ASE 2021/2022

Administration serveurs – Théorie

Remote Desktop Service

Sous Windows Server, il est possible de publier des applications qui pourront être utilisées
par des ordinateurs clients. Ce système est appelé "Remote Desktop Service ». Cette
solution permet de faire tourner des applications lourdes sur le serveur et de les utiliser sur
l'ordinateur client. Les applications ou bureaux tournent donc sur le serveur (l'application
utilise le processeur, la mémoire vive, ... du serveur) et le client ne reçoit en réalité que
l’affichage.

Accès Web des services Bureau à distance (Remote Desktop Web Access) :
Permet aux utilisateurs d'accéder à des applications à distance et à des sessions bureau à
distance via un réseau privé ou internet.

Passerelle Bureau à distance (Remote Desktop Gateway) :

Permet de créer un tunnel RDP via HTTPS pour permettre aux utilisateurs hors du réseau
corporate d'accéder aux ressources.

Gestionnaire de licences des services Bureau à distance (Remote Desktop Licensing) :

Lors de l'installation des RDS, une période de grâce de 120 jours est attribuée. Pour
poursuivre au-delà, un gestionnaire de licences doit-être installé et les licences RDS doivent
y être renseignées.

Service Broker pour les connexions Bureau à distance (Remote Desktop Connection Broker) :
Permet de maintenir les connections avec les hôtes RDS, il est le garant du SSO (Single Sign
On). Il répartit la charge entre les serveurs RDS et permet de se reconnecter à une session
existante.

Serveur hôte de virtualisation des services bureau à distance (Remote Desktop Virtualization
Host) :
Permet sur les hôtes Hyper-V de fournir des machines virtuelles en utilisant RemoteApp ou
les connexions Remote Desktop.

Serveur hôte de session Bureau à distance (Remote Desktop Session Host) :

Permet d'héberger des programmes Windows ou des Bureaux Windows pour les clients
RDS.
Les utilisateurs peuvent s'y connecter, exécuter des programmes, sauvegarder des fichiers.
Ce composant joue un rôle clé dans la mise en place d'une infrastructure VDI.

1|P age
ASE 2021/2022

Certificat

Un certificat électronique peut être vu comme une carte d'identité numérique. Il est utilisé
principalement pour identifier et authentifier une personne physique ou morale, mais aussi
pour chiffrer des échanges.

En cryptographie, l'autorité de certification a pour mission, après vérification de l'identité du

demandeur du certificat par une autorité d'enregistrement, de signer, émettre et maintenir:
- les certificats (CSR : Certificate Signing Request)
- les listes de révocation (CRL : Certificate Revocation List)

La liste de révocation est consultée par le client pour vérifier si le certificat n’a pas été
révoqué.

2|P age
ASE 2021/2022

Il est possible de créer sa propre autorité de certification sur son serveur Windows. Si vous
êtes dans un domaine AD, l’autorité sera intégrée automatiquement avec vos serveurs et
postes de travail.

Attention, quand vous utilisez des certificats émis par votre propre autorité de certification
interne, les personnes externes doivent avoir votre certificat racine dans leur liste d’autorité
de certification, sinon le certificat ne sera pas valide.

Il existe deux types de clés : symétrique et asymétrique

Une clé symétrique est une clé partagée entre les deux parties (Pre-Shared Key). La donnée
est cryptée par cette clé et elle est décryptée par cette même clé.

Une clé asymétrique est composée de deux parties : la clé privée et la clé publique. Toute
donnée cryptée avec la clé publique ne peut être décryptée que par la clé privée.

3|P age
ASE 2021/2022

Active Directory

Active Directory est un annuaire d'entreprise. Dans la conception d'Active Directory,

Microsoft a tenté d'être le plus proche possible de la structure d'une entreprise. La structure
d'une entreprise se compose en deux parties distinctes : physique et logique. Physique par
son organisation géographique en différents sites et logique par sa hiérarchie. Il est
important de garder cela à l'esprit.

Active Directory permet de représenter et de stocker les éléments constitutifs du réseau (les
ressources informatiques mais également les utilisateurs) sous formes d'objets, c'est-à-dire
un ensemble d'attributs représentant un élément concret. Les objets sont organisés
hiérarchiquement selon un schéma (lui-même stocké dans l'annuaire) définissant les
attributs et l'organisation des objets.

Le service d'annuaire Active Directory permet de mettre ces informations à disposition des
utilisateurs, des administrateurs et des applications selon les droits d'accès qui leur sont
accordés.

Les objets d'Active Directory (Utilisateurs, Groupes, Ordinateurs, etc.) correspondent à des
classes, c'est-à-dire des catégories d'objets possédant les mêmes attributs. Ainsi un objet est
une « instanciation » d'une classe d'objet, c'est-à-dire un ensemble d'attributs avec des
valeurs particulières.

Lorsqu'un objet contient d'autres objets, on le qualifie de conteneur. Les conteneurs

permettent de regrouper les objets dans une optique d'organisation.

Sites Active Directory :

Un site désigne la combinaison d'un ou plusieurs sous-réseaux IP. Bien souvent, on attribue
un sous-réseau IP à un site physique d'une entreprise. Cela permet de distinguer les postes
sur le réseau de l'entreprise. En créant des sites Active Directory, les ordinateurs sauront
qu'ils font partie de tel ou tel site. Cela est très important dans une configuration multi sites
du même domaine Active Directory. Si un contrôleur de domaine fait partie du site A et
qu'un ordinateur du site A a besoin d'un accès à Active Directory, alors il n'aura pas besoin
de contacter le site B. Il ira directement voir le serveur du site A. Si le serveur du site A est
en panne alors il pourra aller voir le serveur du site B en utilisant des liens WAN.

Arbres et forêt :
Une arborescence est une notion qui découle du système DNS et des domaines Active
Directory.

La notion d'arbre est étroitement liée à la notion de domaine, permettant de circonscrire

des ressources informatiques dans un même périmètre de sécurité. Un domaine est ainsi
constitué d'un ensemble défini d'éléments et possède une politique de sécurité (contrôles
d'accès) qui lui est propre. Deux domaines (ou plus) possédant le même schéma peuvent
établir entre eux des relations d'approbation (relations de confiance) bidirectionnelles et
transitives basées sur le protocole Kerberos. L'ensemble des domaines reliés entre eux
hiérarchiquement par des relations d'approbation constituent un arbre de domaines

4|P age
ASE 2021/2022

(appelé arbre). Le domaine situé au sommet de la hiérarchie est appelé « domaine racine »
et les domaines situés en dessous sont des sous-domaines.

Les domaines d'un même arbre partagent nécessairement le même espace de nom.
Active Directory est un produit en évolution depuis sa création. Afin de conserver des
niveaux de compatibilité entre les différentes versions de Windows et des produits
s'implantant dans Active Directory (Exchange, MOM, SCCM, etc.), il a été introduit la notion
de niveau de forêt et de domaine. Il existe actuellement plusieurs niveaux de forêt et de
domaine : Windows 2000 mixte, Windows 2000 natif, Windows 2003, Windows 2003 R2,
Windows 2008, Windows 2008 R2, Windows 2012, Windows 2012 R2 et Windows 2016.

Pour augmenter le niveau fonctionnel d'une forêt, il faut que tous les domaines soient au
minimum de ce niveau fonctionnel. Un niveau fonctionnel impose que tous les contrôleurs
de domaine soient capables de gérer ce niveau fonctionnel. Par exemple, pour avoir un
niveau fonctionnel Windows 2008, il faut que tous les contrôleurs de domaine soient en
Windows 2008. Il est possible d'avoir des contrôleurs de domaine de version supérieure
dans un domaine de niveau inférieur.

On appelle « forêt » le regroupement (par relations d'approbation) de plusieurs arbres

possédants le même schéma mais ne possédant pas nécessairement le même espace de
nom, afin par exemple de joindre les annuaires de deux entreprises.

Rôles FSMO :
Lorsque l’on met en place un environnement Active Directory, il y a de très fortes chances
(car c’est conseillé) que l’on ait plusieurs contrôleurs de domaine. De ce fait, tous les
contrôleurs de domaine « normaux » disposent d’un accès en écriture sur l’annuaire.

Cependant, certaines tâches sont plus sensibles que d’autres, et il serait dangereux
d’autoriser la modification de certaines données sur deux contrôleurs de domaine
différents, en même temps. De ce fait et pour minimiser les risques de conflits, Microsoft a
décidé d’implémenter les rôles FSMO qui permettent de limiter la modification de certaines
données internes à l’annuaire Active Directory.

Au sein d’un environnement, on attribuera la notion de « rôle FSMO » à « maître

d’opération ». En fait, le maitre d’opération est le contrôleur de domaine qui détient un ou
plusieurs rôles FSMO. Détenir un rôle signifie pour un contrôleur de domaine qu’il est
capable de « réaliser une action particulière au sein de l’annuaire ».

Il est à noter qu’il ne peut pas y avoir plusieurs maîtres d’opérations pour le même rôle
FSMO, au sein d’un domaine ou d’une forêt (selon le rôle concerné).

Domain Naming Master : Le maître d’opération qui détient ce rôle est unique au sein
de la forêt, et il est le seul autorisé à distribuer des noms de domaine aux contrôleurs
de domaine, lors de la création d’un nouveau domaine.

De ce fait, il est notamment utilisé lors de la création d’un nouveau domaine. Le

contrôleur de domaine à l’initiative de la création doit impérativement être en

5|P age
ASE 2021/2022

mesure de contacter le contrôleur de domaine disposant du rôle FSMO « Maître

d’attribution des noms de domaine » sinon la procédure échouera.

Schema Master : Pour rappel, le schéma désigne la structure de l’annuaire Active

Directory, le schéma est donc un élément critique au sein de l’environnement Active
Directory. Cela implique l’unicité au sein de la forêt de ce maître d’opération, qui
sera le seul – contrôleur de domaine – à pouvoir initier des changements au niveau
de la structure de l’annuaire (schéma).

En fait, comme le schéma est unique, son gestionnaire est unique également.

RID Master : Le RID est un identifiant relatif qui est unique au sein de chaque SID,
afin d’être sûr d’avoir un SID unique pour chaque objet de l’annuaire. Le SID étant
constitué d’une partie commune qui correspond au domaine, le RID est essentiel
pour rendre unique chaque SID. C’est là que le maître RID intervient…

Unique au sein d’un domaine, ce maître d’opération devra allouer des blocs
d’identificateurs relatifs à chaque contrôleur de domaine du domaine. Ainsi, chaque
contrôleur de domaine aura un bloc (pool) de RID unique qu’il pourra attribuer aux
futurs objets créés dans l’annuaire.

Infrastructure Master : le contrôleur de domaine qui dispose du rôle de Maître

d’infrastructure a pour objectif de gérer les références entre plusieurs objets.

Prenons un exemple pour mieux comprendre ce que cela signifie. Imaginons qu’un
utilisateur d’un domaine A soit ajouté au sein d’un groupe du domaine B. Le
contrôleur de domaine « Maître d’infrastructure » deviendra responsable de cette
référence et devra s’assurer de la réplication de cette information sur tous les
contrôleurs de domaine du domaine.

PDC Emulator : L’émulateur PDC (Primary Domain Controller) est unique au sein d’un
domaine et se doit d’assurer cinq missions principales :
- Modification des stratégies de groupe du domaine (éviter les conflits et les
écrasements) - Synchroniser les horloges sur tous les contrôleurs de domaine
(heure et date)
- Gérer le verrouillage des comptes
- Changer les mots de passe
- Assurer la compatibilité avec les contrôleurs de domaine Windows NT

Trust :
Une relation d’approbation est un lien de confiance (Trust Relationship) établie entre deux
domaines Active Directory, voir même entre deux forêts Active Directory. Ces relations
permettront de faciliter l’accès aux ressources entre les domaines concernés, ce qui permet
de mutualiser les accès bien que les domaines disposent d’une base de données Active
Directory différente.

6|P age
ASE 2021/2022

Les relations d’approbations peuvent s’avérer utiles et sont utilisées dans plusieurs cas de
figure :
- Une entreprise dispose de plusieurs filiales avec des noms différents, donc des
domaines différents, elle pourra créer des relations de confiance entre ses domaines.

- Une multinationale, qui scindera son infrastructure en plusieurs domaines, on peut

imaginer un par zone géographique (Europe, Asie, Amérique, etc), il faudra là aussi
créer des relations de confiance pour faciliter l’accès aux ressources.

- La fusion de deux entreprises existantes, qui utilisent à la base chacune leur

domaine. La relation d’approbation permettra de faciliter la fusion au niveau du
système d’information (avant une éventuelle restructuration complète)

Dans le cadre d’une relation d’approbation, la direction peut être unidirectionnelle c’est-à-
dire uniquement dans un sens, ou bidirectionnelle c’est-à-dire dans les deux sens.
Une relation d’approbation unidirectionnelle signifie qu’un domaine A approuve un
domaine B, sans que l’inverse soit appliqué. De ce fait, un utilisateur du domaine B pourra
accéder aux ressources du domaine A, alors que l’inverse ne sera pas possible !

Pour que cela soit possible, il faut que la relation d’approbation soit bidirectionnelle pour
que les deux domaines s’approuvent mutuellement. Un utilisateur du domaine A pourra
alors accéder aux ressources du domaine B, et inversement.

Les approbations prédéfinies sont des relations d’approbations créées automatiquement

lorsque l’on étend une forêt ou un domaine. J’entends par là le fait d’ajouter un domaine
enfant à un domaine existant, par exemple.

Si l’on dispose d’un domaine « domain.local » et que l’on ajoute le domaine enfant «
liege.domain.local», il y aura automatiquement une relation de confiance entre ces deux
domaines. Une relation d’approbation transitive et bidirectionnelle sera créée entre ces
deux domaines. On parlera d’approbation « parent/enfant ».

Les utilisateurs :
Chaque utilisateur dans Active Directory est associé à un objet. Cet objet contient plusieurs
attributs qui décrivent l'utilisateur (nom, prénoms, login, adresse e-mail, téléphone,
département, etc.). Ces attributs peuvent permettre de trouver des utilisateurs dans votre
domaine. Ils peuvent par exemple être utilisés dans Exchange pour constituer des listes
dynamiques de distribution d'emails. Ces utilisateurs peuvent se voir attribuer des
autorisations sur d'autres objets de votre Active Directory.

Les groupes :
Il existe deux types de groupes. Le premier et le plus courant est le groupe de sécurité. Ce
type permet de gérer la sécurité pour l'accès et l'utilisation des ressources de votre réseau.
Le deuxième type est le groupe de distribution. Ce type permet simplement de gérer des
listes de distribution d'emails dans un serveur de messagerie.

7|P age
ASE 2021/2022

Pour ces groupes, il existe trois étendues :

• Domaine local : vous pourrez y ajouter des comptes de n'importe quel domaine
et/ou des groupes "Domaine local" du même domaine et/ou des groupes
universels/globaux de n'importe quel domaine. Les autorisations portent
uniquement sur le domaine auquel le groupe appartient.

• Globale : vous pourrez y ajouter des comptes du domaine d'appartenance et/ou

des groupes globaux du domaine d'appartenance. Les autorisations peuvent être
accordées dans n'importe quel domaine.

• Universelle : vous pourrez y ajouter des comptes de n'importe quel domaine et/ou
des groupes globaux et universels de n'importe quel domaine. Les autorisations pour
cette étendue portent sur tout le contenu de la forêt.

Unité d’organisation (OU) :

Les unités d'organisation sont des conteneurs Active Directory dans lesquels vous pouvez
placer des utilisateurs, des groupes, des ordinateurs et d'autres unités d'organisation. Une
unité d'organisation ne peut pas contenir des objets d'autres domaines.

Une unité d'organisation est l'étendue ou l'unité la plus petite à laquelle vous pouvez
attribuer des paramètres de Stratégie de groupe (GPO) ou déléguer une autorité
administrative. Avec les unités d'organisation, vous pouvez créer des conteneurs à
l'intérieur d'un domaine afin de représenter les structures hiérarchiques et logiques de
votre organisation. Vous pouvez ensuite gérer la configuration et l'utilisation des comptes et
des ressources en fonction de votre modèle d'organisation.

Group policy object (GPO) :

La stratégie de groupe est simplement le moyen le plus facile d’atteindre et de configurer

les paramètres des ordinateurs et des utilisateurs sur des réseaux basés sur les services de
domaine Active Directory.
Une GPO est séparée en deux parties : Utilisateur et Ordinateur.

Pour que l'objet agisse, il faut le lier (link) à un ou plusieurs conteneurs. Les conteneurs en
question peuvent être des objets Site, Domaine, OU. Il est possible de bloquer ou forcer
l’application une GPO. Il est possible de filtrer l’application d’une GPO au travers des droits
ou d’un filtre WMI.

Il est possible de forcer immédiatement le rafraichissement par la commande suivante :

GPUPDATE /FORCE

8|P age
ASE 2021/2022

Exchange

Microsoft Exchange Server est un logiciel de groupe de travail pour serveurs de messagerie
électronique crée par Microsoft. C’est un produit conçu pour la messagerie électronique,
mais aussi pour la gestion d’agenda, des contacts et des tâches, qui assure le stockage des
informations et permet des accès à partir de clients mobiles (Outlook Mobile Access,
Exchange Active Sync) et de clients Web.

Rôles :
CAS : ce rôle va servir aux clients pour accéder à leur compte Exchange. Cela
comprend les accès Outlook, Outlook Web App, Outlook AnyWhere et ActiveSync.
C'est ici que les clients vont se connecter.

Mailbox : ce rôle héberge les boîtes aux lettres de chaque utilisateur, matériel ou
salle de l'organisation Exchange. Il héberge également les carnets d'adresses et
permet la planification de réunions et des ressources associées.

Edge : ce rôle est indépendant d'Active Directory et est généralement placé en DMZ.
Il s'agit d'une passerelle email qui peut accepter les emails provenant d'Internet ou
de serveurs d'organisations externes clairement identifiés. Ce serveur va pouvoir
procéder à un scan antispam et antivirus grâce à Forefront Protection for Exchange.
Les emails entrants ayant passé l'hygiène de messagerie seront routés vers les
serveurs Transport Hub de l'organisation.

Autodiscover : Il est question ici d’un service Web qui a fait son apparition dans la
version d’Exchange 2007, et implémentés par les clients Outlook. Il permet une
découverte automatique des paramètres du serveur Exchange à partir de l’adresse
mail d’un utilisateur (à condition de disposer de son login et son mot de passe). Ici le
client prend le domaine email de l’utilisateur, préfixe Autodiscover et forme ainsi un
domaine sur lequel Autodiscover est hébergé. A titre d’exemple, si l’adresse de
l’utilisateur est user@monentreprise.com, le client interrogera
Autodiscover.monentreprise.com. C’est un service qui est accessible uniquement par
HTTPS

Outlook Web App (OWA) : Il s’agit d’une application Web qui permet d’accéder à son
compte Exchange depuis un simple navigateur. Il est compatible avec la plupart
d’entre eux, et permet d’accéder à la plupart des fonctions d’Outlook installées
physiquement par l’intermédiaire d’un pack Microsoft Office. L’interface est
quasiment identique.

Outlook Anywhere : Outlook Anywhere intègre la technologie RPC over HTTPS et

permet donc une connexion distante du client Outlook avec un serveur Exchange en
utilisant une connexion HTTPS.
L’objectif est de permettre à un utilisateur, même en dehors de l’entreprise, de
pouvoir configurer son profil et se connecter depuis un client Outlook 2007 installé
sur une machine sous Windows.

9|P age
ASE 2021/2022

Il existe plusieurs types de boîte aux lettres :

Boîte aux lettres utilisateur :

Les boîtes aux lettres sont le type de destinataire le plus courant utilisé par les
professionnels de l'information dans une organisation Exchange. Chaque boîte
aux lettres est associée à un compted'utilisateur Active Directory. L'utilisateur peut
se servir de la boîte aux lettres pour envoyer et recevoir des messages, ainsi que
pour stocker des messages, des rendez-vous, des tâches, des notes et des
documents.

Boîte aux lettres partagée :

Une boîte aux lettres partagée est une boîte aux lettres à laquelle plusieurs
utilisateurs ont accès pour lire et envoyer des messages électroniques. Des boîtes
aux lettres partagées peuvent également être utilisées pour disposer d’un
calendrier commun, permettant à plusieurs utilisateurs de planifier et consulter les
temps de travail ou de congés.
Une boîte aux lettres partagée est un type de boîte aux lettres utilisateur qui ne
dispose pas de ses propres noms d’utilisateur et mot de passe. Par conséquent,
les utilisateurs ne peuvent pas s’y connecter directement. Pour accéder à une
boîte aux lettres partagée, les utilisateurs doivent d'abord recevoir les autorisations
Envoyer en tant que ou Accès total à la boîte aux lettres.

Boîte aux lettres d’une salle de réunion :

Une boîte aux lettres de salle est une boîte aux lettres de ressources affectée à un
emplacement physique, comme une salle de conférence, un auditorium ou une salle
de formation. Dès lors qu'un administrateur a créé des boîtes aux lettres de salles,
les utilisateurs peuvent réserver facilement des salles en incluant des boîtes aux
lettres de salles dans les demandes de réunion.

Boîte aux lettres d’un équipement :

Une boîte aux lettres d’équipement est une boîte aux lettres de ressources affectée
à une ressource spécifique autre qu’un emplacement, telle qu’un ordinateur
portable, un projecteur, un microphone ou un véhicule de société. Après qu'un
administrateur a créé une boîte aux lettres d'équipement, les utilisateurs peuvent
facilement réserver un équipement donné en incluant la boîte aux lettres
d'équipement correspondante dans la demande de réunion.

Il existe deux types de groupes de diffusion :

Groupe de distribution :

Deux types de groupes peuvent servir à distribuer des messages :

- Les groupes de distribution universels à extension messagerie (aussi appelés groupes
de distribution) ne peuvent être utilisés que pour distribuer des messages.
- Les groupes de sécurité universels à extension messagerie (aussi appelés groupes de
sécurité) peuvent être utilisés pour distribuer des messages et accorder des
autorisations d’accès aux ressources dans Active Directory.

10 | P a g e
ASE 2021/2022

L’ajout ou la suppression peut se faire soit :

- Par l’administrateur
- L’utilisateur qui est propriétaire de la liste
- L’utilisateur final si les propriétés du groupe le permettent

Groupe de distribution dynamique :

Contrairement aux groupes de distribution qui contiennent un ensemble défini de

membres, la liste des membres de ces groupes de distribution dynamiques est calculée
chaque fois qu’un message leur est envoyé, en fonction des filtres et conditions que vous
avez définis.

DHCP

Ce protocole dont l’acronyme signifie « Dynamic Host Configuration Protocol » permet à un

ordinateur – du réseau – de se connecter de manière dynamique, c’est à dire sans aucune
configuration manuelle de la part du client.

Le serveur DHCP selon sa configuration attribuera un certain nombre de paramètres au

client. L’essentiel étant d’avoir une IP, un masque de sous-réseau, une passerelle par défaut
et un serveur DNS.

Séquencement de l’attribution d’une adresse :

Les adresses IP dynamiques sont octroyées pour une durée limitée (durée du bail), qui est
transmise au client dans l’accusé de réception qui clôture la transaction DHCP.

A la moitié de la valeur du bail, le client commence à demander périodiquement le

renouvellement de ce bail auprès du serveur qui lui a accordé son adresse. Cette fois, la
transaction est effectuée par transmission IP classique, d’adresse à adresse.

11 | P a g e
ASE 2021/2022

Si, lorsque le délai fixé par la deuxième valeur, généralement vers 90% de la valeur du bail,
est écoulé et que le bail n’a pas pu être renouvelé (par exemple, si le serveur DHCP d’origine
est hors service), le client demande une nouvelle allocation d’adresse par diffusion.

Il est possible de réserver une adresse à une machine. Pour cela, il faut associer l’adresse
MAC de la machine à l’adresse IP que l’on veut lui réserver.

Relais DHCP :
Lorsque le serveur DHCP et le client ne figurent pas sur le même segment Ethernet, les
diffusions émises par ce dernier ne parviennent pas au serveur parce que les routeurs ne
transmettent pas les diffusions générales (broadcast). Dans ce cas, on utilise un agent de
relais DHCP.

Sur l'hôte qui contient l'agent relais, on indique l’adresse d’un serveur DHCP auquel il faudra
transmettre les découvertes DHCP qui lui parviennent sur le port 67. Il diffuse sur son
segment (qui est aussi celui du client) les réponses qu’il reçoit du serveur DHCP.

DNS

DNS (Domain Name System) associe des noms en langage courant aux adresses numériques.

On appelle résolution de noms de domaines, la corrélation entre les adresses IP et le nom

de domaine associé.

Aux origines de TCP/IP, étant donné que les réseaux étaient très peu étendus ou autrement
dit que le nombre d'ordinateurs connectés à un même réseau était faible, les
administrateurs réseau créaient des fichiers appelés tables de conversion manuelle. Ces
tables de conversion manuelle étaient des fichiers séquentiels, généralement nommés hosts
ou hosts.txt, associant sur chaque ligne l'adresse IP de la machine et le nom littéral associé,
appelé nom d'hôte.

Le système précédent de tables de conversion nécessitait néanmoins la mise à jour

manuelle des tables de tous les ordinateurs en cas d'ajout ou de modification d'un nom de
machine. Ainsi, avec l'explosion de la taille des réseaux, et de leur interconnexion, il a fallu
mettre en place un système de gestion des noms hiérarchisé et plus facilement
administrable.

Ce système propose :

- un espace de noms hiérarchique permettant de garantir l'unicité d'un nom dans

une structure arborescente.

- un système de serveurs distribués permettant de rendre disponible l'espace de

noms.

12 | P a g e
ASE 2021/2022

- un système de clients permettant de « résoudre » les noms de domaines, c'est-à-

dire interroger les serveurs afin de connaître l'adresse IP correspondant à un nom.

La structuration du système DNS s'appuie sur une structure arborescente dans laquelle sont
définis des domaines de niveau supérieurs (appelés TLD, pour Top Level Domains), rattachés
à un nœud racine représenté par un point.

Le mécanisme consistant à trouver l'adresse IP correspondant au nom d'un hôte est appelé
« résolution de nom de domaine ». L'application permettant de réaliser cette opération
(généralement intégrée au système d'exploitation) est appelée « résolveur » (en anglais
«resolver»).

Lorsqu'une application souhaite se connecter à un hôte connu par son nom de domaine (par
exemple « www.google.be »), celle-ci va interroger un serveur de noms défini dans sa
configuration réseau. Chaque machine connectée au réseau possède en effet dans sa
configuration les adresses IP de deux serveurs de noms de son fournisseur d'accès.

Une requête est ainsi envoyée au premier serveur de noms (appelé « serveur de nom
primaire »). Si celui-ci possède l'enregistrement dans son cache, il l'envoie à l'application,
dans le cas contraire il interroge un serveur racine (dans notre cas un serveur racine
correspondant au TLD « .be »). Le serveur de nom racine renvoie une liste de serveurs de
noms faisant autorité sur le domaine (dans le cas présent les adresses IP des serveurs de
noms primaire et secondaire de google.be).

Le serveur de noms primaire faisant autorité sur le domaine va alors être interrogé et
retourner l'enregistrement correspondant à l'hôte sur le domaine (dans notre cas www).

Cache DNS :
Lorsque vous faites une requête DNS, un enregistrement de ces demandes abouties et
infructueuses est stocké dans un emplacement de stockage temporaire sur votre ordinateur
appelé mémoire cache DNS. DNS vérifie toujours la mémoire cache avant d´envoyer une
demande au serveur DNS, et si un enregistrement correspondant à la demande est trouvé,

13 | P a g e
ASE 2021/2022

DNS utilise cet enregistrement plutôt que d´envoyer une demande au serveur. Cette
technique permet d´accélérer les requêtes et de réduire le trafic réseau et Internet.

Les serveurs DNS possèdent également leur propre cache DNS.

Il est possible de vider cette mémoire en tapant : ipconfig /flushdns

Forwarders :
Un redirecteur est un serveur DNS sur un réseau utilisé pour transférer des requêtes DNS
pour des noms DNS externes vers des serveurs DNS situés à l’extérieur de ce réseau. Vous
pouvez également configurer votre serveur de façon à transférer les requêtes sur la base de
noms de domaine spécifiques au moyen de redirecteurs conditionnels (conditionnal
forwarders).

L’utilisation d’un redirecteur vous permet de gérer la résolution des noms externes à votre
réseau,tels que les noms Internet, ce qui peut améliorer l’efficacité de la résolution de noms
pour les ordinateurs de votre réseau.

TTL (Time to live) :

Le TTL indique le temps pendant indique le temps, en secondes, pendant lequel
l'informationdonnée par le serveur est gardée en cache. Passé ce délai, l'information doit
être considérée comme obsolète et être mise à jour.

Backup

Backup complet :
La sauvegarde complète ou totale permet de sauvegarder toutes les données, les
répertoires et les sous répertoires sélectionnés. C'est le type de sauvegarde le plus simple,
et le plus précis pour restaurer les données sans erreurs. Cependant, les sauvegardes
complètes prennent beaucoup de temps pour de gros volumes de données, elles ne sont
pas effectuées quotidiennement car elle serait trop longue à réaliser. Généralement, les
sauvegardes complètes sont effectuées le vendredi soir (ou la veille d'un jour où l'entreprise
ne travaille pas) pour ne pas gêner l'activité de l'entreprise.

Backup incrémentiel :
La sauvegarde incrémentale permet de sauvegarder les données qui ont été modifiées ou
ajoutées depuis la dernière sauvegarde complète ou incrémentale. La sauvegarde
incrémentale permet de sauvegarder les dernières modifications sur les fichiers plus
rapidement qu'avec une sauvegarde complète. L'inconvénient de la sauvegarde
incrémentale est le temps, la complexité, et la fiabilité de la restauration des données.

En effet pour restaurer les données du jour J il faut déjà restaurer la dernière sauvegarde
complète, puis restaurer les unes après les autres les sauvegardes incrémentales jusqu'au
jour J.

14 | P a g e
ASE 2021/2022

Backup différentiel :
La sauvegarde différentielle permet de sauvegarder les données qui ont été modifiées ou
ajoutées depuis la dernière sauvegarde complète. La sauvegarde différentielle permet
comme la sauvegarde incrémentale de sauvegarder les données plus rapidement qu'avec
une sauvegarde complète, mais prend plus de temps qu'une sauvegarde incrémentale.
Cependant, ce type de sauvegarde possède moins d'inconvénients que la sauvegarde
incrémentale.

En effet, pour restaurer les données du jour J il faudra restaurer la dernière sauvegarde
complète puis la sauvegarde différentielle du jour J, procédé plus rapide que celui de la
sauvegarde incrémentale.

Rétention – RTO/RPO:
La rétention est une notion importante dans le cas d’une sauvegarde.
Elle permet de définir la durée de conservation des sauvegardes. Il est possible de définir
cette rétention en termes de jour/mois/année. Cette conservation permettra de récupérer
des données en fonction des rétentions définies.
Deux autres paramètres sont également importants à définir, ce sont les RPO et RTO. Ces
Un objectif de point de récupération (RPO) est la durée maximale autorisée à partir de
laquelle les données peuvent être restaurées, ce qui peut signifier ou non une perte de
données. Il s'agit de l'âge des fichiers ou des données dans le stockage de sauvegarde
nécessaire pour reprendre les opérations normales en cas de panne du système
informatique ou du réseau.
L'objectif de temps de rétablissement (RTO) est la durée ciblée entre l'événement de la
défaillance et le moment où les opérations reprennent.

La rétention, le RPO et RTO sont généralement définis avec les différents départements de
l’entreprise en fonction de leurs attentes (qui sont parfois légales).
Support :

15 | P a g e
ASE 2021/2022

Un backup doit être fait sur un autre support physique que celui qui contient les données à
sauvegarder.
On peut sauvegarder les données vers :
- Un disque dur
- Une cassette (bande magnétique)
- Un espace de stockage réseau (local ou cloud)
Il est recommandé d’avoir plusieurs niveaux de backup :
- Une sauvegarde locale avec une rétention courte qui permet une restauration rapide
- Une sauvegarde avec une rétention longue hébergé sur un autre site physique qui
permet une restauration en cas de sinistre total
- Une sauvegarde avec une rétention encore plus longue (par ex : plusieurs années)
sur un autre site physique (par ex : cloud) pour un archivage légal.

16 | P a g e