Comprendre le fonctionnement de Windows Server

Question 1

Est-ce qu’il est possible de gérer, sous licence, plus de 150 machines virtuelles sous Windows
2016 Server ?-- / ---

Attention, plusieurs réponses sont possibles.

• Non, Windows Server ne sait pas gérer plus de 50 machines virtuelles.

• Oui, avec l’édition Datacenter.
• Oui, avec l’édition Standard.
• Oui, avec l'édition Windows Server 2016 Essentials.

Question 2

Est-ce qu’il est possible d’installer une interface graphique sous Windows Server?---

•Oui, et il n’existe pas de versions de Windows sans interface graphique

•Non, ce système s’administre uniquement en ligne de commande
•Oui, mais il est également possible de l’installer sans interface graphique

Question 3

Quelle est la meilleure façon de gérer des rôles et fonctionnalités sous Windows Server?--

• Il faut utiliser des lignes de commande

• Il faut utiliser le gestionnaire de serveur
• Depuis la version 2019 de Windows Server, tous les rôles sont déjà installés automatiquement
 Question 4

Est-il possible d’utiliser une adresse IP fixe sur un serveur Windows?---

• Non, Microsoft attribue une adresse IP automatiquement à Windows

• Oui, mais uniquement en configurant un rôle spécifique
• Oui, la configuration IP est gérée par l’administrateur

Question 5

Quelle est la meilleure méthode pour mettre à jour Windows Server?--

• Il faut lancer la commande Apt Update

• Il faut se rendre sur Windows Update dans les paramètres
• Il faut configurer un module de mise à jour

Question 6

Quels sont les 2 seuls éléments nécessaires à la mise en réseau d’un serveur? - / - - Attention,
plusieurs réponses sont possibles.

• Client pour les réseaux Microsoft

• Protocole Internet version 4
• Protocole Internet version 6
• Planificateur de paquets QoS
• Pilote de protocole LLDP Microsoft

Question 7

Quel rôle permet de fournir une configuration automatique sur le réseau?--

• DNS
• DHCP
• NPS
 Question 8

“Un service est un ensemble de rôles et fonctionnalités”. --

• Vrai
• Faux

Question 9

Comment peut-on surveiller l’état de santé d’un serveur sous Windows ? ---

• Il faut utiliser une solution commerciale permettant de surveiller tous les rôles du serveur
• Il faut utiliser un plugin spécifique à la surveillance, au cas par cas, rôle par rôle
• Il est possible d’utiliser le gestionnaire de serveur sous Windows

Question 10

Comment est-il possible, avec Windows, de créer un centre de données ? --

• Il faut mettre en œuvre des machines virtuelles avec une licences Windows Datacenter sur autant de
serveurs physiques que nécessaire. La seule contrainte est d’avoir une licence Windows Datacenter
par serveur physique.
• Il faut faire l’acquisition de matériel serveur, dénombrer les cœurs (pour chaque processeur),
acquérir autant de licences Windows Datacenter que nécessaire, créer des machines virtuelles pour
la gestion des identités, l’hébergement des fichiers, l’accès au réseau, etc.
• Il faut mettre en œuvre des machines virtuelles avec des licences Windows Standard. La seule
contrainte est d’avoir une licence Windows Standard par serveur virtuel.

Installez un serveur de fichiers

Un des rôles les plus courants pour un serveur Windows est le serveur de fichiers. Grâce à ce rôle,

vous allez pouvoir mettre à disposition en toute sécurité des fichiers sur votre réseau. Vous pourrez

gérer des droits d’accès (lecture, écriture, modification…). Fournir ce type de rôle dans un réseau

permet de centraliser le point de stockage des fichiers, facilitant ainsi la sauvegarde, la restauration,

et permettant à plusieurs personnes de travailler ensemble sur un même fichier.

Rappelez-vous les fondamentaux du partage de fichiers

Pour qu’un fichier soit accessible sur votre réseau, un protocole de communication spécifique à

l'échange de fichiers doit être utilisé. Sous Linux, il s’agit majoritairement du NFS (Network File

System). Sous Windows, il est possible d’utiliser ce protocole, mais il n’est pas aussi bien intégré au

système que l’est le protocole SMB, aussi appelé CIFS. SMB pour Server Message Block et CIFS

pour Common Internet File System.

Ce protocole se caractérise par un client natif intégré à Microsoft Windows et un serveur que vous
allez installer et configurer. Il se base sur NTFS pour la gestion des droits d’accès et les partages
sont accessibles via un chemin universel (UNC – Universal Naming Convention) du type \\
serveur\partage .
Si SMB peut vous faire penser à SAMBA (souvent rencontré sous Linux), c’est totalement normal,
SAMBA est une implémentation open source du protocole propriétaire SMB de Microsoft. Vous
pourrez donc partager vos fichiers via SMB et y avoir accès sur vos clients Linux.

Ceci étant dit, je vous propose d’entrer dans le vif du sujet!

Installez le rôle Serveur de fichiers

Sur votre gestionnaire de serveurs, vous avez sûrement observé la présence d’un rôle dont nous
n’avions pas parlé, alors qu’il était déjà installé : le rôle Serveur de fichiers et de stockage:
– dans le service de fichiers et de stockage et sous disque , nous pouvons identifier les deux disques
supplémentaires que nous avons rajoutés afinde répondre a la demande de la direction décrite , nous
allons mettre en oeuvre un raid logiciel, pour ce faire on va mettre dans un premier temps ,
initialiser nos deux disques en faisant un clic droit – initialiser , une fois l’initialisation des disques
effectué, nous pouvons désormais créer un pool de stockage qui va nous permettre de regrouper les
disques, pour ce faire il faut aller au pool de stockage , puis faire un clic droit sur la page principale
et cliquer sur un nouveau pool de stockage → cliquer sur suivant et on va nommer notre pool ,
pool1 par exemple puis clique sur suivant --- sur la page suivante on va selectionnner nos deux
disques que nous avons créer puis encore cliquer sur suivant == parfait notre pool est désormais
bien créer .
Aprés on clique sur le pool que nous avons créer bouton droite → nouveau disque virtuel --→ nous
allons sélectionner le pool de stockage en question puis on clique ok → suivant et comme pour le
pool nous allons donner un nom a ce disque virtuel nous allons l’appeler Disk1 --→ suivant →
suivant → miroir simple qui enregistrera les donnees simultanement sur nos deux disques donc on
sélectionne Mirror --→ suivant → choisir Fin --→ taille = 1 téraoctet --→ suivant --→ créer

Rôle Serveur de fichiers et de stockage installé par défaut

En effet, pour stocker des fichiers, il convient de gérer le stockage. Le mieux étant de mettre en
œuvre un disque dédié à cet effet (ou plusieurs). Je vous propose donc de créer deux disques de 10
Gio sur votre machine virtuelle.
Pour cela, éteignez votre machine virtuelle et rendez-vous sur le menu de VirtualBox dans l’option
“Machine”, puis sélectionnez “Paramètres”. Au passage, vous avez vu que Windows vous
demande un motif pour l’arrêt de votre serveur :
 Motif d’arrêt et redémarrage d’un serveur

Cela permet d’identifier la raison de l’arrêt. En effet, si vous arrêtez votre serveur, ses rôles,
fonctionnalités et services deviennent indisponibles. Il convient alors de s’assurer que cela est dû à
une maintenance programmée ou à un événement non planifié. Cela permettra d’identifier
clairement cet arrêt comme étant programmé et légitime, et donc de basculer ce temps
d'indisponibilité dans les temps de maintenance.

Rendez-vous dans la section “Stockage”, et sur un nouveau contrôleur USB ajoutez deux nouveaux
disques :

Ajout de deux disques virtuels RAID_1.vdi et RAID_2.vdi à votre serveur

Un bug lié à Virtualbox empêche la création d’un pool de stockage avec 2 disques SATA. Si vous
voulez pouvoir créer un pool de stockage vous devez absolument utiliser 2 nouveaux disques
rattachés à un contrôleur USB, comme c’est le cas dans la capture d’écran ci-dessus.

Redémarrez ensuite votre serveur et rendez-vous à nouveau dans l’espace Serveur de fichiers et de
stockage ; vous devriez voir les deux disques nouvellement installés dans la partie "Disques" :
 Deux nouveaux disques

La direction de Gift S.A. vous demande de mettre en place un partage réseau, afin de travailler à
plusieurs sur le nouveau prototype d’un objet révolutionnaire. Il convient donc de sécuriser ces
données. Pour cela, je vous propose de mettre en œuvre un RAID logiciel.
Je vous invite, si vous ne l’avez pas déjà fait, à suivre le cours Montez un serveur de fichiers sous
Linux, pour comprendre comment fonctionne le RAID sous Linux, dont la logique est presque la
même que sous Windows Server :

•Vous devez dans un premier temps initialiser vos disques physiques en faisant un clic
droit sur les disques dans la fenêtre actuelle ;

•Puis créez un pool de stockage dans la partie correspondante. Ce pool va permettre de

regrouper les disques et de créer des disques virtuels qui pourront avoir des capacités de
redondance (miroir) ou de parité (intégrité des données), afin d’augmenter la sécurité ;

•Puis créez un disque virtuel.

Hormis la première étape, toutes les étapes se font dans la partie “Pool de stockage”:
 Création d’un pool de stockage et d’un disque virtuel.

Sélectionnez ensuite vos 2 disques de 10Go :

Création du pool de stockage avec les 2 disques durs

 Nouveau pool de stockage Pool1
Sélectionnez ensuite votre pool de stockage et créez un disque virtuel. Pour le cas de Gift S.A., je
vous propose de partir sur un miroir simple qui utilisera les deux disques pour stocker les données
(les fichiers seront écrits en simultané sur les deux disques, la perte d’un disque est transparente !).

Création d’un disque virtuel

Ensuite, vous devrez choisir le mode d’approvisionnement de l’espace. Pour cela, deux options
existent, fin ("thin" en anglais) et fixe. Dans ce dernier cas, fixe, l’espace total du volume est
proposé ; dans le cas de l’approvisionnement fin, vous fixez la taille.

L’avantage est qu’il est possible de fournir un espace réduit puis de pouvoir l’augmenter par la
suite. Il est également possible d’afficher plus d’espace que réellement disponible physiquement.
 Approvisionnement de l’espace disque

Finalisez la création de ce disque, et créez le volume qui accueillera vos données et se présentera
avec une lettre de lecteur, ainsi qu’un système de fichiers (NTFS par défaut). La fenêtre de création
de volume se lance normalement automatiquement après avoir créé le disque virtuel.
 Création du volume associé au disque virtuel

Pour ma part, j’ai mis en œuvre un disque virtuel en miroir en approvisionnement fin de 1 To (oui,
à partir de mes deux disques de 10Go).

Aouveau disque de données de 1 To en miroir sur les deux disques physiques de 10 Gio.

L'approvisionnement fin est pratique pour anticiper les besoins. Il autorise une certaine souplesse
dans l’approvisionnement d’espace.

Sachez que vous aurez de toute façon une alerte dès que vous aurez atteint 70 % de l’espace
physique réel. Il vous faudra à ce moment-là ajouter de nouveaux disques physiques afin de fournir
le stockage nécessaire.

Je vous propose donc de rester raisonnable, avec 10 Gio de disque virtuel en miroir:
 volume de données avec 10 Gio en miroir sur les deux disques physiques

Je vous propose d’en rester là pour la gestion du stockage, le fonctionnement étant globalement le
même que sous Linux.

Créez votre premier partage

Maintenant que vous avez votre support pour vos données, il vous faut un dossier pour stocker les
différents fichiers. Rendez-vous dans la partie “Partages”, puis dans l’encart “Ressources partagées”
:

Ressources partagées

En cliquant sur le lien, vous aurez la possibilité de créer un nouveau partage.

Si vous ne voyez pas la partie "Partages" sur la gauche, c'est sant doute que le rôle Serveur de
ficheirs n'est pas installé. Pensez donc à le faire :
 Sélection du rôle Serveur de fichiers

Lors de la création du partage, vous avez le choix entre 5 propositions via l’assistant de création de partages :
 Choix du mode de partage

SMB rapide: le plus simple, vous fournissez un partage sur votre réseau via SMB;
•SMB avancé: permet d’aller plus loin que le précédent en gérant des quotas et des droits
avancés;

•SMB Applications: utilisé pour Hyper-V et les bases de données ou autres serveurs;

•NFS rapide: identique à SMB simple mais via NFS (avec donc une meilleure compatibilité
avec Linux);

•NFS avancé: idem SMB avancé.

Je vous propose de rester sur SMB rapide. Sélectionnez votre nouveau volume de 1To, puis il vous
est ensuite demandé le chemin d’accès et le nom du partage. De cette manière, le répertoire partagé
sera accessible via le chemin UNC (Universal Naming Convention) suivant :\\nom_serveur\
nom_partage. Je vous propose d'appeler votre partage “Sensible”.
Vous remarquerez alors que Windows créera ce répertoire dans un répertoire “Shares” qui

accueillera tous les partages de ce volume. De même, l’accès via un chemin UNC est affiché \\

SRVDHCPPAR01\Sensible

Je vous le redis, pour être sûr que vous vous en rappeliez dans votre pratique pro, le nommage du serveur est vraiment
important.
Enfin, il vous sera proposé de configurer les paramètres de votre partage avec une option cochée par
défaut : Autoriser la mise en cache du partage.

Il s’agit là d’une nouvelle fonctionnalité depuis Windows Server 2012, qui permet de synchroniser
le partage sur un poste et de vous fournir un accès à vos données, même si le serveur n’est plus
accessible.

L’activation de l’énumération basée sur l’accès permet de n’afficher dans l’explorer Windows que les
partages auxquels l’utilisateur a accès. C’est une option intéressante qui permet de masquer un partage
sensible aux utilisateurs ne disposant d’aucun droit sur les données en question ; je vous propose d’activer
cette option.

Paramètres de partage

#Enfin, la dernière et peut-être la plus importante, la possibilité de chiffrer l’accès aux données.

Il ne s’agit que du chiffrement de l’accès au données et non du chiffrement des données elles-mêmes.
Ensuite, vous devez choisir des utilisateurs (ou mieux, des groupes) qui pourront disposer d’accès
spécifiques en fonction de leurs besoins, par exemple pour le “Principal” utilisateur authentifié, les
droits peuvent être "Lecture seule" :

Autorisations pour Sensible

Une fois que vous avez terminé avec l’affectation des droits (qui est beaucoup plus simple, couplée
à un Active Directory), vous pouvez valider. Vous avez alors un récapitulatif des paramètres
choisis:
 paramètres du partage
Et voilà, votre partage est disponible via \\SRVDHCPPAR01\Sensible (à modifier avec le
nom de votre serveur).

Accédez à votre partage

Pour cela, rien de plus simple sous Windows, un client SMB est intégré à l’explorer, il suffit d’entrer le
chemin UNC du partage dans la barre d’adresse, et Windows vous en affiche le contenu :
 Accès au partage Sensible

Par défaut, l’administrateur n’est pas obligatoirement libre de gérer les fichiers, il peut ne pas avoir
accès aux données de “Sensible” s’il n’en a pas le besoin. Il pourra tout de même effectuer ses
tâches d’administration sans pouvoir voir le contenu des données !

Accès refusé pour l’administrateur local sur le dossier “Sensible”

Il ne vous reste plus qu’à autoriser les flux sur votre pare-feu pour fournir l’accès à votre serveur
de fichiers. Vous utilisez le protocole SMB, il faut donc ouvrir le port 445/TCP à destination de
votre serveur sur votre réseau.
En résumé

• Le serveur de fichiers est un rôle par défaut qui n’est pas complètement installé ; il faut
terminer l’ajout de certaines fonctionnalités afin de pouvoir mettre en place un partage.

• Il existe deux grands types de protocoles disponibles, SMB et NFS, l’un propriétaire
Microsoft, l’autre plutôt orienté vers le monde Unix, avec notamment une implémentation
sous Linux et MacOS.

• Il est possible de chiffrer l’accès aux données via SMB.

• Windows Server met en œuvre une virtualisation des disques afin de faciliter la
sécurisation en miroir ou la parité, pour garantir la fiabilité d’un partage.

Implémentez un service de déploiement

vous allez mettre en œuvre un service de déploiement. Je vous propose de préparer l’architecture de
ce rôle particulier. Grâce à lui, vous allez pouvoir maîtriser votre parc informatique d’une nouvelle
façon, en déployant une image Windows 10 Pro.

Appréhendez le service de déploiement de Windows

Le service de déploiement porte le nom de “Windows Deployment Services”. Il intègre toutes les
fonctionnalités qui vont vous permettre de démarrer un poste client par le réseau, et de lui envoyer
un système d’exploitation personnalisé. Je vous propose de vous focaliser sur la partie configuration
du service de déploiement en tant que telle.

Rapidement, un peu d’histoire

Très rapidement, un peu d’histoire sur le service WDS. À l’origine, il se nommait RIS (Remote
Installation Service) et permettait d'utiliser le protocole BOOTP (comprenant le DHCP) afin de
fournir une image de démarrage via le réseau. Pour cela, il fallait que les clients disposent d’options
PXE (Preboot eXecution Environment) afin de pouvoir utiliser l’intégralité du protocole BOOTP.
Depuis le Service Pack 2 de Windows 2003, le RIS a été remplacé par WDS et prend dorénavant en
charge les systèmes Vista, 2003, 2008 ainsi que Windows XP.

Configurez le rôle WDS :

-ajoutez le role services de déploiement windows → fonctionnalités = serveur de déploiement +
serveur de transport
serveur WDS → bouton droite + cliquer console de gestion des services de déploiement de
windows , le service de déploiement windows s’affiche, ensuite cliquer serveurs aprés serveur
bouton droite configurer le serveur → suivant → cocher “ serveur autonome” → suivant → cocher
répondre à tous les ordinateurs clients(connus et inconnus) → suivant → terminer> chemin d'accés
→ parcourir → sources → install.wim → ouvrir → suivant → suivant → terminer
- Image de démarrage → ajouter une image de démarrage → parcourir → sources → boot.wim →
suivant→ suivant → terminer
Maintenant qu’un tout petit peu de contexte est placé, je vous propose de mettre les mains dans le
moteur. Pour cela, ajoutez le rôle Services de déploiement Windows (WDS), vous savez comment
faire cela maintenant, et rendez-vous sur la console de gestion des services de déploiement :

Console WDS
Vous allez pouvoir mettre en œuvre la partie serveur relativement simplement grâce, encore une
fois, à l’assistant. Vous remarquerez que dans le conteneur “Serveurs” se trouvent tous les serveurs
disposant de ce rôle ; ici, il n’y que le premier serveur WDS de Nantes (SRVWDSNAN01):

Liste des serveurs WDS connus

Comme c’est proposé, configurez votre serveur en faisant un clic droit sur son nom.
 Assistant WDS
L’assistant va vous guider tout au long du processus, en vous spécifiant les prérequis à mettre en
œuvre pour obtenir un service fonctionnel. Je vous invite à suivre ces conseils scrupuleusement,
afin d’obtenir un service de déploiement parfaitement fonctionnel.
Ici vous voyez les prérequis :
• Le serveur est membre d’un domaine AD DS ou est contrôleur de domaine (ce n’est pas
recommandé, il faut essayer de rester sur 1 serveur = 1 rôle); il est tout à fait possible de
configurer WDS sans AD dans son infrastructure ; dans ce cas, il faudra cocher la case
“Serveur autonome".
• Un DHCP existe sur le réseau.
• Un DNS existe sur le réseau.
• Une partition NTFS (ce format est obligatoire) est disponible pour stocker les images.
Une fois que vous remplissez ces prérequis, vous pouvez valider cette étape. Vous devrez ensuite
choisir entre une installation au sein d’un AD (pratique pour gérer un parc de A à Z) ou un serveur
autonome, pratique pour déployer pour de nombreux clients si vous travaillez en ESN.
Une fois ce premier choix d’architecture fait, il vous faut définir l’emplacement des images (j’ai
choisi E:\Reminst pour ne pas polluer ma partition système). Enfin, vous arrivez dans le cœur du
paramétrage:
 choix du mode de réponse
Vous allez devoir sélectionner un mode de réponse. Il peut être intéressant de ne répondre qu’à des
ordinateurs connus. Cela vous permet de maîtriser les PC qui seront installés. Vous pouvez activer
l’option d’approbation qui vous permet d’avoir un entre-deux : vous laissez WDS répondre à tous
les clients, mais vous devrez les approuver. Ceci termine la première partie de la configuration de
ce service.
Votre rôle est configuré. Il ne vous reste plus qu’à intégrer des images d’installation et des images
de démarrage.
• L’image d’installation peut être une image d’un média existant. L’assistant vous demandera
un média pour intégrer directement une image cliente.
• L’image de démarrage, quant à elle, permet à votre serveur, après avoir répondu aux
requêtes BOOTP, de faire démarrer un poste client.

Un clic droit sur “Images de démarrage” va intégrer les images de démarrage en prenant soin d’en
vérifier l’intégrité. Cela peut prendre un certain temps en fonction des ressources disponibles sur le
serveur. L’assistant va ainsi s’assurer que l’image de démarrage correspond bien à une image valide.
Vous aurez le résultat suivant :
 Images d'installation à partir d'un média Windows Server 2019

Image de démarrage à partir d’un média Windows Server 2019

Vous aurez remarqué que maintenant vos services de déploiement se sont agrémentés de
nombreuses options:

Options des services de déploiement

L’avantage ici est que vous allez pouvoir intégrer des pilotes à vos images, gérer différents groupes
d’images et optimiser l’utilisation de votre bande passante réseau en utilisant la multidiffusion
(aussi appelée multicast).

Fonctionnalités avancées de WDS

Vous le voyez sur les options disponibles sur une image de démarrage, vous avez la possibilité de
créer une image de capture et une image de découverte!
À quoi ces types d’images peuvent-ils servir ?
Mettez-vous en situation : vous êtes fraîchement arrivé en tant qu’administrateur Système et
Réseau ou bien technicien informatique chez Gift SA. La direction vous annonce un plan
d’augmentation des effectifs très conséquent. Vous avez été consciencieux et disposez de plusieurs
postes clients, de validation et de tests de votre parc actuel. Pourquoi alors ne pas reprendre une de
ces images pour préparer très rapidement les centaines de postes qui vont vous être demandés pour
les nouveaux embauchés ?
C’est à cela que sert une image de capture. Vous allez pouvoir démarrer sur votre image et capturer
le système, les pilotes et la configuration d’un poste existant afin de pouvoir ensuite rediffuser cette
image via les services WDS !
Ainsi, vous avez la possibilité de tester une image sur un poste “témoin” avant de “l’aspirer” sur
le WDS pour la diffuser via le réseau.
Une image de découverte, quant à elle, permet de gérer les cas des clients qui ne peuvent pas
utiliser pleinement PXE ! Vous pourrez ainsi créer une image CD/DVD/USB afin de démarrer sur
les postes non PXE, et les “raccrocher” à votre WDS !

Démarrez un client en “mode” WDS

Maintenant que vous avez un DHCP, un DNS, potentiellement un AD, que le WDS est configuré et
surtout que votre DHCP dispose des options BOOTP activées (option dhcp 60 PXEClient), vous
allez pouvoir démarrer un client en “mode” WDS.
Pour que tout fonctionne, assurez-vous bien que les services de déploiement ont démarré. Si un petit
triangle vert s'affiche sur votre serveur, c'est que tout est opérationnel. Par contre, si c'est un carré
noir, faites un clic droit sur votre serveur puis "Toutes les tâches - Démarrer" :

Les service de déploiement sont actifs sur le server SRVWDSNAN01

Maintenant, pour tester le déploiement WDS via le réseau, il vous fait une nouvelle machine qui
soit capable de démarrer en PXE, c'est-à-dire en cherchant une image bootable sur le réseau. Pour
cela, si vous utilisez VirtualBox :
• Créez une nouvelle machine vde comme vous l'avez fait au tout début du cours ;
• Dans sa configuration système, onglet Carte Mère, activez bien l'amorçage réseau, qui par
défaut n'est pas coché, et placez le tout en haut de la liste :

Ordre d’amorçage du client à déployer

De cette manière, votre machine va chercher à démarrer sur le réseau, et si un serveur de
déploiement est bien actif, le déploiement pourra commencer.
Si tout fonctionne, au démarrage du client, vous aurez alors les informations suivantes :

Démarrage via le PXE

Première étape, une configuration IP vous sera fournie (logique, il y a du DHCP), et l’image de
démarrage sera récupérée sur le serveur WDS.
Seconde étape, si vous avez plusieurs images, vous arriverez sur un menu vous proposant
différentes options (un serveur WDS peut héberger différentes images d’installation ou de capture).
Ensuite, vous retrouverez une interface standard d’installation de Windows. Si vous avez choisi une
installation “zero-touch”, le déploiement pourra se faire en quelques minutes !
Pensez bien à ouvrir les flux sur le pare-feu du serveur et à entrer la touche F12 au moment où cela
est demandé pour que l'installation puisse démarrer :

Démarrage en BIOS
Il se peut qu'un bug présent sur une des versions de Windows Server 2019, bloque le déploiement
au démarrage du client. C'est le cas si vous vous retrouvez face à cet écran :

Erreur courante sur certaines versions de Windows Server

Pour régler ce problème, il faut modifier les propriétés TFTP du serveur de déploiement. Voici les
modifications à faire :
• Fixer une taille limite des blocs envoyés entre le client et le serveur à 4096 ;
• Désactiver l'extension de fenêtre variable.

Modifications des propriétés TFTP

Redémarrez ensuite les services de déploiement avec un clic droit sur le serveur, puis "Toutes les
tâches - Redémarrer".
Vous pouvez maintenant relancer votre client pour que tout fonctionne. Enfin dernier point
important, au début du déploiement vous devrez vous identifier pour accéder à l’image
d’installation présente sur votre serveur. La syntaxe à utiliser pour le login d’un compte sans
domaine est “nom_serveur\nom_utilisateur” :
 Identification pour accéder à l’image de déploiement
Ça y est, vous avez un système capable de répondre à des requêtes de clients souhaitant un nouveau
système d’exploitation.

En résumé
• Windows Server offre la possibilité de gérer le déploiement d’images de systèmes
d’exploitation au travers du rôle WDS.
• Il est possible de démarrer un ordinateur client via le réseau, et d’installer un système
sans avoir besoin d’un CD ni d’une clé USB.
• Il est possible de mettre en œuvre un poste “master” qui pourra ensuite être aspiré sur le
WDS afin que l’image de son système d’exploitation, validée et configurée, soit redéployée
sur un parc entier de machines.
• WDS gère également les systèmes ne prenant pas en charge le PXE (démarrage via le
réseau) en utilisant des images de découverte pour “raccrocher” un poste sur un serveur
WDS après un démarrage via un média amovible (CD/DVD/USB).

Partagez un bureau avec vos utilisateurs

je vous propose de débuter dans l’aventure des bureaux virtuels. Vous allez pouvoir configurer
Windows Server de sorte que vos utilisateurs puissent utiliser le serveur en tant que poste de travail.
Ainsi, au lieu d’avoir un nombre conséquent de postes à administrer, vous n’aurez plus que votre
serveur à gérer, depuis lequel vous pourrez organiser la gestion des différents postes de travail.
Activez le bureau à distance

Dans le gestionnaire de serveur, rendez-vous sur le tableau de bord de votre serveur. Sélectionnez
“Bureau à distance” et cliquez sur la mention “Désactivé” (c’est un service désactivé par défaut
pour des raisons de sécurité) afin d’activer le service :

Autorisation des connexions à distance

Une fois que vous avez activé le service, voici les quelques opérations à effectuer:
1. Rendez-vous dans les propriétés système de votre serveur, sur l’onglet “Utilisation à
distance”.
2. Cochez la case “Autoriser les connexions à distance à cet ordinateur”.
3. Décochez “N’autoriser que la connexion des ordinateurs avec authentification NLA”.
4. Dans le pare-feu, ouvrez le port 3389/tcp à destination de votre serveur.
Maintenant, vous pouvez ouvrir le client sur un poste Windows. Pour cela, exécutez la commande
MSTSC:
 Client permettant l’accès à un bureau à distance

Entrez l’adresse IP de votre serveur et cliquez sur “Connexion”. Une fenêtre vous invite à vous
authentifier, entrez les identifiants de votre administrateur local et vous devriez avoir un
avertissement de sécurité.
En effet, cette connexion est chiffrée mais avec un certificat autosigné par Microsoft, il est
préférable d’utiliser un certificat de confiance qui ne soit pas autosigné. Validez et vous arrivez sur
le bureau de votre serveur!

Bureau du serveur à distance

Ainsi, vous pouvez fournir ce type d’accès à vos utilisateurs. Ils disposeront d’un bureau, sur le
serveur, qui leur sera propre (avec une session personnelle).

Vous devez vous assurer au préalable que les utilisateurs soient membres du groupe local
“Utilisateur du bureau à distance”.

Personnalisez le bureau à distance

Avec le temps, Microsoft a verrouillé ce type d’accès afin d’empêcher les utilisateurs non
administrateurs d’effectuer certaines actions. Ainsi vos utilisateurs auront une vue plus restreinte
de votre serveur ; ils ne pourront pas, par exemple, arrêter le serveur. De même, le gestionnaire de
serveur ne se lancera pas à l’ouverture de session et, même s’il est possible pour l’utilisateur de le
lancer, aucune action ne sera disponible.

Il convient tout de même de personnaliser le bureau d’un utilisateur en réduisant la présence de

certains raccourcis, notamment dans le menu Démarrer, se trouvant à l’emplacement suivant :

En supprimant dans ce répertoire des entrées, vous réduirez le nombre de raccourcis accessibles à votre
utilisateur.

Pour effectuer cela de manière générale, avant qu’un utilisateur ne se connecte, rendez-vous à
l’emplacement suivant:

Pour personnaliser encore plus la session, hors environnement,Active Directory ou les GPO vous
seront d’une grande aide ; rendez-vous dans l’éditeur de stratégie de groupe locale. Il s’agit des
mêmes paramètres que les GPO, sauf que l’impact ne sera visible que sur le serveur ou le poste
local.

Sachez que cette méthode restreint également les utilisateurs du groupe administrateurs locaux.
 Bureau restreint sur le serveur à tous les utilisateurs

Gérez une ferme de serveurs bureaux à distance

depuis Windows 2008, le bureau à distance s’est vu considérablement amélioré, notamment avec
des services dédiés à la gestion de bureaux à distance complètement intégrés, permettant
d’augmenter l’expérience utilisateur.
Reprenez les différentes contraintes que vous avez précédemment observées, ainsi que d’autres
contraintes propres au partage de bureau :
• Vous avez l’obligation de configurer des restrictions sur les serveurs.
• Vos utilisateurs ne pourront pas conserver leurs sessions s’il y a plusieurs serveurs
disponibles.
• La gestion des ressources se fera uniquement sur la disponibilité réseau du serveur et non sur
l’état de ses ressources réellement disponibles.
• Vous ne pourrez pas ajouter un serveur sans impacter la fourniture du service.
La liste peut être assez longue. La réponse à toutes ces contraintes : des services proposés par
Microsoft afin de mettre en œuvre du VDI (pour Virtual Desktop Infrastructure), une infrastructure
de bureau virtuel. À ne pas confondre avec le format de disque virtuel pour VirtualBox, qui
s'appelle aussi VDI.
Avec une infrastructure de ce type, vous allez pouvoir aller plus loin dans l’expérience utilisateur,
avec notamment :
• une gestion avancée des sessions (stockées à un emplacement unique, quel que soit le
nombre de sessions) ;
• la possibilité de déployer un bureau ou simplement des applications (sans avoir besoin de
les installer sur les postes clients) ;
• l’ajout simplifié de serveurs grâce à la création d’une sorte de ferme de serveurs où les
machines virtuelles dédiées au partage de bureau peuvent être plus simplement ajoutées.
Trois options s’offrent alors à vous :
 1. Plusieurs serveurs, chacun ayant un rôle spécifique dans le système VDI.
2. Un unique serveur regroupant tous les rôles VDI.
3. Des services MultiPoint qui permettent de créer des stations pour des utilisateurs, et de leur
donner accès avec des concentrateurs USB.
Voici un tableau comparatif des options de partage de bureau :

Les options 1 et 2 vous obligent à mettre en œuvre un Active Directory, car le(s) serveur(s)
hébergeant l’infrastructure doi(ven)t être membre(s) d’un domaine.

Les services MultiPoint

Commençons par le plus simple : grâce à ces services, vous allez pouvoir configurer un serveur qui
sera utilisé par plusieurs claviers, souris et écrans. Simple, non ? Ainsi, vous configurez ce serveur,
paramétrez ces services, et posez l’unité centrale au milieu d’un îlot de plusieurs bureaux. Chaque
utilisateur dispose de son propre clavier, sa souris et son écran.
Chaque utilisateur disposera également de sa propre session qu’il pourra utiliser comme s’il était
sur son propre ordinateur. Cela permet de considérablement réduire les frais matériels, mais
également de n’avoir qu’une seule unité centrale à gérer.
Par contre, vous vous retrouverez dans les mêmes contraintes que la dernière fois, à savoir :
• un nombre limité de sessions possible ;
• une administration, certes moindre qu’avec le nombre d’ordinateurs qu’il aurait fallu
mettre en place, mais tout de même autant de serveurs MultiPoint que de groupes
d’utilisateurs.
Cette solution, de par son coût d’implémentation réduit (1 seule licence) permet de répondre à
certains cas d’usage, tels que les environnements scolaires où il est plus pratique de n’avoir qu’un
seul poste pour une seule classe.
Vous allez vous focaliser sur la mise en œuvre avec un serveur unique. Bien qu’une mise en œuvre
avec plusieurs serveurs nécessite plus de temps, la démarche restera la même. Vous pourrez donc
appliquer ce que vous avez appris sur serveur unique, à la mise en œuvre de plusieurs serveurs.
Mettez en place un serveur unique regroupant tous les rôles VDI
La première étape dans le VDI Microsoft consiste à mettre en œuvre l’intégralité des rôles et
services sur un unique serveur.
Pour cette option de déploiement, vous avez deux scénarios:
1. Utiliser des ordinateurs virtuels.
2. Utiliser des sessions sur le serveur actuel.
À l’aide de l’assistant “Ajout de rôles et fonctionnalités”, ajoutez des services de bureaux à
distance :

Ajout des services de Bureau à distance

Sélectionnez le scénario avec un unique serveur et déployez uniquement des sessions :

 Sélection du type de déploiement

L’installation se lance, et vous devrez obligatoirement redémarrer le serveur pour finaliser la

configuration :

Installation des services de bureau à distance.

Pour pouvor réaliser cette étape vous devez obligatoirement être rattaché à un domaine et donc
activer le rôle AD DS. N’hésitez pas à aller lire le cours dédié à Active Directory pour en savoir
plus.
Les rôles et services de rôle suivants seront installés sur votre serveur:
• Service Broker pour les connexions Bureau à distance.
• Accès web des services Bureau à distance.
• Hôte de session Bureau à distance.

Le Service Broker pour les connexions Bureau à distance permet de diriger les utilisateurs vers le
serveur le moins sollicité de la ferme (pour le coup, ici il n’y en a qu’un) afin de répartir la charge.
Il permet également aux utilisateurs de se reconnecter à leur session existante.
L’accès web des services Bureau à distance permet de fournir une interface web pour accéder aux
services de bureau à distance et aux applications disponibles directement sans bureau. Ce servuce
nécéssite l'installation de rôle Serveur Web (IIS), que nous détaillerons dans un chapitre dédié.
L’hôte de session Bureau à distance est le serveur qui héberge le bureau et les applications (via
RemoteApp) disponibles aux utilisateurs.
Un redémarrage sera nécessaire après l'installation de ces nouveaux services et rôles.
Maintenant que ces services sont installés, il vous est possible de vérifier l’installation en vous
rendant sur https://localhost/rdWeb. Là encore le certificat est autosigné, il vousfaudra donc
ignorer les avertissements.

Accès au bureau web à distance

Vous retrouvez alors, après authentification (n'oubliez pas que le login doit s'écrire de cette façon :
"nom_serveur\nom_utilisateur", si vous n'êtes pas rattaché à un domaine), une page web vous
proposant par défaut la calculatrice, Paint et WordPad:
 ccès à la calculatrice via les services Bureau à distance (il s’agit de RemoteApp)
Vous pouvez accéder à ce service sur votre réseau après avoir ouvert le port 443 en plus du port
3389 sur le pare-feu Windows.
Cela est particulièrement pratique pour fournir des applications à des utilisateurs sans avoir à
installer quoi que ce soit sur le poste client.
Si vous souhaitez faire apparaître le bureau dans cette liste, aucun souci, rendez-vous sur le
gestionnaire de serveur dans la partie “Services Bureau à distance”, puis dans la partie
“QuickSessionCollection” qui a été créée par défaut (vous pouvez renommer cette collection de
service via ses propriétés).
Ensuite, accédez à la partie “Programmes RemoteApp”, ajoutez les programmes dont vous avez
besoin via les tâches disponibles sur le coin supérieur droit de cet encart.

ajouter de nouvelles applications sur le Bureau à distance web (RemoteApp)

Pour le bureau, vous retrouverez le programme “Connexion bureau à distance”.
 liste des applications RemoteApp

C’est un moyen idéal pour fournir un accès à des outils d’administration (tels que le gestionnaire
IIS) à vos collègues.

En résumé
• Les services Bureau à distance permettent, en plus de partager un bureau, de publier des
applications que vos utilisateurs pourront utiliser, sans avoir à les installer.
• Windows Server simplifie le déploiement d’infrastructure de bureaux partagés via les
services Bureau à distance.
• Un accès web permet de centraliser tous les accès aux services de bureau à distance.
• Ces services permettent, via l’AD, de continuer la centralisation de l’administration et des
accès, permettant ainsi de garantir la sécurité en maîtrisant les accès aux applications
validées uniquement.