occupera de la gestion générale du réseau entier
à l'aide de ses différents outils (audit, gestion des imprimantes). Et c'est lui qui
centralisera toute la sécurité des différents serveurs et stations de travail. Ce serveur
n'est pas utilisé pour garder les programmes réseaux ni les différents fichiers sur son
disque dur.
*** Chaque domaine et chaque ordinateur du domaine porte un nom
unique***.
Active directory
Active Directory est avant toute chose un annuaire distribué, permet aux
utilisateurs d’y accéder quel que soit leur emplacement ou même celui des
ressources Le concept même d’annuaire avait été formalisé par une norme, X.500,
qui définit précisément la façon d’accéder à un service d’annuaire. Le protocole
ceux qui existent sous Windows 2003. Un serveur Win
Trois rôles suivants : contrôleur de domaine (DC), se
autonome.
ACTIVE DIRECTORY (AD DS)
Sous Windows 2012 Server, les types de rôles de serveur diffèrent légèrement de
Les domaines Windows 2000/2003/2008/2012 sont basés sur un modèle à
maîtres multiples, dans lequel tous les contrôleurs de domaine sont
mutuellement équivalents.
• les domaines;
• les unités d’organisation (OU);
• les arborescences (arbres) ;
• les forêts;
• le catalogue global (GC) ;
• le schéma ;
• les sites ;
• Partitions de l’annuaire.
Domaines
Le domaine Active Directory est donc un élément qu’il conviendra de créer à bon
escient et, par conséquent, il faudra toujours être capable d’en justifier la création en
se rapportant aux thèmes ou fonctions spécifiées ci-dessous :
• Un domaine est un container au sein de la
forêt.
• Un domaine est une unité de réplication.
59
0
ACTIVE DIRECTORY (AD DS)
Appliquer des GPO : La grande utilité de mettre en place des domaines, est la
gestion centralisée à partir du serveur des comptes d'utilisateurs et des comptes
d'ordinateurs de tous les membres de l'entreprise. Ainsi au lieu de passer sur les
10000 machines par exemple pour installer le SP2 de Windows 2003 et bien vous
allez pouvoir le déployer à l'aide d'une stratégie de groupe (GPO : Group Policy Object)
Structurer : En effet comme indiqué un peu plus haut, grâce au domaine, vous
allez pouvoir structurer votre réseau en créant plusieurs domaines, regroupant chacun
plusieurs sites afin de classer vos objets. Il faut savoir qu'un domaine peut prendre en
charge plusieurs millions d'objets...
Arborescences
Par définition, un arbre Active Directory est un espace de noms DNS parfaitement
61
2
ACTIVE DIRECTORY (AD DS)
Forêts
Une f orêt c omprend une ou plusieurs arborescences. Le premier domaine créé dans
la forêt est le domaine racine. De ce domaine dépendent l’administration de la forêt et
l’ajout de nouveaux domaines. Les arborescences de domaine à l’intérieur
d’une forêt ne forment pas obligatoirement un espace de noms contigu. En
revanche, les arborescences d’une forêt partagent un schéma et un catalogue
global commun.
Sites Il est important de comprendre qu’il n’y a pas de relation entre les domaines
Active
Directory et les sites Active Directory. Donc un site Active Directory peut contenir
plusieurs Domaines, et alternativement un simple domaine Active Directory peut
contenir plusieurs sites. Pour améliorer l'efficacité de la réplication, Active Directory
s'appuie sur des sites.
63
4
Les objets
La majorité des objets de la base Active Directory peuvent être gérés par la
console "Utilisateurs et Ordinateurs Active Directory"
Les partitions Active Directory tous les attributs et toutes les classes d'objet
(définitions d’objets) pour toute la forêt. Seul un co
La base Active Directory est découpée en plusieurs parties
maîtreappelées "Partition
de schéma) dans toute la forêt aura un a
Active Directory" ou "partition d'annuaire". schéma AD. La réplication permettra de mettre à j
contrôleurs. Partition de domaine: Contient
(utilisateurs, groupes
ordinateurs, etc...). Partition d'application (ex:
données DNS, si celles-
ci sont intégrées à AD).
Le transfert d'un rôle FSMO est réalisable (selon le rôle à transférer) à partir des
consoles suivantes:
=================================================================================================
Le catalogue global
Le catalogue global aussi appelé PAS (Partial Attribut Set) est une partie de la
base AD permettant de faciliter la recherche d'objets, fournit une
authentification des noms
d’utilisateurs principaux (UPN). Cette partie
de l’AD contient:
Utilisation
Tous les contrôleurs de domaine de la même forêt ont au moins des
deuxsystèmes
partitionsWindows 2003/2008/20
d’annuaire en commun : celles du schéma et de la contrôleurs. .L'outil
configuration netdom
De plus, est disponible (créer
tous les
joindre aucommune.
contrôleurs de domaine partagent une partition de domaine domaine,
renommer, déplacer, etc...) La redirection des co
Les niveaux fonctionnels du domaine et de la forêt est possible Déploiement d'un RO
et "computers"
Windows 2003 de la forêt) Changement du nom
Un niveau fonctionnel est une configuration qui active une ou plusieurs
fonctionnel Windowsfonctionnalités
2003 de la forêt) Approbati
pour un domaine ou pour la forêt (tous les domaines). Pour qu'un certain niveau
fonctionnel Windows 2003 de la forêt) erreur
(restauration de l'objet et de tous ses
Niveau fonctionnel Windows 2008: (2008, 2008R2, 2012, 2012R2)
attributs)
Utilisation de Windows 2008 et plus pour les contrôleurs de domaines
Activation de la réplication DFS pour le dossier SYSVOL Protocole AES
(Advanced Encryption Service) 128 et 256 bits pour l'authentification
Kerberos. Stratégie des mots de passe affinée
Pas de nouvelle fonctionnalité au niveau de la forêt CENTRE DE FORMATION GEFI
69
Niveau fonctionnel Windows 2008 R2: (2008R2, 0
2012, 2012R2)
ACTIVE DIRECTORY (AD DS)
Ajout de l'utilisation de la corbeille AD pour restaurer des objets supprimés par
TP à réaliser.
==================================================================
Indiquez sur le dessin ci-dessous le DN pour l’utilisateur Jane
==================================================================
Le nom UPN est utilisé uniquement pour exprimer un objet "utilisateur". Ce nom UPN
peut être utilisé lors d'une authentification, ou lors de la création d'un compte
utilisateur. Il est composé du nom de l'utilisateur, du séparateur "@" et du suffixe
DNS. Le nom UPN a le même format qu'une adresse de messagerie. Exemple, si
dans le domaine "gefix.local", il y a le compte utilisateur "jack". Le nom UPN de
"jack" sera: jack@gefix.local
Les noms SAM sont utilisés pour assurer la compatibilité avec les systèmes et
logiciels anciens, et expriment les objets utilisateur lors d'une authentification. Le
format est: Nom-domain\nom-utilisateur (nom NetBIOS du domaine) Exemple:
Si le compte utilisateur "jack" est dans le domaine dont le nom NetBIOS est
"gefi", Le nom SAM de "jack" sera: gefi\jack
Les informations fournies par l'utilisateur doivent être vérifiées dans la base d'annuaire
avant de valider l'authentification. Des protocoles d'authentification sont utilisés entre
les processus qui participent à l'authentification. Plusieurs protocoles d'authentification
sont gérés par les systèmes Windows:
LM (LAN Manager): Protocole d'authentification non sécurisé qui existe toujours
sur
les systèmes récents pour assurer une certaine compatibilité. Les stratégies de
groupe peuvent restreindre son utilisation. NTLM et NTLMv2 : Protocole
d'authentification sécurisé, utilisé pour les
authentifications locales (groupe de travail), ainsi que dans le domaine AD si
nécessaire. Kerberos: Protocole d'authentification standard qui est très
sécurisé, et, est utilisé par
défaut dans le domaine Active
Directory
Le protocole Kerberos :
Est plus sûr et plus rapide que NTLM. Aucun mot de passe (en clair ou
chiffré) ne circule sur le réseau (sauf cas rare). Permet une authentification
mutuelle (le client et le serveur sont authentifiés). Permet l’intégrité et la
confidentialité des données d'authentification. Les messages sont cryptés.
Les messages ont une durée de vie limitée, ce qui nécessite une
synchronisation des horloges des ordinateurs du réseau. S’appuie sur des
services d’authentification de confiance et centralisés (KDC :
Key Distribution Center) sur les DC dans AD.
Protégé contre la relecture (anti rejeu).
Fonctionnement général de Kerberos
TP à réaliser.
Jonction du poste client CL2012x au domaine Active Dire
=========================================
= 1. Sur CL2012x, o uvrez une session (CTRL Droite + SUPPR)
de passe : P
Les différents échanges au niveau du système Kerberos les 2. Lancer l’Explorateur de Windows : WIN +
a$$w0rd
sont
bouton droit sur votre ordinateur : Ce PC, puis Propriétés, puis P
suivants :
Nom de l’ordinateur, puis Modifier : 4. Cliquer sur "Autres" pou
Le poste client envoie une requête cet ordinateur, mettre auprès
d’authentification : "Gefix.local
de son ", puis. OK. 5. Renseigner le n
6. Une fenêtre d'authentification apparaît, s'authentifier avec le co
serveur
"Pa$$w0rd". 7. Redémarrer l’ordinateur après le message de bie
Kerberos (un contrôleur de domaine) Le serveur
de session) Kerberos
8. Vérifierenvoie un message
sur SRV2012x (le contrôleur) que le nom d
confirmant l’authentification (TGT). apparaît
Le client utilise
bien en tantdes informations
qu'objet ordinateurdu dans la console "Utilisat
message reçu pour envoyer des requêtes à l'intérieur de l'objet " C omputers ".
=================================================================================================
21. Basculer sur la machine SRV2012x, puis ouvrez une session en tant que :
Nom utilisateur : Gefix\bob (client du Domaine) Mot de passe : Pa$$w0rd Que se
passe-t-il (pourquoi ?)___________________________________________________
22. Fermer la session, puis ouvrez une session en tant que :
Nom utilisateur : Gefix\Administrateur (client du Domaine) Mot de passe : Pa$$w0rd
=================================================================================================
Les outils d’administration Active Directory sont des composants logiciels enfichables de
la console MMC (Microsoft Management Console). Les principaux outils de gestion sont
les suivants : Utilisateurs et ordinateurs Active Directory Pour gérer lesDE FORMATION GEFI
CENTRE
utilisateurs, groupes, ordinateurs et unités d’organisation. Domaines et 77
approbations Active Directory Pour exploiter 8 les domaines, les arborescences de
domaines et les forêts de domaines. SitesATION
et services Active Directory Pour gérer
les sites et les sous-réseaux.
TP à réaliser.
Installer les Outils d'administration sur CL2012x. Sur Windows Serveur 2012 les outils
d’administration à distance est une fonctionnalité du système, pas besoin de télécharger un
fichier depuis le site Microsoft.
================================================================================================= 1.
Ouvrez une session en local sur CL2012x :
Nom CL2012x\administrateur (SAM locale) Mot de passe : Pa$$w0rd 2. Installer les Outils
d'administrateur des serveurs distants (si ce n'est pas déjà fait). Gestionnaire de
serveurs--Gérer---Ajouter des rôles---avancer les étapes jusqu'à "f onctionnalités"---développer "O
utils
d'administration de serveurs distants"---"O utils d'administration de rôles"---cocher "Outils AD DS").
Continuer les étapes pour "Installer" et "Terminer".
=================================================================================================
TP à réaliser.
Travaux pratiques
Créer une unité organisationnelle (OU) nommée "STUDENT" Déléguer le contrôle de cette OU
à un utilisateur ou à un groupe (ici, ce sera le groupe "Utilisateurs authentifiés"). Vérifier
l'ACL sur cette OU en passant par ses propriétés Créer une OU à l'invite de commande
================================================================================================= 1.
Sur CL2012x, ouvrez une session en local
Nom : "CL2012x\Administrateur" (c'est peut-être déjà fait). Mot de passe : Pa$$w0rd 2. Lancer la
console "Utilisateurs et Ordinateurs Active Directory" en tant qu’administrateur du domaine Gefix
(bouton Démarrer, Outils d’administration, bouton droit sur Utilisateurs et ordinateurs Active
Directory, puis Epingler à l’écran d’accueil, faire de nouveau bouton droit sur Utilisateurs et
ordinateurs Active Directory puis Envoyer vers le bureau, puis sur le bureau faire Shift + bouton droit
sur Utilisateurs et ordinateurs Active Directory, puis Exécuter en tant que autre utilisateur, dans le
nom mettre : Gefix\Administrateur, dans mot de passe mettre : Pa$$w0rd, et OK) 3. Faire un clic droit
sur l'icône de votre domaine Gefix, et, sélectionnez "Unité organisationnelle". 4. Saisir le nom
"STUDENT", puis OK. 5. Clic droit sur cette OU STUDENT, sélectionner "Délégation de contrôle",
avancer d'une étape pour pouvoir cliquer sur "Ajouter". 6. Passer par "Avancé" pour faire une recherche
d'objets. Sélectionner "Utilisateurs authentifiés" dans les résultats de la recherche. OK, puis OK. 7.
Passer aux étapes suivantes pour pouvoir cocher "Créer une tâche personnalisée à déléguer" 8.
Passer aux étapes suivantes pour pouvoir cocher "Contrôle total", puis Terminer. 9. Ouvrez les
propriétés de l'OU "STUDENT", sélectionner l'onglet "Sécurité" (Si l'onglet "S écurité" n 'apparait pas,
cocher "F onctionnalités avancées" dans le menu "A ffichage)" . 1
0. Vérifier que l'objet "Utilisateurs
authentifiés" est bien dans l’ACL’, et que, les autorisations "Contrôle total" sont bien associées à cet
objet. 11. Lancer l'invite de commandes en tant qu’administrateur du domaine Gefix et, exécuter la
commande suivante (adapter selon le nom de votre domaine):
C:\> runas /user:Gefix\administrateur cmd.exe, puis Entrée, mettre le mot de passe : Pa$$w0rd. C:\>
dsadd ou OU=STUDENTBIS,DC=Gefix,DC=local 12. Vérifier dans la console "Utilisateurs et
Ordinateurs Active directory" que cette nouvelle OU existe bien (Actualiser l'affichage avec la touche
F5).
=================================================================================================
================================================================================================= 1.
Ouvrir une session sur CL2012x :
Nom : CL2012x\Administrateur (SAM locale) Mot de passe : Pa$$w0rd 2. A partir de la console
"Gestion de l'ordinateur", consulter la liste des comptes utilisateurs existants par défaut (noter la
liste ci-dessous):
___________________________________________________________
____
3. A partir de la console "Gestion de l'ordinateur", créer deux comptes dans la SAM locale et
pas sur le Domaine avec les caractéristiques suivantes: Compte 1: