Académique Documents
Professionnel Documents
Culture Documents
Sous Windows Server, il est possible de publier des applications qui pourront être utilisées
par des ordinateurs clients. Ce système est appelé "Remote Desktop Service ». Cette
solution permet de faire tourner des applications lourdes sur le serveur et de les utiliser sur
l'ordinateur client. Les applications ou bureaux tournent donc sur le serveur (l'application
utilise le processeur, la mémoire vive, ... du serveur) et le client ne reçoit en réalité que
l’affichage.
Accès Web des services Bureau à distance (Remote Desktop Web Access) :
Permet aux utilisateurs d'accéder à des applications à distance et à des sessions bureau à
distance via un réseau privé ou internet.
Lors de l'installation des RDS, une période de grâce de 120 jours est attribuée. Pour
poursuivre au-delà, un gestionnaire de licences doit-être installé et les licences RDS doivent
y être renseignées.
Service Broker pour les connexions Bureau à distance (Remote Desktop Connection Broker) :
Permet de maintenir les connections avec les hôtes RDS, il est le garant du SSO (Single Sign
On). Il répartit la charge entre les serveurs RDS et permet de se reconnecter à une session
existante.
Serveur hôte de virtualisation des services bureau à distance (Remote Desktop Virtualization
Host) :
Permet sur les hôtes Hyper-V de fournir des machines virtuelles en utilisant RemoteApp ou
les connexions Remote Desktop.
1|P age
ASE 2021/2022
Certificat
Un certificat électronique peut être vu comme une carte d'identité numérique. Il est utilisé
principalement pour identifier et authentifier une personne physique ou morale, mais aussi
pour chiffrer des échanges.
La liste de révocation est consultée par le client pour vérifier si le certificat n’a pas été
révoqué.
2|P age
ASE 2021/2022
Il est possible de créer sa propre autorité de certification sur son serveur Windows. Si vous
êtes dans un domaine AD, l’autorité sera intégrée automatiquement avec vos serveurs et
postes de travail.
Attention, quand vous utilisez des certificats émis par votre propre autorité de certification
interne, les personnes externes doivent avoir votre certificat racine dans leur liste d’autorité
de certification, sinon le certificat ne sera pas valide.
Une clé symétrique est une clé partagée entre les deux parties (Pre-Shared Key). La donnée
est cryptée par cette clé et elle est décryptée par cette même clé.
Une clé asymétrique est composée de deux parties : la clé privée et la clé publique. Toute
donnée cryptée avec la clé publique ne peut être décryptée que par la clé privée.
3|P age
ASE 2021/2022
Active Directory
Active Directory permet de représenter et de stocker les éléments constitutifs du réseau (les
ressources informatiques mais également les utilisateurs) sous formes d'objets, c'est-à-dire
un ensemble d'attributs représentant un élément concret. Les objets sont organisés
hiérarchiquement selon un schéma (lui-même stocké dans l'annuaire) définissant les
attributs et l'organisation des objets.
Le service d'annuaire Active Directory permet de mettre ces informations à disposition des
utilisateurs, des administrateurs et des applications selon les droits d'accès qui leur sont
accordés.
Les objets d'Active Directory (Utilisateurs, Groupes, Ordinateurs, etc.) correspondent à des
classes, c'est-à-dire des catégories d'objets possédant les mêmes attributs. Ainsi un objet est
une « instanciation » d'une classe d'objet, c'est-à-dire un ensemble d'attributs avec des
valeurs particulières.
Arbres et forêt :
Une arborescence est une notion qui découle du système DNS et des domaines Active
Directory.
4|P age
ASE 2021/2022
(appelé arbre). Le domaine situé au sommet de la hiérarchie est appelé « domaine racine »
et les domaines situés en dessous sont des sous-domaines.
Les domaines d'un même arbre partagent nécessairement le même espace de nom.
Active Directory est un produit en évolution depuis sa création. Afin de conserver des
niveaux de compatibilité entre les différentes versions de Windows et des produits
s'implantant dans Active Directory (Exchange, MOM, SCCM, etc.), il a été introduit la notion
de niveau de forêt et de domaine. Il existe actuellement plusieurs niveaux de forêt et de
domaine : Windows 2000 mixte, Windows 2000 natif, Windows 2003, Windows 2003 R2,
Windows 2008, Windows 2008 R2, Windows 2012, Windows 2012 R2 et Windows 2016.
Pour augmenter le niveau fonctionnel d'une forêt, il faut que tous les domaines soient au
minimum de ce niveau fonctionnel. Un niveau fonctionnel impose que tous les contrôleurs
de domaine soient capables de gérer ce niveau fonctionnel. Par exemple, pour avoir un
niveau fonctionnel Windows 2008, il faut que tous les contrôleurs de domaine soient en
Windows 2008. Il est possible d'avoir des contrôleurs de domaine de version supérieure
dans un domaine de niveau inférieur.
Rôles FSMO :
Lorsque l’on met en place un environnement Active Directory, il y a de très fortes chances
(car c’est conseillé) que l’on ait plusieurs contrôleurs de domaine. De ce fait, tous les
contrôleurs de domaine « normaux » disposent d’un accès en écriture sur l’annuaire.
Cependant, certaines tâches sont plus sensibles que d’autres, et il serait dangereux
d’autoriser la modification de certaines données sur deux contrôleurs de domaine
différents, en même temps. De ce fait et pour minimiser les risques de conflits, Microsoft a
décidé d’implémenter les rôles FSMO qui permettent de limiter la modification de certaines
données internes à l’annuaire Active Directory.
Il est à noter qu’il ne peut pas y avoir plusieurs maîtres d’opérations pour le même rôle
FSMO, au sein d’un domaine ou d’une forêt (selon le rôle concerné).
Domain Naming Master : Le maître d’opération qui détient ce rôle est unique au sein
de la forêt, et il est le seul autorisé à distribuer des noms de domaine aux contrôleurs
de domaine, lors de la création d’un nouveau domaine.
5|P age
ASE 2021/2022
En fait, comme le schéma est unique, son gestionnaire est unique également.
RID Master : Le RID est un identifiant relatif qui est unique au sein de chaque SID,
afin d’être sûr d’avoir un SID unique pour chaque objet de l’annuaire. Le SID étant
constitué d’une partie commune qui correspond au domaine, le RID est essentiel
pour rendre unique chaque SID. C’est là que le maître RID intervient…
Unique au sein d’un domaine, ce maître d’opération devra allouer des blocs
d’identificateurs relatifs à chaque contrôleur de domaine du domaine. Ainsi, chaque
contrôleur de domaine aura un bloc (pool) de RID unique qu’il pourra attribuer aux
futurs objets créés dans l’annuaire.
Prenons un exemple pour mieux comprendre ce que cela signifie. Imaginons qu’un
utilisateur d’un domaine A soit ajouté au sein d’un groupe du domaine B. Le
contrôleur de domaine « Maître d’infrastructure » deviendra responsable de cette
référence et devra s’assurer de la réplication de cette information sur tous les
contrôleurs de domaine du domaine.
PDC Emulator : L’émulateur PDC (Primary Domain Controller) est unique au sein d’un
domaine et se doit d’assurer cinq missions principales :
- Modification des stratégies de groupe du domaine (éviter les conflits et les
écrasements) - Synchroniser les horloges sur tous les contrôleurs de domaine
(heure et date)
- Gérer le verrouillage des comptes
- Changer les mots de passe
- Assurer la compatibilité avec les contrôleurs de domaine Windows NT
Trust :
Une relation d’approbation est un lien de confiance (Trust Relationship) établie entre deux
domaines Active Directory, voir même entre deux forêts Active Directory. Ces relations
permettront de faciliter l’accès aux ressources entre les domaines concernés, ce qui permet
de mutualiser les accès bien que les domaines disposent d’une base de données Active
Directory différente.
6|P age
ASE 2021/2022
Les relations d’approbations peuvent s’avérer utiles et sont utilisées dans plusieurs cas de
figure :
- Une entreprise dispose de plusieurs filiales avec des noms différents, donc des
domaines différents, elle pourra créer des relations de confiance entre ses domaines.
Dans le cadre d’une relation d’approbation, la direction peut être unidirectionnelle c’est-à-
dire uniquement dans un sens, ou bidirectionnelle c’est-à-dire dans les deux sens.
Une relation d’approbation unidirectionnelle signifie qu’un domaine A approuve un
domaine B, sans que l’inverse soit appliqué. De ce fait, un utilisateur du domaine B pourra
accéder aux ressources du domaine A, alors que l’inverse ne sera pas possible !
Pour que cela soit possible, il faut que la relation d’approbation soit bidirectionnelle pour
que les deux domaines s’approuvent mutuellement. Un utilisateur du domaine A pourra
alors accéder aux ressources du domaine B, et inversement.
Si l’on dispose d’un domaine « domain.local » et que l’on ajoute le domaine enfant «
liege.domain.local», il y aura automatiquement une relation de confiance entre ces deux
domaines. Une relation d’approbation transitive et bidirectionnelle sera créée entre ces
deux domaines. On parlera d’approbation « parent/enfant ».
Les utilisateurs :
Chaque utilisateur dans Active Directory est associé à un objet. Cet objet contient plusieurs
attributs qui décrivent l'utilisateur (nom, prénoms, login, adresse e-mail, téléphone,
département, etc.). Ces attributs peuvent permettre de trouver des utilisateurs dans votre
domaine. Ils peuvent par exemple être utilisés dans Exchange pour constituer des listes
dynamiques de distribution d'emails. Ces utilisateurs peuvent se voir attribuer des
autorisations sur d'autres objets de votre Active Directory.
Les groupes :
Il existe deux types de groupes. Le premier et le plus courant est le groupe de sécurité. Ce
type permet de gérer la sécurité pour l'accès et l'utilisation des ressources de votre réseau.
Le deuxième type est le groupe de distribution. Ce type permet simplement de gérer des
listes de distribution d'emails dans un serveur de messagerie.
7|P age
ASE 2021/2022
• Domaine local : vous pourrez y ajouter des comptes de n'importe quel domaine
et/ou des groupes "Domaine local" du même domaine et/ou des groupes
universels/globaux de n'importe quel domaine. Les autorisations portent
uniquement sur le domaine auquel le groupe appartient.
• Universelle : vous pourrez y ajouter des comptes de n'importe quel domaine et/ou
des groupes globaux et universels de n'importe quel domaine. Les autorisations pour
cette étendue portent sur tout le contenu de la forêt.
Une unité d'organisation est l'étendue ou l'unité la plus petite à laquelle vous pouvez
attribuer des paramètres de Stratégie de groupe (GPO) ou déléguer une autorité
administrative. Avec les unités d'organisation, vous pouvez créer des conteneurs à
l'intérieur d'un domaine afin de représenter les structures hiérarchiques et logiques de
votre organisation. Vous pouvez ensuite gérer la configuration et l'utilisation des comptes et
des ressources en fonction de votre modèle d'organisation.
Pour que l'objet agisse, il faut le lier (link) à un ou plusieurs conteneurs. Les conteneurs en
question peuvent être des objets Site, Domaine, OU. Il est possible de bloquer ou forcer
l’application une GPO. Il est possible de filtrer l’application d’une GPO au travers des droits
ou d’un filtre WMI.
8|P age
ASE 2021/2022
Exchange
Microsoft Exchange Server est un logiciel de groupe de travail pour serveurs de messagerie
électronique crée par Microsoft. C’est un produit conçu pour la messagerie électronique,
mais aussi pour la gestion d’agenda, des contacts et des tâches, qui assure le stockage des
informations et permet des accès à partir de clients mobiles (Outlook Mobile Access,
Exchange Active Sync) et de clients Web.
Rôles :
CAS : ce rôle va servir aux clients pour accéder à leur compte Exchange. Cela
comprend les accès Outlook, Outlook Web App, Outlook AnyWhere et ActiveSync.
C'est ici que les clients vont se connecter.
Mailbox : ce rôle héberge les boîtes aux lettres de chaque utilisateur, matériel ou
salle de l'organisation Exchange. Il héberge également les carnets d'adresses et
permet la planification de réunions et des ressources associées.
Edge : ce rôle est indépendant d'Active Directory et est généralement placé en DMZ.
Il s'agit d'une passerelle email qui peut accepter les emails provenant d'Internet ou
de serveurs d'organisations externes clairement identifiés. Ce serveur va pouvoir
procéder à un scan antispam et antivirus grâce à Forefront Protection for Exchange.
Les emails entrants ayant passé l'hygiène de messagerie seront routés vers les
serveurs Transport Hub de l'organisation.
Autodiscover : Il est question ici d’un service Web qui a fait son apparition dans la
version d’Exchange 2007, et implémentés par les clients Outlook. Il permet une
découverte automatique des paramètres du serveur Exchange à partir de l’adresse
mail d’un utilisateur (à condition de disposer de son login et son mot de passe). Ici le
client prend le domaine email de l’utilisateur, préfixe Autodiscover et forme ainsi un
domaine sur lequel Autodiscover est hébergé. A titre d’exemple, si l’adresse de
l’utilisateur est user@monentreprise.com, le client interrogera
Autodiscover.monentreprise.com. C’est un service qui est accessible uniquement par
HTTPS
Outlook Web App (OWA) : Il s’agit d’une application Web qui permet d’accéder à son
compte Exchange depuis un simple navigateur. Il est compatible avec la plupart
d’entre eux, et permet d’accéder à la plupart des fonctions d’Outlook installées
physiquement par l’intermédiaire d’un pack Microsoft Office. L’interface est
quasiment identique.
9|P age
ASE 2021/2022
Groupe de distribution :
10 | P a g e
ASE 2021/2022
DHCP
Les adresses IP dynamiques sont octroyées pour une durée limitée (durée du bail), qui est
transmise au client dans l’accusé de réception qui clôture la transaction DHCP.
11 | P a g e
ASE 2021/2022
Si, lorsque le délai fixé par la deuxième valeur, généralement vers 90% de la valeur du bail,
est écoulé et que le bail n’a pas pu être renouvelé (par exemple, si le serveur DHCP d’origine
est hors service), le client demande une nouvelle allocation d’adresse par diffusion.
Il est possible de réserver une adresse à une machine. Pour cela, il faut associer l’adresse
MAC de la machine à l’adresse IP que l’on veut lui réserver.
Relais DHCP :
Lorsque le serveur DHCP et le client ne figurent pas sur le même segment Ethernet, les
diffusions émises par ce dernier ne parviennent pas au serveur parce que les routeurs ne
transmettent pas les diffusions générales (broadcast). Dans ce cas, on utilise un agent de
relais DHCP.
Sur l'hôte qui contient l'agent relais, on indique l’adresse d’un serveur DHCP auquel il faudra
transmettre les découvertes DHCP qui lui parviennent sur le port 67. Il diffuse sur son
segment (qui est aussi celui du client) les réponses qu’il reçoit du serveur DHCP.
DNS
DNS (Domain Name System) associe des noms en langage courant aux adresses numériques.
Aux origines de TCP/IP, étant donné que les réseaux étaient très peu étendus ou autrement
dit que le nombre d'ordinateurs connectés à un même réseau était faible, les
administrateurs réseau créaient des fichiers appelés tables de conversion manuelle. Ces
tables de conversion manuelle étaient des fichiers séquentiels, généralement nommés hosts
ou hosts.txt, associant sur chaque ligne l'adresse IP de la machine et le nom littéral associé,
appelé nom d'hôte.
Ce système propose :
12 | P a g e
ASE 2021/2022
La structuration du système DNS s'appuie sur une structure arborescente dans laquelle sont
définis des domaines de niveau supérieurs (appelés TLD, pour Top Level Domains), rattachés
à un nœud racine représenté par un point.
Le mécanisme consistant à trouver l'adresse IP correspondant au nom d'un hôte est appelé
« résolution de nom de domaine ». L'application permettant de réaliser cette opération
(généralement intégrée au système d'exploitation) est appelée « résolveur » (en anglais
«resolver»).
Lorsqu'une application souhaite se connecter à un hôte connu par son nom de domaine (par
exemple « www.google.be »), celle-ci va interroger un serveur de noms défini dans sa
configuration réseau. Chaque machine connectée au réseau possède en effet dans sa
configuration les adresses IP de deux serveurs de noms de son fournisseur d'accès.
Une requête est ainsi envoyée au premier serveur de noms (appelé « serveur de nom
primaire »). Si celui-ci possède l'enregistrement dans son cache, il l'envoie à l'application,
dans le cas contraire il interroge un serveur racine (dans notre cas un serveur racine
correspondant au TLD « .be »). Le serveur de nom racine renvoie une liste de serveurs de
noms faisant autorité sur le domaine (dans le cas présent les adresses IP des serveurs de
noms primaire et secondaire de google.be).
Le serveur de noms primaire faisant autorité sur le domaine va alors être interrogé et
retourner l'enregistrement correspondant à l'hôte sur le domaine (dans notre cas www).
Cache DNS :
Lorsque vous faites une requête DNS, un enregistrement de ces demandes abouties et
infructueuses est stocké dans un emplacement de stockage temporaire sur votre ordinateur
appelé mémoire cache DNS. DNS vérifie toujours la mémoire cache avant d´envoyer une
demande au serveur DNS, et si un enregistrement correspondant à la demande est trouvé,
13 | P a g e
ASE 2021/2022
DNS utilise cet enregistrement plutôt que d´envoyer une demande au serveur. Cette
technique permet d´accélérer les requêtes et de réduire le trafic réseau et Internet.
Forwarders :
Un redirecteur est un serveur DNS sur un réseau utilisé pour transférer des requêtes DNS
pour des noms DNS externes vers des serveurs DNS situés à l’extérieur de ce réseau. Vous
pouvez également configurer votre serveur de façon à transférer les requêtes sur la base de
noms de domaine spécifiques au moyen de redirecteurs conditionnels (conditionnal
forwarders).
L’utilisation d’un redirecteur vous permet de gérer la résolution des noms externes à votre
réseau,tels que les noms Internet, ce qui peut améliorer l’efficacité de la résolution de noms
pour les ordinateurs de votre réseau.
Backup
Backup complet :
La sauvegarde complète ou totale permet de sauvegarder toutes les données, les
répertoires et les sous répertoires sélectionnés. C'est le type de sauvegarde le plus simple,
et le plus précis pour restaurer les données sans erreurs. Cependant, les sauvegardes
complètes prennent beaucoup de temps pour de gros volumes de données, elles ne sont
pas effectuées quotidiennement car elle serait trop longue à réaliser. Généralement, les
sauvegardes complètes sont effectuées le vendredi soir (ou la veille d'un jour où l'entreprise
ne travaille pas) pour ne pas gêner l'activité de l'entreprise.
Backup incrémentiel :
La sauvegarde incrémentale permet de sauvegarder les données qui ont été modifiées ou
ajoutées depuis la dernière sauvegarde complète ou incrémentale. La sauvegarde
incrémentale permet de sauvegarder les dernières modifications sur les fichiers plus
rapidement qu'avec une sauvegarde complète. L'inconvénient de la sauvegarde
incrémentale est le temps, la complexité, et la fiabilité de la restauration des données.
En effet pour restaurer les données du jour J il faut déjà restaurer la dernière sauvegarde
complète, puis restaurer les unes après les autres les sauvegardes incrémentales jusqu'au
jour J.
14 | P a g e
ASE 2021/2022
Backup différentiel :
La sauvegarde différentielle permet de sauvegarder les données qui ont été modifiées ou
ajoutées depuis la dernière sauvegarde complète. La sauvegarde différentielle permet
comme la sauvegarde incrémentale de sauvegarder les données plus rapidement qu'avec
une sauvegarde complète, mais prend plus de temps qu'une sauvegarde incrémentale.
Cependant, ce type de sauvegarde possède moins d'inconvénients que la sauvegarde
incrémentale.
En effet, pour restaurer les données du jour J il faudra restaurer la dernière sauvegarde
complète puis la sauvegarde différentielle du jour J, procédé plus rapide que celui de la
sauvegarde incrémentale.
Rétention – RTO/RPO:
La rétention est une notion importante dans le cas d’une sauvegarde.
Elle permet de définir la durée de conservation des sauvegardes. Il est possible de définir
cette rétention en termes de jour/mois/année. Cette conservation permettra de récupérer
des données en fonction des rétentions définies.
Deux autres paramètres sont également importants à définir, ce sont les RPO et RTO. Ces
Un objectif de point de récupération (RPO) est la durée maximale autorisée à partir de
laquelle les données peuvent être restaurées, ce qui peut signifier ou non une perte de
données. Il s'agit de l'âge des fichiers ou des données dans le stockage de sauvegarde
nécessaire pour reprendre les opérations normales en cas de panne du système
informatique ou du réseau.
L'objectif de temps de rétablissement (RTO) est la durée ciblée entre l'événement de la
défaillance et le moment où les opérations reprennent.
La rétention, le RPO et RTO sont généralement définis avec les différents départements de
l’entreprise en fonction de leurs attentes (qui sont parfois légales).
Support :
15 | P a g e
ASE 2021/2022
Un backup doit être fait sur un autre support physique que celui qui contient les données à
sauvegarder.
On peut sauvegarder les données vers :
- Un disque dur
- Une cassette (bande magnétique)
- Un espace de stockage réseau (local ou cloud)
Il est recommandé d’avoir plusieurs niveaux de backup :
- Une sauvegarde locale avec une rétention courte qui permet une restauration rapide
- Une sauvegarde avec une rétention longue hébergé sur un autre site physique qui
permet une restauration en cas de sinistre total
- Une sauvegarde avec une rétention encore plus longue (par ex : plusieurs années)
sur un autre site physique (par ex : cloud) pour un archivage légal.
16 | P a g e