Administration Windows Server - Niveau2

ADMINISTRATION
WINDOWS SERVER
Découverte des rôles et
fonctionnalités Windows Server
dont le DNS, le DHCP et l’Active
Directory
L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 1

RÔLE AND FEATURES
OPTIONS WINDOWS SERVER
 Qu’est-ce qu’un Rôles ?

 Un application ou un outil permettant de rendre un services aux utilisateurs
(Annuaire centralisé, DNS, DHCP, partage de fichiers, …)
 Qu’est-ce qu’une fonctionnalité (ou features)

 Options évoluées d’implémentation des rôles (réplication de fichiers, haute disponibilité, …)

RÔLE WINDOWS SERVER
 Un rôle de serveur est un ensemble de programmes logiciels qui, une fois installés et correctement configurés, permettent à un
ordinateur de remplir une fonction spécifique pour plusieurs utilisateurs ou pour d’autres ordinateurs sur un réseau. En règle
générale, les rôles partagent les caractéristiques suivantes :
• Ils décrivent la fonction, l’utilisation ou le but principal d’un ordinateur. Un ordinateur spécifique peut être consacré à un rôle unique
très utilisé dans l’entreprise, ou bien remplir plusieurs rôles si chaque rôle est uniquement peu utilisé dans l’entreprise.
•
Ils fournissent aux utilisateurs d’une organisation un accès à des ressources gérées par d’autres ordinateurs, tels que des sites Web,
des imprimantes ou des fichiers stockés sur différents ordinateurs.
•
Ils incluent généralement leurs propres bases de données, qui peuvent placer des demandes d’utilisateur ou d’ordinateur en file
d’attente ou enregistrer des informations sur des utilisateurs ou des ordinateurs réseau associés au rôle. Par exemple, Services de
domaine Active Directory inclut une base de données pour le stockage des noms et des relations hiérarchiques de tous les
ordinateurs d’un réseau.
 Dès qu’ils sont installés et configurés correctement, les rôles fonctionnent automatiquement. Ceci permet aux ordinateurs sur lesquels
ils sont installés d’effectuer les tâches prescrites avec une supervision ou des commandes utilisateur limitées.

FONCTIONNALITÉ WINDOWS SERVER
 Les fonctionnalités sont des programmes logiciels qui, bien que ne faisant pas directement partie des rôles,
peuvent prendre en charge ou augmenter la fonctionnalité d’un ou de plusieurs rôles, ou encore améliorer la
fonctionnalité de la totalité du serveur, quels que soient les rôles installés.
 Par exemple, la fonctionnalité Clustering avec basculement augmente la fonctionnalité des autres rôles, tels
que Services de fichiers et Serveur DHCP, en leur permettant de rejoindre des clusters de serveurs afin
d’augmenter la redondance et d’améliorer les performances.
 Une autre fonctionnalité, Client Telnet, vous permet de communiquer à distance avec un serveur telnet via
une connexion réseau, ce qui améliore les options de communication du serveur dans sa globalité.

AVEZ-VOUS DES QUESTIONS ?
www.learn2skill.com

RÔLE DNS SERVER
QU’EST CE QUE DNS ?
Domain Name System

=> l'ensemble des organismes qui gèrent les noms de domaine.
Domain Name Service

=> le protocole qui permet d'échanger des informations à propos
des domaines.
Domain Name Server

=> un ordinateur sur lequel fonctionne un logiciel serveur qui
comprend le protocole DNS et qui peut répondre à des questions
concernant un domaine.

RÉSOLUTION DE NOM
 La résolution de nom normale (forward lookup)

permet de trouver une adresse IP à partir d'un nom
reverse
 La résolution inverse (reverse lookup) permet de
trouver un nom à partir d'une adresse IP NOM ADRESSE IP
forward

HIÉRARCHIE DU DNS

GESTION DES ENREGISTREMENTS DNS
L'ICANN est un organisme qui gère la liste des Top Level Domain (TLD): .com, .net, .org, .fr, .uk...
Il existe une TLD par pays (.fr pour France, .it pour Italie, .de pour l'Allemagne, etc.), ainsi que quelques TLD générales (.com, .net, .org, .mil, .biz...).
L'ICANN délègue la gestion de chaque TLD à un organisme (appelé REGISTRY ).
Chaque REGISTRY autorise des REGISTRARS à vendre des noms de domaine (rôle commercial).
Exemple:
Pour .fr : L'AFNIC autorise d'autres organismes à vendre des noms de domaine (comme Globenet, Nerim, Claranet, Renater,..).
Pour com/net/org/name/info/biz : VeriSign autorise d'autres organismes à vendre des noms de domaine (comme Network Solutions, Gandi, British
Telecom...).

TYPES DE ZONES DNS
Zone principale (ou DNS Primaire)

Lorsqu’une zone hébergée par ce serveur DNS est une zone principale, le serveur DNS est la source principale d’informations concernant cette zone et il stocke la copie maître des données de zone dans un fichier local ou
dans les services de domaine Active Directory. Lorsque la zone est stockée dans un fichier, par défaut le fichier de zone principale se nomme nom_zone.dns et il se trouve dans le dossier %windir%\System32\Dns sur le
serveur.
Zone secondaire (ou DNS Secondaire)
Lorsqu’une zone hébergée par ce serveur DNS est une zone secondaire, ce serveur DNS est une source secondaire d’informations concernant cette zone. La zone sur ce serveur doit être obtenue à partir d’un autre ordinateur
serveur DNS distant qui héberge également la zone. Ce serveur DNS doit disposer d’un accès réseau au serveur DNS distant qui lui fournit des informations mises à jour concernant la zone. Une zone secondaire étant
simplement une copie d’une zone principale hébergée sur un autre serveur, elle ne peut pas être stockée dans les services de domaine Active Directory.
Zone de stub (ou Redirecteur)
Lorsqu’une zone hébergée par ce serveur DNS est une zone de stub, ce serveur DNS est une source d’informations concernant uniquement les serveurs de noms faisant autorité pour cette zone. La zone sur ce serveur doit
être obtenue à partir d’un autre serveur DNS qui héberge la zone. Ce serveur DNS doit disposer d’un accès réseau au serveur DNS distant afin de pouvoir copier les informations relatives aux serveurs de noms faisant autorité
concernant la zone.
Vous pouvez utiliser des zones de stub pour :
 maintenir à jour les informations de zones déléguées. Grâce à la mise à jour régulière d’une zone de stub pour l’une de ses zones enfants, le serveur DNS qui héberge la zone parente et la zone de stub maintiendra une
liste à jour des serveurs DNS de référence pour la zone enfant.
 améliorer la résolution de noms. Les zones de stub permettent à un serveur DNS d’effectuer la récursivité à l’aide de la liste de serveurs de noms de la zone de stub sans avoir à interroger un serveur racine interne ou
Internet pour l’espace de noms DNS.
 simplifier l’administration DNS. L’utilisation de zones de stub dans toute votre infrastructure DNS vous permet de distribuer une liste de serveurs DNS de référence pour une zone sans utiliser de zones secondaires.
Toutefois, les zones de stub ne remplissent pas le même rôle que les zones secondaires et elles ne constituent pas une alternative pour l’amélioration de la redondance et du partage de la charge.
Intégré à Active Directory

TYPES D’ENREGISTREMENTS
Un serveur DNS regroupent dans sa base de données différents types d’enregistrements. Ils se composent de la sorte
:
❑ A
❑ AAAA
❑ CNAME
❑ NS
❑ SPF
❑ TXT
❑ MX
❑ SRV
❑ PTR

L’ENREGISTREMENT A (IN A)
Champ d’application :
 L’enregistrement DNS de type A permet de relier un nom d’hôte (domaine ou sous-domaine) à l’adresse IP d’un serveur.
Fonctionnement général des enregistrements A :
Vous pouvez faire pointer :
nomdedomaine.com vers un serveur portant l’IP46.31.192.222 .xxx
et /ou
www.nomdemonaine.com vers un serveur portant l’IP46.31.192.222.yyy
et/ou
intranet.mondomaine.com vers un serveur portant l’IP 46.31.192.222 .zzz
 => Cela se traduit ainsi :
 nomdedomaine.com A 46.31.192.222 .xxx
 www.nomdemonaine.com A 46.31.192.222 .yyy
 intranet.mondomaine.com A 46.31.192.222 .zzz

L’ENREGISTREMENT AAAA (IN AAAA)
L’enregistrement AAAA (IN AAAA)

 L’enregistrement DNS de type A permet de relier un nom d’hôte (domaine ou sous-domaine) à l’adresse IP d’un
serveur, lorsque celle ci est formatée en IPv6
L’enregistrement est alors de type :
 nomdedomaine.com A 2001:0db8:0000:85a3:0000:0000:ac1f:8001

L’ENREGISTREMENT CNAME (IN CNAME)
 L’enregistrement DNS de type CNAME vous permet de relier un nom d’hôte vers l’enregistrement DNS d’un autre nom d’hôte, sur le principe de l’alias.
Fonctionnement général des enregistrements CNAME :
 Dans votre zone DNS, vous avez un enregistrement pour le sous-domaine www.nomdedomaine.com vers l’IP de serveur 46.31.192.222.yyy
Vous avez créé un sous domaine blog.nomdedomaine.com que vous souhaitez faire pointer sur cette même IP de serveur.
 Vous pouvez faire pointer votre sous-domaine en utilisant une entrée de type CNAME :
blog.nomdemonaine.com doit pointer vers la même IP que www.nomdedomaine.com
 => Cela se traduit ainsi :
 blog.nomdemonaine.com CNAME www.nomdedomaine.com
À noter :
 Cet enregistrement ne signifie pas que lorsque qu’un internaute appellera blog.nomdedomaine.com dans son navigateur, il sera redirigé vers le site
www.nomdedomaine.com.
 Il signifie juste que blog.nomdeodmaine.com pointera vers la même IP de serveur que www.nomdedomaine.com.
Ensuite, c’est la configuration du serveur qui fera pointer les sous-domaines vers un service ou un autre.

L’ENREGISTREMENT NS
 Les enregistrements NS indiquent quels sont les serveurs qui vont gérer votre zone DNS.
Fonctionnement général des enregistrements NS :
 Lorsque vous déposez un nom de domaine, afin de le relier aux différents services pour lesquels vous allez l’utiliser, vous devez indiquer
quels seront les serveurs DNS qui vont héberger les paramétrages de votre zone DNS.
 Généralement, l’on utilise 2 ou 3 noms de serveurs DNS :
 le serveur primaire, mais également un ou deux serveurs secondaires qui peuvent prendre le relais en cas d’indisponibilité du serveur DNS
primaire.
 Ainsi par exemple, pour les noms de domaines dont les zones d’enregistrement DNS sont gérées par Icodia, les noms de serveurs DNS sont
:
 NS.ICODIA.COM
 NS2.ICODIA.COM
 NS3.ICODIA.COM

L’ENREGISTREMENT SPF
 L’enregistrement SPF sert à déterminer quels sont les serveurs autorisés à envoyer des emails depuis votre nom de domaine.
Fonctionnement général des enregistrements SPF :
 Il est très facile d’envoyer un email en usurpant votre identité, il suffit pour cela de mettre votre adresse email dans le champ DE d’un email.
 Si vous paramétrez un enregistrement SPF, les systèmes antispam des serveurs d’email de vos destinataires auront un moyen de s’assurer que votre
email est bien envoyé depuis un serveur que vous avez autorisé, et qu’il ne s’agit pas là d’une usurpation d’identité.
À noter :
Lorsque vous spécifiez des enregistrements SPF, il vous faut penser à indiquer :
 le ou les serveur SMTP que vous utilisez pour l’envoi de vos emails :
vous ET les autres utilisateurs d’adresses email utilisant votre nom de domaine
 le ou les serveurs qui hébergent votre/vos site utilisant ce nom de domaine :
en effet, si votre site est programmé pour envoyer des emails grâce à la fonction mail de PHP, il vous faut absolument penser à indiquer ces serveurs
dans votre enregistrement SPF (concerne par exemple l’envoi d’emails depuis un formulaire de contact, les envois d’emails automatiques à la création
d’un compte utilisateur sur votre site, pour retrouver des identifiants, pour des confirmations de commandes etc.)

L’ENREGISTREMENT TXT
 L’enregistrement de type TXT permet d’intégrer une zone DNS en texte libre.
Fonctionnement général des enregistrements TXT :

 Il est par exemple utilisé pour spécifier des règles SPF, tous les serveurs ne disposant pas d’une gestion de ce
protocole.
Ainsi, un serveur qui ne gèrera pas le SPF pourra tout de même informer ou être informé de la présence de règles
d’utilisation d’un nom de domaine dans le cadre de SPF.

LES ENREGISTREMENTS MX
 Un enregistrement MX définit quel est ou quels sont les serveurs qui gèrent les services emails reliés à un nom de
domaine.
 La mise en place d’enregistrements MX sur un nom de domaine concerne les utilisateurs qui souhaitent utiliser un
service email dédié (sur serveur dédié chez Icodia ou un autre hébergeur, ou encore sur un serveur de messagerie
en interne )

L’ENREGISTREMENT SRV
 L’enregistrement SRV sert à indiquer quel est le serveur qui gère un service spécifique.
 Il est utilisé pour des protocoles comme XMPP, SIP, LDAP...

L’outil Lync Online de Office 365 de Microsoft, par exemple, requiert l’utilisation du protocole SIP, vous devrez
configurer un enregistrement SRV.

INSTALLATION DU RÔLE DNS SERVER
Toujours dans la console de gestion, accédez a « Manage » puis « Add Roles and Features »

INSTALLATION DU RÔLE DNS SERVER
 Sélectionnez DNS Server

CONSOLE D’ADMINISTRATION DNS
 Ipconfig /displaydns
 Ipconfig /flushdns
 Ping –a
 Nslookup

CRÉATION D’UNE ZONE DNS
 Dans les choix de type de zone, cochez

Primary zone
 Cochez l’option Store the zone in…. pour
intégrer la zone DNS dans l’Active Directory,
 Cliquez sur Next

 Laissez par défaut sur To all DNS servers running

on domain controllers in this domain

 Cochez IPv4 Reverse Lookup Zone

 Cochez IPv4 Reverse Lookup Zone
 Entrez les 3 premiers octet de l’adressage IP de

votre réseau

 Choisissez le mode de mise a jour automatique des

données de la zone DNS

OUTILS POUR LA RÉSOLUTION DE NOM
 Ipconfig /displaydns
 Ipconfig /flushdns
 Ping –a
 Nslookup

APPLICATIONS DE SERVEUR DNS
 BIND (Berkeley Internet Name Domain)
 Rôle DNS de Windows Server

www.learn2skill.com

RÔLE DHCP SERVER
QU’EST CE QUE DHCP ?
DHCP signifie Dynamic Host Configuration Protocol. Il s'agit d'un protocole qui permet à un ordinateur qui se connecte
sur un réseau local d'obtenir dynamiquement et automatiquement sa configuration IP.
Le but principal étant la simplification de l'administration d'un réseau. On voit généralement le protocole DHCP
comment distribuant des adresses IP, mais il a été conçu au départ comme complément au protocole BOOTP
(Bootstrap Protocol) qui est utilisé par exemple lorsque l'on installe une machine à travers un réseau (on peut
effectivement installer complètement un ordinateur, et c'est beaucoup plus rapide que de le faire en à la main). Cette
dernière possibilité est très intéressante pour la maintenance de gros parcs machines.
Les versions actuelles des serveurs DHCP fonctionne pour IPv4 (adresses IP sur 4 octets). Une spécification pour IPv6
(adresses IP sur 16 octets) est en cours de développement par l'IETF.

REQUÊTE DHCP
Mnémotechnique : DORA
Discover Offer Request Ack

INSTALLATION DU RÔLE DHCP
 Depuis le Gestionnaire de serveur, cliquer sur

l’étape Gérer puis Ajouter des rôles et
fonctionnalités.
 Sélectionner le type d’installation « Installation
basée sur un rôle ou une fonctionnalité ».
 Avec un seul serveur dans le pool, cliquez
sur Suivant

CONFIGURATION INITIALE DU SERVEUR DHCP
 Depuis cette console, vous allez pouvoir créer vos

étendues DHCP. Nous allons créer notre première
étendue IPv4 pour que les clients puissent obtenir
une adresse IP automatiquement.
 Effectuer un clic droit sur IPv4, puis sélectionner
« Nouvelle étendue…« .

 Donnez un nom à votre

nouvelle étendue.
 NB: On parle d’étendue
d’adresses pour définir une
plage d’adresses IP disponibles
pour un bail spécifique. En
règle générale, une étendue
s’appuie sur les adresses d’un
sous-réseau particulier.
 Vous pouvez maintenant définir
la plage d’adresses IP pour
cette étendue. Cliquez ensuite
sur Suivant.

 Vous pouvez si vous le souhaitez, ajouter une ou

plusieurs plages d’exclusions. Ce sont les adresses
qui ne seront pas distribuées par le serveur DHCP.

 La durée du bail spécifie la durée pendant

laquelle un client peut utiliser une adresse IP de
l’étendue que vous êtes en train de créer, par
défaut, le bail est limité à 8 jours. Vous pouvez le
modifier suivant vos besoins. Par exemple si
vous créer un serveur DHCP pour un réseau
WiFi public, un bail de 24H est suffisant.

 Lors de la configuration des paramètres

DHCP, vous allez pouvoir ajouter la
passerelle par défaut, c’est cette
passerelle qui sera ajoutée sur tous les
clients de l’étendue. Vous pouvez avec
une ou plusieurs passerelles.
 Même chose au niveau du serveur DNS,
ajouter la ou les adresses des serveurs
DNS que vous souhaitez utiliser.

CONFIGURATION
INITIALE DU
SERVEUR DHCP
Et voila !

OUTILS
 Ipconfig /release
 Ipconfig /renew

www.learn2skill.com

RÔLE ACTIVE DIRECTORY
RÔLES DE L’ACTIVE DIRECTORY
 Centralisation du contrôle des ressources du réseau
 Centralisation et décentralisation de la gestion des ressources
 Stockage des objets de manière sécurisée dans une structure logique
 Optimisation du trafic réseau
 Très forte intéraction entre Active Directory et le DNS (zones DNS intégrées à l‘Active Directory)
 Facilité d‘administration pour un point central

RÔLES ACTIVE DIRECTORY : ADDS
 En utilisant le rôle Service de Domaine Active Directory ou « AD DS », il est possible de gérer les comptes utilisateurs
ainsi que les ressources mais vous avez également la prise en charge des applications utilisant l’authentification LDAP
(telles que Microsoft Exchange Server).
 Ce rôle sert aussi à organiser de façon hiérarchique les éléments d’un réseau tels que les utilisateurs, les ordinateurs et
autres périphériques. Le serveur qui va exécuter l’AD DS se nomme le contrôleur de domaine.
 De plus, l’AD DS est sécurisé grâce à l’authentification d’ouverture de session et le contrôle d’accès aux ressources de
l’annuaire. Avec l’ouverture de session réseau unique, les administrateurs peuvent gérer les données de leur réseau.
Ainsi les utilisateurs autorisés peuvent également utiliser une ouverture de session réseau unique pour accéder aux
ressources sur leur réseau.

RÔLES ACTIVE DIRECTORY : ADCS
 L’ADCS ou Active Directory Certificate Services est un rôle d’Active Directory proposant différents services configurables pour créer et gérer des clés et
certificats utilisés pour la protection des logiciels. Cela signifie qu’ADCS est utilisé par les entreprises afin améliorer la sécurité. En effet, grâce à ADCS il est
possible de lier facilement un utilisateur ou un périphérique à une clé privée qui lui correspondra. Pour une organisation ayant besoin d’utiliser de nombreux
certificats afin de protéger un grand nombre de données, gérer ses certificats de manière non centralisée peut vite s’avérer être une tâche problématique
voir même impossible. ADCS se présente donc comme un produit efficace pour gérer l’utilisation de certificats de manière centralisée et sécurisée.
 ADCS prend en charge de nombreuses applications utilisés pour les réseaux (se trouvant ou non sur internet). Les différents services proposés par ADCS
peuvent être installé sur un unique serveur ou sur plusieurs serveurs selon les besoins d’une organisation. Ces services sont:
 Le répondeur en ligne: Ce service est basé sur le protocole OSCP. Il est utilisé pour demandé l’état des certificats et recevoir une réponse signée. C’est grâce a l’utilisation du
protocole OSCP qu’il est possible de recevoir uniquement les informations dont l’utilisateur a besoin.
 Les autorités de certification: Elles servent à émettre des certificats aux utilisateurs, ordinateurs, services et permettent ainsi de vérifier la validité des certificats.
 L’inscription d’autorité de certification Web: Elle permet aux utilisateurs de demander des certificats directement via le Web.
 Services de périphériques réseau: Cette fonctionnalité a pour but de permettre à tout les périphériques réseau (routeur …) d’obtenir des certificats.
 Des nouveautés sont apparut pour ADCS avec Windows Server 2008 R2. L’inscription de certificat peut désormais se faire directement via l’utilisation du
protocole HTTPS. La prise en charge des certificats à volume important a également été améliorée.

RÔLES ACTIVE DIRECTORY : ADRMS
La fonction de l’ADRMS est un nouveau rôle depuis Windows Server 2008 R2. C’est un acronyme pour Active Directory
Rights Management Services.
Il permet donc de gérer les droits sur les fichiers des utilisateurs. Chaque utilisateur pourra faire un réglage fin des ACL et
d’autres attributs complets tel que la possibilité de sauvegarder le fichier, de l’imprimer…
Il permet aussi le chiffrement et déchiffrement de contenu.
Il permet donc de restreindre l’accès aux différentes personnes d’une entreprise. ADRMS gère les certificats et licences.

RÔLES ACTIVE DIRECTORY : ADFS
 ADFS ou Active Directory Federation Services est un des cinq rôles d’Active Directory mis en place avec Windows Server 2008.
 Comme son nom l’indique, ADFS est un service de fédération. Concrètement cela signifie qu’il sert à unifier des applications se trouvant sur internet afin de simplifier leur utilisation et
cela, même si ces applications ne se trouvent pas sur le même réseau, le tout sans se soucier de la plateforme (Windows ou non Windows).
 Normalement, si un utilisateur se trouve sur un réseau, il doit s’identifier à chaque fois qu’il va chercher des applications étant sur un autre réseau afin que le serveur web puisse
reconnaître cet utilisateur comme ayant accès à cette application. Et bien avec ADFS, une seule connexion est nécessaire. En effet, ADFS va transmettre au serveur web les informations
sur l’identité de l’utilisateur et ainsi donner l’accès instantanément à l’utilisateur si ce dernier est autorisé à accéder à l’application. Ce système servant à éviter la réauthentification de
l’utilisateur est appelé SSO ou Single Sign On. Il est très utile lors de partenariats entre plusieurs organisations. En effet, chacune de ces organisations peut gérer indépendamment ses
droits d’utilisateurs, mais peut aussi en transmettre et en accepter d’autres venants d’une organisation partenaire.
 ADFS propose différents services qui, une fois configurés, permettent le SSO.
 Ces services sont:
 Le service de fédération. Il est utilisé pour centraliser les demandes d’authentifications venant d’utilisateurs se trouvant sur d’autres réseaux.
 Le proxy du service de fédération. Son but est de collecter les informations d’identification grâce aux navigateurs web, puis d’envoyer ces informations au service de fédération.
 Le service d’agent Web. Installé sur un serveur web, il sert à créer et gérer des jetons de sécurité, utilisés pour donner des autorisations à l’accès à une application se trouvant sur le serveur.
 ADFS possède des avantages par rapport à sa précédente version distribuée avec Windows Server 2003 R2. En effet, certaines applications supportent maintenant nativement les
services de fédération (Microsoft Office SharePoint Server 2007, ADRMS). Le système d’importation et d’exportation des paramètres de fédération a été simplifié. Son installation est
plus facile, rapide et sécurisée. L’assistant d’installation vérifie chaque point important afin d’éviter tout problème et son installation est directement intégrée au gestionnaire de serveur
Windows Serveur 2008.

RÔLES ACTIVE DIRECTORY : ADLDS
Le nouveau rôle ADLDS (Active Directory Lightweight Directory Services) est le remplaçant de ADAM (Active Directory Application Mode). Du moins il
en a les mêmes fonctionnalités que l’ADDS en mode applicatif soit l’ADAM.
ADLDS permet d’avoir donc un ADDS léger permettant de regrouper les mêmes fonctions. Incluant donc un service d’annuaire LDAP.
Il se veut plus léger que le service ADDS donc il réclame moins de dépendance. On peut en déduire donc que quelques fonctions ne sont pas dans ce
rôle qui a pour but principal de fournir un service LDAP qui permet aux applications demandeuses d’avoir un endroit pour stocker et récupérer les
donnée de ce type.
Il permet d’utiliser des applications « directory-enabled ». Ce type d’application utilise un annuaire pour pouvoir stocker et retrouver les données, ce
n’est pas comme les autres applications traditionnelles qui utiliserai plutôt une base de donnée ou autre ; ce type de stockage permet de bonne
performance en lecture.
Windows ne peut pas utiliser les utilisateurs stockés dans ADLDS pour l’authentification sauf si on a un ADDS déjà installé et donc ADLDS peut
invoquer la fonction pour l’authentification avec ses utilisateurs.
ADLDS est souvent utilisé pour faire un annuaire extranet par exemple pour des fournisseurs qui ne sont pas des éléments interne à l’entreprise et
donc on ne les inclus pas dans ADDS.
ADLDS ne supporte pas les domaines et forêts, les catalogues ou les Group Policy.

STRUCTURE LOGIQUE DE L’ACTIVE DIRECTORY
Arborescence de domaines Domaine
 Une forêt se compose d'un ou de plusieurs domaines

ayant en commun Domaine
Domaine Domaine
un schéma et un catalogue global.
 Une organisation peut disposer de plusieurs forêts. OU

Objets
Domaine Domaine
 Le conteneur Active Directory situé au niveau
supérieur est appelé une « O OU
forêt ». U
Domaine
 Une forêt est une limite de sécurité et
d'administration pour tous les Unité d'organisation
objets qu'elle contient.
Forêt
Forêt 1 Forêt 2
EXEMPLE STRUCTURE LOGIQUE Arborescence

oameri.local
ad.priv
microsoft.lan
users.ad.priv
learning.
oameri.local Domaine computers.ad.priv
consulting.
oameri.local msdn.microsoft.lan
technet.microsoft.lan

DOMAINE ACTIVE DIRECTORY
Un domaine est un regroupement logique d’ordinateur en réseaux partageant une même base d’annuaire centrale (Active
Directory).
La base d’annuaire contient objets utilisateurs ordinateurs etc., les informations sur la sécurité relative au domaine, les GPO etc.
L’administration et la sécurité sont centralisées contrairement au Workgroups.

Chaque Contrôleur de domaine stocke et tient à jour une copie de l’annuaire.
Un serveur membre est un serveur qui n’est pas Contrôleur de domaine mais intégré au domaine Windows.
Un domaine Windows est lié à un nom DNS du type « oameri.local ».

STRUCTURE PHYSIQUE DE L’ACTIVE DIRECTORY
Site
 Sites
 Contrôleurs de domaine Liaisons WAN

 Liaisons WAN
Site Contrôleurs de domaine

LE SERVICE D’ANNUAIRE
 Base de donnée de référence du système informatique

 Contient toutes les entités de l’infrastructure réseau et système
 Ordinateurs, …
 Applications, …
 Utilisateurs, …
 Entités représentée sous forme d’objets
 Objets classés dans des OU (ou conteneur)

RÔLES FSMO (FLEXIBLE SINGLE MASTER OPERATION)
❑ Maître d'attribution de noms de domaine (Domain Naming Master). Unique sur la foret. Contrôle l'ajout ou la suppression de
domaines dans la forêt.
❑ Contrôleur de schéma (Schema Master). Unique sur la foret. Contrôle toutes les mises à jour et modifications du schéma.
❑ Maître des identificateurs relatifs (RID Master). Existe sur chaque domaine. Il alloue des séquences d'ID relatifs (RID) à chacun des
différents contrôleurs de domaine de son domaine, ces Id sont utilisés dans la constitution des SID des objets.
❑ Émulateur PDC (PDC Emulator). Existe sur chaque domaine. Synchronise l'heure sur tous les contrôleurs de domaine du domaine. Il
traite les modifications de mot de passe des clients et réplique les mises à jour sur les contrôleurs secondaires de domaine.
❑ Maître d'infrastructure (Infrastructure).
Existe sur chaque domaine. Le maître d'infrastructure est responsable de la mise à jour des références des objets de son domaine sur les
objets des autres domaines. Le maître d'infrastructure compare ses données à celles du catalogue global

RODC : READ ONLY DOMAIN CONTROLER
Base de données de l’annuaire

❑ Exceptés les mots de passe utilisateurs, un RODC a une copie de l'intégralité des objets, attributs, classes... d'un AD normal.
❑ Les demandes en lectures sont autorisées, tandis que les demandes d'écriture sont transférées à un DC en écriture.
Filtrage des attributs
❑ Parce que certains attributs sont critiques bien que n'étant pas des mots de passe, vous souhaiterez peut être ne pas les héberger sur un RODC,
au cas où celui-ci serait volé ou compromis.
❑ Il faut ajouter cet attribut à la liste des attributs filtrés, afin de ne pas le répliquer sur les RODC de la forêt
A quel moment utiliser un RODC

❑ La règle générale est de déployer les RODC à des emplacements considérés comme sensibles.
▪ Une filiale sans service informatique
▪ L'extranet de la société ou autre périmètre applicatif nécessitant une
authentification LDAP

CATALOGUE GLOBAL
❑ Référence les objets et les attributs de tous les

domaines de la forêt
❑ Référence uniquement les attributs et les classes

importantes
❑ Accélère les recherches inter-domaine
❑ Gère les groupes universels

NIVEAU FONCTIONEL
Un niveau fonctionnel, c’est quoi ?

❑ Un niveau fonctionnel détermine les fonctionnalités des services de domaine Active Directory qui sont disponibles dans un
domaine ou une forêt.
❑ Le niveau fonctionnel permet de limiter les fonctionnalités de l’annuaire au niveau actuel afin d’assurer la compatibilité avec les
plus anciennes versions des contrôleurs de domaine.
Pourquoi augmenter le niveau fonctionnel ?
❑ Plus le niveau fonctionnel est haut, plus vous pourrez bénéficier des dernières nouveautés liées à l’Active Directory et à sa
structure. Ce qui rejoint la réponse à la question précédente.
❑ Par ailleurs, vous serez obligé d’augmenter le niveau fonctionnel pour ajouter la prise en charge des derniers systèmes
d’exploitation Windows pour les contrôleurs de domaine. Par exemple, si le niveau fonctionnel est « Windows Server 2003 »,
vous ne pourrez pas ajouter un nouveau contrôleur de domaine sous Windows Server 2012 et les versions plus récentes.

GROUPE ACTIVE DIRECTORY
Groupe : il est principalement destiné à établir des listes

d'utilisateurs pour leur attribuer des droits ou des services. On
distingue trois types de groupes :
❑ Le groupe global : il peut contenir des utilisateurs de son
domaine et ne peut être placé que sur des ressources de
son domaine.
❑ Le groupe local : au sein d'un domaine, il est
principalement utilisé pour affecter des droits à des
ressources dans un domaine. Il peut comprendre des
utilisateurs, des groupes globaux ou universels de tous les
domaines de l'annuaire.
❑ Le groupe universel : disponible depuis la version 2000,
permet d'inclure des groupes et utilisateurs d'autres
domaines.

RELATIONS D’APPROBATIONS
Les relations d'approbation permettent à un utilisateur d'un domaine

d'accéder aux ressources d'un autre domaine.
La direction : Une relation d'approbation, peut être soit unidirectionnelle c'est à dire dans un seul sens ou alors bidirectionnelle c'est à dire dans les
deux sens. Une relation unidirectionnelle permet d'approuver un domaine à partir d'un autre domaine sans que l'inverse soit appliqué. C'est à dire
que si un domaine A approuve un domaine B, alors les utilisateurs du domaine B pourront accéder aux ressources du domaine A mais l'inverse
ne serra pas possible. Relation établie entre 2 domaines où le domaine autorisé à approuver assure l’authentification d’ouverture de session du
domaine approuvé.
La transitivité : Elle fait référence à la notion mathématique au sens propre du terme, c'est à dire que si un domaine A approuve un domaine B et que
le domaine B approuve lui même un domaine C alors implicitement le domaine A approuvera le domaine C

NOM UNIQUE ET NOM RELATIF
❑ Le nom unique identifie le domaine et le chemin d'accès d'un objet

 CN=Omid AMERI, OU=Utilisateurs, OU=Formation, DC=oameri, DC=local
❑ Le nom unique relatif identifie l‘objet dans le domaine

 Omid AMERI

OUTILS D’ADMINISTRATION ACTIVE DIRECTORY
❑ Composants logiciels enfichables MMC d'administration

 Utilisateurs et ordinateurs Active Directory
 Domaines et approbations Active Directory
 Sites et services Active Directory
 Schéma Active Directory
❑ Outils de ligne de commande d'administration
 Dsadd, Dsmod, Dsquery, Dsmove, DSrm, DSget
 CSVDE
 LDIFDE
❑ Windows Script Host / Powershell (avec module Active Directory)

PRÉREQUIS D’INSTALLATION ADDS
❑ Un ordinateur sous Windows Server 2008 ou 2012 (et version R2)

❑ Un espace disque minimum de 30 Go
❑ Une partition formatée en NTFS
❑ Des privilèges administratifs pour la création d'un domaine
❑ TCP/IP installé et configuré pour utiliser DNS
❑ Un serveur DNS faisant autorité pour gérer les ressources SRV (installable et configurable lors de l’installation d’ADDS
❑ Une adresse IP fixe (non dynamique)
Procédure d’installation :
http://www.oameri.com/installer-un-controleur-de-domaine-active-directory-sous-windows-serveur-2012/

www.learn2skill.com

Administration Windows Server - Niveau2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Administration Windows Server - Niveau2

Transféré par

Droits d'auteur :

Formats disponibles

ADMINISTRATION

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 1

 Qu’est-ce qu’un Rôles ?

 Qu’est-ce qu’une fonctionnalité (ou features)

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 3

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 4

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 5

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 6

Domain Name System

Domain Name Service

Domain Name Server

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 8

 La résolution de nom normale (forward lookup)

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 9

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 10

L'ICANN délègue la gestion de chaque TLD à un organisme (appelé REGISTRY ).

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 11

Zone principale (ou DNS Primaire)

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 12

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 13

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 14

L’enregistrement AAAA (IN AAAA)

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 15

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 16

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 17

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 18

Fonctionnement général des enregistrements TXT :

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 19

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 20

 Il est utilisé pour des protocoles comme XMPP, SIP, LDAP...

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 21

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 22

 Sélectionnez DNS Server

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 23

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 24

 Dans les choix de type de zone, cochez

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 25

 Laissez par défaut sur To all DNS servers running

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 26

 Cochez IPv4 Reverse Lookup Zone

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 27

 Cochez IPv4 Reverse Lookup Zone

 Entrez les 3 premiers octet de l’adressage IP de

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 28

 Choisissez le mode de mise a jour automatique des

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 29

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 30

 BIND (Berkeley Internet Name Domain)

 Rôle DNS de Windows Server

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 31

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 32

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 34

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 35

 Depuis le Gestionnaire de serveur, cliquer sur

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 36

 Depuis cette console, vous allez pouvoir créer vos

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 37

 Donnez un nom à votre

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 38

 Vous pouvez si vous le souhaitez, ajouter une ou

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 39

 La durée du bail spécifie la durée pendant

L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 40