Académique Documents
Professionnel Documents
Culture Documents
WINDOWS SERVER
Découverte des rôles et
fonctionnalités Windows Server
dont le DNS, le DHCP et l’Active
Directory
Un rôle de serveur est un ensemble de programmes logiciels qui, une fois installés et correctement configurés, permettent à un
ordinateur de remplir une fonction spécifique pour plusieurs utilisateurs ou pour d’autres ordinateurs sur un réseau. En règle
générale, les rôles partagent les caractéristiques suivantes :
• Ils décrivent la fonction, l’utilisation ou le but principal d’un ordinateur. Un ordinateur spécifique peut être consacré à un rôle unique
très utilisé dans l’entreprise, ou bien remplir plusieurs rôles si chaque rôle est uniquement peu utilisé dans l’entreprise.
•
Ils fournissent aux utilisateurs d’une organisation un accès à des ressources gérées par d’autres ordinateurs, tels que des sites Web,
des imprimantes ou des fichiers stockés sur différents ordinateurs.
•
Ils incluent généralement leurs propres bases de données, qui peuvent placer des demandes d’utilisateur ou d’ordinateur en file
d’attente ou enregistrer des informations sur des utilisateurs ou des ordinateurs réseau associés au rôle. Par exemple, Services de
domaine Active Directory inclut une base de données pour le stockage des noms et des relations hiérarchiques de tous les
ordinateurs d’un réseau.
Dès qu’ils sont installés et configurés correctement, les rôles fonctionnent automatiquement. Ceci permet aux ordinateurs sur lesquels
ils sont installés d’effectuer les tâches prescrites avec une supervision ou des commandes utilisateur limitées.
Les fonctionnalités sont des programmes logiciels qui, bien que ne faisant pas directement partie des rôles,
peuvent prendre en charge ou augmenter la fonctionnalité d’un ou de plusieurs rôles, ou encore améliorer la
fonctionnalité de la totalité du serveur, quels que soient les rôles installés.
Par exemple, la fonctionnalité Clustering avec basculement augmente la fonctionnalité des autres rôles, tels
que Services de fichiers et Serveur DHCP, en leur permettant de rejoindre des clusters de serveurs afin
d’augmenter la redondance et d’améliorer les performances.
Une autre fonctionnalité, Client Telnet, vous permet de communiquer à distance avec un serveur telnet via
une connexion réseau, ce qui améliore les options de communication du serveur dans sa globalité.
reverse
La résolution inverse (reverse lookup) permet de
trouver un nom à partir d'une adresse IP NOM ADRESSE IP
forward
L'ICANN est un organisme qui gère la liste des Top Level Domain (TLD): .com, .net, .org, .fr, .uk...
Il existe une TLD par pays (.fr pour France, .it pour Italie, .de pour l'Allemagne, etc.), ainsi que quelques TLD générales (.com, .net, .org, .mil, .biz...).
Chaque REGISTRY autorise des REGISTRARS à vendre des noms de domaine (rôle commercial).
Exemple:
Pour .fr : L'AFNIC autorise d'autres organismes à vendre des noms de domaine (comme Globenet, Nerim, Claranet, Renater,..).
Pour com/net/org/name/info/biz : VeriSign autorise d'autres organismes à vendre des noms de domaine (comme Network Solutions, Gandi, British
Telecom...).
Champ d’application :
L’enregistrement DNS de type A permet de relier un nom d’hôte (domaine ou sous-domaine) à l’adresse IP d’un serveur.
Fonctionnement général des enregistrements A :
Vous pouvez faire pointer :
nomdedomaine.com vers un serveur portant l’IP46.31.192.222 .xxx
et /ou
www.nomdemonaine.com vers un serveur portant l’IP46.31.192.222.yyy
et/ou
intranet.mondomaine.com vers un serveur portant l’IP 46.31.192.222 .zzz
=> Cela se traduit ainsi :
nomdedomaine.com A 46.31.192.222 .xxx
www.nomdemonaine.com A 46.31.192.222 .yyy
intranet.mondomaine.com A 46.31.192.222 .zzz
Champ d’application :
L’enregistrement DNS de type CNAME vous permet de relier un nom d’hôte vers l’enregistrement DNS d’un autre nom d’hôte, sur le principe de l’alias.
Fonctionnement général des enregistrements CNAME :
Dans votre zone DNS, vous avez un enregistrement pour le sous-domaine www.nomdedomaine.com vers l’IP de serveur 46.31.192.222.yyy
Vous avez créé un sous domaine blog.nomdedomaine.com que vous souhaitez faire pointer sur cette même IP de serveur.
Vous pouvez faire pointer votre sous-domaine en utilisant une entrée de type CNAME :
blog.nomdemonaine.com doit pointer vers la même IP que www.nomdedomaine.com
=> Cela se traduit ainsi :
blog.nomdemonaine.com CNAME www.nomdedomaine.com
À noter :
Cet enregistrement ne signifie pas que lorsque qu’un internaute appellera blog.nomdedomaine.com dans son navigateur, il sera redirigé vers le site
www.nomdedomaine.com.
Il signifie juste que blog.nomdeodmaine.com pointera vers la même IP de serveur que www.nomdedomaine.com.
Ensuite, c’est la configuration du serveur qui fera pointer les sous-domaines vers un service ou un autre.
Champ d’application :
L’enregistrement de type TXT permet d’intégrer une zone DNS en texte libre.
Champ d’application :
Un enregistrement MX définit quel est ou quels sont les serveurs qui gèrent les services emails reliés à un nom de
domaine.
La mise en place d’enregistrements MX sur un nom de domaine concerne les utilisateurs qui souhaitent utiliser un
service email dédié (sur serveur dédié chez Icodia ou un autre hébergeur, ou encore sur un serveur de messagerie
en interne )
Champ d’application :
L’enregistrement SRV sert à indiquer quel est le serveur qui gère un service spécifique.
Ipconfig /displaydns
Ipconfig /flushdns
Ping –a
Nslookup
Ipconfig /displaydns
Ipconfig /flushdns
Ping –a
Nslookup
DHCP signifie Dynamic Host Configuration Protocol. Il s'agit d'un protocole qui permet à un ordinateur qui se connecte
sur un réseau local d'obtenir dynamiquement et automatiquement sa configuration IP.
Le but principal étant la simplification de l'administration d'un réseau. On voit généralement le protocole DHCP
comment distribuant des adresses IP, mais il a été conçu au départ comme complément au protocole BOOTP
(Bootstrap Protocol) qui est utilisé par exemple lorsque l'on installe une machine à travers un réseau (on peut
effectivement installer complètement un ordinateur, et c'est beaucoup plus rapide que de le faire en à la main). Cette
dernière possibilité est très intéressante pour la maintenance de gros parcs machines.
Les versions actuelles des serveurs DHCP fonctionne pour IPv4 (adresses IP sur 4 octets). Une spécification pour IPv6
(adresses IP sur 16 octets) est en cours de développement par l'IETF.
Ipconfig /release
Ipconfig /renew
Très forte intéraction entre Active Directory et le DNS (zones DNS intégrées à l‘Active Directory)
En utilisant le rôle Service de Domaine Active Directory ou « AD DS », il est possible de gérer les comptes utilisateurs
ainsi que les ressources mais vous avez également la prise en charge des applications utilisant l’authentification LDAP
(telles que Microsoft Exchange Server).
Ce rôle sert aussi à organiser de façon hiérarchique les éléments d’un réseau tels que les utilisateurs, les ordinateurs et
autres périphériques. Le serveur qui va exécuter l’AD DS se nomme le contrôleur de domaine.
De plus, l’AD DS est sécurisé grâce à l’authentification d’ouverture de session et le contrôle d’accès aux ressources de
l’annuaire. Avec l’ouverture de session réseau unique, les administrateurs peuvent gérer les données de leur réseau.
Ainsi les utilisateurs autorisés peuvent également utiliser une ouverture de session réseau unique pour accéder aux
ressources sur leur réseau.
L’ADCS ou Active Directory Certificate Services est un rôle d’Active Directory proposant différents services configurables pour créer et gérer des clés et
certificats utilisés pour la protection des logiciels. Cela signifie qu’ADCS est utilisé par les entreprises afin améliorer la sécurité. En effet, grâce à ADCS il est
possible de lier facilement un utilisateur ou un périphérique à une clé privée qui lui correspondra. Pour une organisation ayant besoin d’utiliser de nombreux
certificats afin de protéger un grand nombre de données, gérer ses certificats de manière non centralisée peut vite s’avérer être une tâche problématique
voir même impossible. ADCS se présente donc comme un produit efficace pour gérer l’utilisation de certificats de manière centralisée et sécurisée.
ADCS prend en charge de nombreuses applications utilisés pour les réseaux (se trouvant ou non sur internet). Les différents services proposés par ADCS
peuvent être installé sur un unique serveur ou sur plusieurs serveurs selon les besoins d’une organisation. Ces services sont:
Le répondeur en ligne: Ce service est basé sur le protocole OSCP. Il est utilisé pour demandé l’état des certificats et recevoir une réponse signée. C’est grâce a l’utilisation du
protocole OSCP qu’il est possible de recevoir uniquement les informations dont l’utilisateur a besoin.
Les autorités de certification: Elles servent à émettre des certificats aux utilisateurs, ordinateurs, services et permettent ainsi de vérifier la validité des certificats.
L’inscription d’autorité de certification Web: Elle permet aux utilisateurs de demander des certificats directement via le Web.
Services de périphériques réseau: Cette fonctionnalité a pour but de permettre à tout les périphériques réseau (routeur …) d’obtenir des certificats.
Des nouveautés sont apparut pour ADCS avec Windows Server 2008 R2. L’inscription de certificat peut désormais se faire directement via l’utilisation du
protocole HTTPS. La prise en charge des certificats à volume important a également été améliorée.
La fonction de l’ADRMS est un nouveau rôle depuis Windows Server 2008 R2. C’est un acronyme pour Active Directory
Rights Management Services.
Il permet donc de gérer les droits sur les fichiers des utilisateurs. Chaque utilisateur pourra faire un réglage fin des ACL et
d’autres attributs complets tel que la possibilité de sauvegarder le fichier, de l’imprimer…
Il permet aussi le chiffrement et déchiffrement de contenu.
Il permet donc de restreindre l’accès aux différentes personnes d’une entreprise. ADRMS gère les certificats et licences.
ADFS ou Active Directory Federation Services est un des cinq rôles d’Active Directory mis en place avec Windows Server 2008.
Comme son nom l’indique, ADFS est un service de fédération. Concrètement cela signifie qu’il sert à unifier des applications se trouvant sur internet afin de simplifier leur utilisation et
cela, même si ces applications ne se trouvent pas sur le même réseau, le tout sans se soucier de la plateforme (Windows ou non Windows).
Normalement, si un utilisateur se trouve sur un réseau, il doit s’identifier à chaque fois qu’il va chercher des applications étant sur un autre réseau afin que le serveur web puisse
reconnaître cet utilisateur comme ayant accès à cette application. Et bien avec ADFS, une seule connexion est nécessaire. En effet, ADFS va transmettre au serveur web les informations
sur l’identité de l’utilisateur et ainsi donner l’accès instantanément à l’utilisateur si ce dernier est autorisé à accéder à l’application. Ce système servant à éviter la réauthentification de
l’utilisateur est appelé SSO ou Single Sign On. Il est très utile lors de partenariats entre plusieurs organisations. En effet, chacune de ces organisations peut gérer indépendamment ses
droits d’utilisateurs, mais peut aussi en transmettre et en accepter d’autres venants d’une organisation partenaire.
ADFS propose différents services qui, une fois configurés, permettent le SSO.
Ces services sont:
Le service de fédération. Il est utilisé pour centraliser les demandes d’authentifications venant d’utilisateurs se trouvant sur d’autres réseaux.
Le proxy du service de fédération. Son but est de collecter les informations d’identification grâce aux navigateurs web, puis d’envoyer ces informations au service de fédération.
Le service d’agent Web. Installé sur un serveur web, il sert à créer et gérer des jetons de sécurité, utilisés pour donner des autorisations à l’accès à une application se trouvant sur le serveur.
ADFS possède des avantages par rapport à sa précédente version distribuée avec Windows Server 2003 R2. En effet, certaines applications supportent maintenant nativement les
services de fédération (Microsoft Office SharePoint Server 2007, ADRMS). Le système d’importation et d’exportation des paramètres de fédération a été simplifié. Son installation est
plus facile, rapide et sécurisée. L’assistant d’installation vérifie chaque point important afin d’éviter tout problème et son installation est directement intégrée au gestionnaire de serveur
Windows Serveur 2008.
Le nouveau rôle ADLDS (Active Directory Lightweight Directory Services) est le remplaçant de ADAM (Active Directory Application Mode). Du moins il
en a les mêmes fonctionnalités que l’ADDS en mode applicatif soit l’ADAM.
ADLDS permet d’avoir donc un ADDS léger permettant de regrouper les mêmes fonctions. Incluant donc un service d’annuaire LDAP.
Il se veut plus léger que le service ADDS donc il réclame moins de dépendance. On peut en déduire donc que quelques fonctions ne sont pas dans ce
rôle qui a pour but principal de fournir un service LDAP qui permet aux applications demandeuses d’avoir un endroit pour stocker et récupérer les
donnée de ce type.
Il permet d’utiliser des applications « directory-enabled ». Ce type d’application utilise un annuaire pour pouvoir stocker et retrouver les données, ce
n’est pas comme les autres applications traditionnelles qui utiliserai plutôt une base de donnée ou autre ; ce type de stockage permet de bonne
performance en lecture.
Windows ne peut pas utiliser les utilisateurs stockés dans ADLDS pour l’authentification sauf si on a un ADDS déjà installé et donc ADLDS peut
invoquer la fonction pour l’authentification avec ses utilisateurs.
ADLDS est souvent utilisé pour faire un annuaire extranet par exemple pour des fournisseurs qui ne sont pas des éléments interne à l’entreprise et
donc on ne les inclus pas dans ADDS.
ADLDS ne supporte pas les domaines et forêts, les catalogues ou les Group Policy.
Forêt
L2S© - FORMATION ADMINISTRATION RÔLE WINDOWS SERVER 52
Forêt 1 Forêt 2
microsoft.lan
users.ad.priv
learning.
oameri.local Domaine computers.ad.priv
consulting.
oameri.local msdn.microsoft.lan
technet.microsoft.lan
Un domaine est un regroupement logique d’ordinateur en réseaux partageant une même base d’annuaire centrale (Active
Directory).
La base d’annuaire contient objets utilisateurs ordinateurs etc., les informations sur la sécurité relative au domaine, les GPO etc.
Un serveur membre est un serveur qui n’est pas Contrôleur de domaine mais intégré au domaine Windows.
Sites
La direction : Une relation d'approbation, peut être soit unidirectionnelle c'est à dire dans un seul sens ou alors bidirectionnelle c'est à dire dans les
deux sens. Une relation unidirectionnelle permet d'approuver un domaine à partir d'un autre domaine sans que l'inverse soit appliqué. C'est à dire
que si un domaine A approuve un domaine B, alors les utilisateurs du domaine B pourront accéder aux ressources du domaine A mais l'inverse
ne serra pas possible. Relation établie entre 2 domaines où le domaine autorisé à approuver assure l’authentification d’ouverture de session du
domaine approuvé.
La transitivité : Elle fait référence à la notion mathématique au sens propre du terme, c'est à dire que si un domaine A approuve un domaine B et que
le domaine B approuve lui même un domaine C alors implicitement le domaine A approuvera le domaine C
Procédure d’installation :
http://www.oameri.com/installer-un-controleur-de-domaine-active-directory-sous-windows-serveur-2012/