Vous êtes sur la page 1sur 84

http://www.laboratoire-microsoft.

org
Aufeus : LhOMLL Gu111aume, LhOMLL Gu111aume, LhOMLL Gu111aume, LhOMLL Gu111aume, POPO11L 5ammy POPO11L 5ammy POPO11L 5ammy POPO11L 5ammy, ,, , klChL1 Anfo1ne, klChL1 Anfo1ne, klChL1 Anfo1ne, klChL1 Anfo1ne,
klvALLAN klvALLAN klvALLAN klvALLAN Jean Jean Jean Jean- -- -Yves Yves Yves Yves

ves1on 1.0 - Aof 2004



Ecole Suprieure dInformatique de Paris
23. rue Chteau Landon 75010 PARIS
www.supinfo.com

Essentiel Windows 2003
IMPLEMENTATION, ADMINISTRATION
ET MAINTENANCE DUNE
INFRASTRUCTURE RESEAU
MICROSOFT WINDOWS 2003
Implmentation dune infrastructure rseau Microsoft Windows 2003 2 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
1ab1e des maf1es

1. CONFIGURATION DU ROUTAGE A LAIDE DU SERVICE ROUTAGE ET ACCES DISTANT.. 7
1.1. ACTIVATION ET CONFIGURATION DU SERVICE ROUTAGE ET ACCES DISTANT............................................ 7
1.1.1. Que sont les routeurs ? ..................................................................................................................... 7
1.1.2. Que sont les interfaces de routage ?................................................................................................. 7
1.1.3. Que sont les protocoles de routage ?................................................................................................ 8
1.1.4. Que sont les tables de routage .......................................................................................................... 8
1.1.5. Pourquoi utiliser le service Routage et accs distant de Windows Server 2003 ?............................ 9
1.2. CONFIGURATION DES FILTRES DE PAQUETS............................................................................................... 9
1.2.1. Quest-ce que le filtrage des paquets ?............................................................................................. 9
1.2.2. Comment les filtres de paquets sont-ils appliqus ? ....................................................................... 10
2. ATTRIBUTION AUTOMATIQUE DADRESSES IP A LAIDE DU PROTOCOLE DHCP............ 11
2.1. POURQUOI UTILISER LE PROTOCOLE DHCP ?.......................................................................................... 11
2.2. COMMENT LE PROTOCOLE DHCP ALLOUE DES ADRESSES IP.................................................................. 11
2.2.1. Comment fonctionne le processus de cration dun bail DHCP..................................................... 11
2.2.2. Comment fonctionne le processus de renouvellement dun bail DHCP.......................................... 12
2.3. COMMENT UN SERVICE SERVEUR DHCP EST AUTORISE ......................................................................... 13
2.4. CONFIGURATION DUNE ETENDUE DHCP ............................................................................................... 13
2.4.1. Que sont les tendues DHCP ? ....................................................................................................... 13
2.5. CONFIGURATION DUNE RESERVATION DHCP........................................................................................ 14
2.5.1. Quest-ce quune rservation DHCP ? ........................................................................................... 14
2.6. CONFIGURATION DES OPTIONS DHCP..................................................................................................... 14
2.6.1. Que sont les options DHCP ? ......................................................................................................... 14
2.6.2. Comment sont appliques les options au niveau du serveur DHCP, de ltendue et du client
rserv 15
2.6.3. Comment sont appliques les options au niveau de la classe DHCP ............................................. 15
2.7. CONFIGURATION DUN AGENT DE RELAIS DHCP.................................................................................... 16
2.7.1. Quest-ce quun agent de relais DHCP ? ....................................................................................... 16
2.7.2. Comment fonctionne un agent de relais DHCP.............................................................................. 16
2.7.3. Comment un agent de relais DHCP utilise le nombre de tronons................................................. 16
2.7.4. Comment un agent de relais DHCP utilise le seuil de dmarrage.................................................. 16
3. GESTION ET ANALYSE DU SERVICE DHCP..................................................................................... 18
3.1. GESTION DUNE BASE DE DONNEES DHCP ............................................................................................. 18
3.1.1. Vue densemble de la gestion du service DHCP............................................................................. 18
3.1.2. Quest-ce quune base de donnes DHCP ? ................................................................................... 18
3.1.3. Modalits de sauvegarde et de restauration dune base de donnes DHCP .................................. 18
3.1.4. Comment sauvegarder et restaurer une base de donnes DHCP ................................................... 19
3.1.5. Modalits de rconciliation dune base de donnes DHCP............................................................ 19
3.1.6. Comment rconcilier une base de donnes DHCP ......................................................................... 19
3.2. ANALYSE DU SERVICE DHCP ................................................................................................................. 20
3.2.1. Vue densemble de lanalyse du service DHCP.............................................................................. 20
3.2.2. Prsentation des statistiques DHCP............................................................................................... 20
3.2.3. Quest-ce quun fichier journal daudit DHCP ? ........................................................................... 20
3.2.4. Fonctionnement de lenregistrement daudit DHCP ...................................................................... 21
3.2.5. Instructions pour analyser les performances de serveur DHCP..................................................... 22
Implmentation dune infrastructure rseau Microsoft Windows 2003 3 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
3.2.6. Compteurs de performance communment utiliss pour analyser les performances de serveur
DHCP 22
3.2.7. Instructions pour crer des alertes pour un serveur DHCP ........................................................... 23
3.3. APPLICATION DES INSTRUCTIONS DE SECURITE POUR LE SERVICE DHCP ............................................... 24
3.3.1. Instructions pour empcher un utilisateur non autoris dobtenir un bail ..................................... 24
3.3.2. Instructions pour empcher les serveurs DHCP non autoriss, non-Microsoft, de louer des
adresses IP 24
3.3.3. Instructions pour limiter le cercle des personnes autorises administrer le service DHCP........ 24
3.3.4. Instructions pour scuriser la base de donnes DHCP................................................................... 24
4. RESOLUTION DE NOMS......................................................................................................................... 24
4.1. AFFICHAGE DE NOMS SUR UN CLIENT...................................................................................................... 24
4.1.1. Comment les noms sont mapps des adresses IP......................................................................... 24
4.1.2. Que sont les noms dhtes ?............................................................................................................ 24
4.1.3. Que sont les noms NetBIOS ? ......................................................................................................... 24
4.1.4. Comment afficher les noms sur un client ........................................................................................ 24
4.2. CONFIGURATION DE LA RESOLUTION DE NOMS DHOTES ........................................................................ 24
4.2.1. Processus de rsolution de noms dhtes........................................................................................ 24
4.2.2. Cache de rsolution client............................................................................................................... 24
4.2.3. Fichier Hosts................................................................................................................................... 24
4.3. CONFIGURATION DE LA RESOLUTION DE NOMS NETBIOS....................................................................... 24
4.3.1. Processus de rsolution de noms NetBIOS ..................................................................................... 24
4.3.2. Cache de noms NetBIOS................................................................................................................. 24
4.3.3. Comment afficher et librer le cache de noms NetBIOS................................................................. 24
4.3.4. Diffusions ........................................................................................................................................ 24
4.3.5. Fichier Lmhosts .............................................................................................................................. 24
5. RESOLUTION DE NOMS DHOTES A LAIDE DU SYSTEMES DNS ............................................. 24
5.1. INSTALLATION DU SERVICE SERVEUR DNS............................................................................................. 24
5.1.1. Vue densemble du systme DNS .................................................................................................... 24
5.1.2. Quest-ce quun espace de noms de domaines ?............................................................................. 24
5.1.3. Convention dappellation standard DNS ........................................................................................ 24
5.1.4. Comment installer le service Serveur DNS ? .................................................................................. 24
CONFIGURATION DES PROPRIETES DU SERVICE SERVEUR DNS.......................................................................... 24
5.1.5. Quels sont les composants dune solution DNS ?........................................................................... 24
5.1.6. Quest-ce quune requte DNS ?..................................................................................................... 24
5.1.7. Fonctionnement des requtes rcursives......................................................................................... 24
5.1.8. Fonctionnement des indications de racine...................................................................................... 24
5.1.9. Fonctionnement des requtes itratives .......................................................................................... 24
5.1.10. Fonctionnement des redirecteurs.................................................................................................... 24
5.1.11. Fonctionnement de la mise en cache du serveur DNS .................................................................... 24
5.2. CONFIGURATION DES ZONES DNS .......................................................................................................... 24
5.2.1. Stockage et maintenance des donnes DNS .................................................................................... 24
5.2.2. Que sont les enregistrements de ressources et les types denregistrements ?................................. 24
5.2.3. Quest-ce quune zone DNS ? ......................................................................................................... 24
5.2.4. Quels sont les types de zones DNS ?............................................................................................... 24
5.2.5. Comment modifier un type de zone DNS......................................................................................... 24
5.2.6. Que sont les zones de recherche directe et inverse ? .................................................................... 24
5.3. CONFIGURATION DES TRANSFERTS DE ZONE DNS .................................................................................. 24
5.3.1. Fonctionnement des transferts de zone DNS................................................................................... 24
5.3.2. Fonctionnement de DNS Notify....................................................................................................... 24
5.4. CONFIGURATION DES MISES A JOUR DYNAMIQUES DNS ......................................................................... 24
Implmentation dune infrastructure rseau Microsoft Windows 2003 4 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
5.4.1. Que sont les mises jour dynamiques ? ......................................................................................... 24
5.4.2. Comment les clients DNS inscrivent et mettent jour de manire dynamique leurs
enregistrements de ressources ?........................................................................................................................... 24
5.4.3. Comment configurer des mises jour DNS manuelles et dynamiques ? ........................................ 24
5.4.4. Quest-ce quune zone DNS intgre Active Directory ?............................................................. 24
5.4.5. Utilisation des mises jour dynamiques scurises par les zones DNS intgres Active
Directory 24
5.5. CONFIGURATION DUN CLIENT DNS....................................................................................................... 24
5.5.1. Fonctionnement des serveurs DNS prfrs et auxiliaires.............................................................. 24
5.5.2. Application des suffixes................................................................................................................... 24
5.6. DELEGATION DAUTORITE POUR LES ZONES............................................................................................ 24
5.6.1. Quest-ce que la dlgation dune zone DNS ?............................................................................... 24
6. GESTION ET ANALYSE DU SYSTEME DNS....................................................................................... 24
6.1. CONFIGURATION DE LA DUREE DE VIE .................................................................................................... 24
6.1.1. Fonctionnement de la valeur de dure de vie (TTL) ....................................................................... 24
6.1.2. Comment configurer la valeur de dure de vie ?............................................................................ 24
6.2. CONFIGURATION DES PARAMETRES DE VIEILLISSEMENT ET DE NETTOYAGE........................................... 24
6.2.1. Dfinition des paramtres de vieillissement et de nettoyage........................................................... 24
6.2.2. Fonctionnement du vieillissement et du nettoyage.......................................................................... 24
6.3. INTEGRATION DU SYSTEME DNS ET DU SERVICE WINS ......................................................................... 24
6.3.1. Comment intgrer le systme DNS et le service WINS ?................................................................. 24
6.4. TEST DE LA CONFIGURATION DU SERVEUR DNS..................................................................................... 24
6.4.1. Fonctionnement des requtes simples et rcursives........................................................................ 24
6.4.2. Comment tester la configuration du serveur DNS ? ....................................................................... 24
6.5. VERIFICATION DE LA PRESENCE DUN ENREGISTREMENT DE RESSOURCE A LAIDE DE
NSLOOKUP, DE DNSCMD ET DE DNSLINT ........................................................................................................ 24
6.5.1. Pourquoi vrifier sil existe un enregistrement de ressource ?....................................................... 24
6.5.2. Nslookup ......................................................................................................................................... 24
6.5.3. DNSCmd ......................................................................................................................................... 24
6.5.4. DNSLint .......................................................................................................................................... 24
6.5.5. Comment vrifier la prsence dun enregistrement de ressource laide de Nslookup, de
DNSCmd et de DNSLint ? .................................................................................................................................... 24
6.6. ANALYSE DES PERFORMANCES DU SERVEUR DNS.................................................................................. 24
6.6.1. Principes danalyse des performances du serveur DNS laide de la console de performances... 24
6.6.2. Quest-ce quun journal des vnements DNS ?............................................................................. 24
6.6.3. Quest-ce que lenregistrement de dboguage DNS ? .................................................................... 24
7. RESOLUTION DE NOMS NETBIOS A LAIDE DU SERVICE WINS .............................................. 24
7.1. INSTALLATION ET CONFIGURATION DUN SERVEUR WINS ..................................................................... 24
7.1.1. Composants du service WINS ......................................................................................................... 24
7.1.2. Prsentation dun type de nud NetBIOS....................................................................................... 24
7.1.3. Comment un client WINS inscrit et libre des noms NetBIOS ? ..................................................... 24
7.1.4. Fonctionnement de la prise en charge du traitement en rafale....................................................... 24
7.1.5. Comment un serveur WINS rsout les noms NetBIOS ? ................................................................. 24
7.1.6. Comment installer le service WINS ?.............................................................................................. 24
7.1.7. Comment configurer la prise en charge du traitement en rafale ? ................................................. 24
7.2. GESTION DES ENREGISTREMENTS DANS LE SERVEUR WINS ................................................................... 24
7.2.1. Prsentation dun enregistrement client ......................................................................................... 24
7.2.2. Prsentation dun mappage statique............................................................................................... 24
7.2.3. Comment ajouter une entre de mappage statique ? ...................................................................... 24
Implmentation dune infrastructure rseau Microsoft Windows 2003 5 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
7.2.4. Mthodes de filtrage et daffichage des enregistrements du service WINS..................................... 24
7.2.5. Comment filtrer les enregistrements WINS ?.................................................................................. 24
7.3. CONFIGURATION DE LA REPLICATION WINS .......................................................................................... 24
7.3.1. Fonctionnement de la rplication WINS ......................................................................................... 24
7.3.2. Fonctionnement de la rplication par mission.............................................................................. 24
7.3.3. Fonctionnement de la rplication par rception............................................................................. 24
7.3.4. Prsentation de la rplication par mission/rception ................................................................... 24
7.3.5. Proprits des partenaires de rplication WINS............................................................................. 24
7.3.6. Comment configurer la rplication WINS ?.................................................................................... 24
7.4. GESTION DE LA BASE DE DONNEES WINS............................................................................................... 24
7.4.1. Pourquoi sauvegarder une base de donnes WINS ?...................................................................... 24
7.4.2. Comment sauvegarder et restaurer une base de donnes WINS ?.................................................. 24
7.4.3. Prsentation de la suppression simple et de la dsactivation denregistrements............................ 24
7.4.4. Comment supprimer un enregistrement WINS ?............................................................................. 24
7.4.5. Prsentation du compactage dynamique et du compactage hors connexion .................................. 24
7.4.6. Comment compacter une base de donnes WINS ? ........................................................................ 24
7.4.7. Comment fonctionne le nettoyage ? ................................................................................................ 24
7.4.8. Comment nettoyer la base de donnes WINS ?............................................................................... 24
7.4.9. Prsentation de la vrification de la cohrence dune base de donnes WINS............................... 24
7.4.10. Comment vrifier la cohrence dune base de donnes WINS ?..................................................... 24
7.4.11. Instructions concernant le retrait dun serveur WINS .................................................................... 24
7.4.12. Comment dsinstaller un serveur WINS dune infrastructure rseau ?.......................................... 24
8. PROTECTION DU TRAFIC RESEAU A LAIDE DE LA SECURITE IPSEC ET DE
CERTIFICATS ...................................................................................................................................................... 24
8.1. IMPLEMENTATION DE LA SECURITE IPSEC .............................................................................................. 24
8.1.1. Quest-ce que la scurit IPSec ? ................................................................................................... 24
8.1.2. De quelle manire la scurit IPSec protge-t-elle le trafic ? ........................................................ 24
8.1.3. Quest-ce quune stratgie de scurit IPSec ?............................................................................... 24
8.1.4. Fonctionnement conjoint des stratgies IPSec................................................................................ 24
8.2. IMPLEMENTATION DE LA SECURITE IPSEC AVEC DES CERTIFICATS ......................................................... 24
8.2.1. Quest-ce quun certificat ? ............................................................................................................ 24
8.2.2. Utilisations courantes des certificats .............................................................................................. 24
8.2.3. Pourquoi utiliser des certificats avec la scurit IPSec pour protger le trafic rseau ?............... 24
8.3. ANALYSE DE LA SECURITE IPSEC............................................................................................................ 24
8.3.1. Moniteur de scurit IP................................................................................................................... 24
8.3.2. Comment arrter et dmarrer les services IPSec ?......................................................................... 24
9. CONFIGURATION DE LACCES RESEAU.......................................................................................... 24
9.1. INTRODUCTION A LINFRASTRUCTURE DACCES RESEAU ........................................................................ 24
9.1.1. Composants dune infrastructure daccs rseau........................................................................... 24
9.1.2. Configuration requise pour un serveur daccs rseau .................................................................. 24
9.1.3. Quest-ce quun client daccs rseau ? ......................................................................................... 24
9.1.4. Quentend-on par autorisation et authentification de laccs rseau ?.......................................... 24
9.1.5. Mthodes dauthentification disponibles ........................................................................................ 24
9.2. CONFIGURATION DUNE CONNEXION VPN.............................................................................................. 24
9.2.1. Fonctionnement dune connexion VPN........................................................................................... 24
9.2.2. Protocoles de cryptage pour une connexion VPN........................................................................... 24
9.2.3. Configuration requise pour un serveur VPN .................................................................................. 24
9.3. CONFIGURATION DUNE CONNEXION DACCES A DISTANCE.................................................................... 24
9.3.1. Comment fonctionne laccs rseau distance ? ........................................................................... 24
9.3.2. Configuration requise pour un serveur daccs distant .................................................................. 24
Implmentation dune infrastructure rseau Microsoft Windows 2003 6 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
9.4. CONFIGURATION DUNE CONNEXION SANS FIL........................................................................................ 24
9.4.1. Vue densemble de laccs rseau sans fil ...................................................................................... 24
9.4.2. Normes sans fil................................................................................................................................ 24
9.4.3. Mthodes dauthentification disponibles pour les rseaux sans fil ................................................. 24
9.4.4. Configuration requise pour un client Windows XP Professionnel en vue dun accs rseau sans
fil 24
9.5. CONTROLE DE LACCES UTILISATEUR AU RESEAU................................................................................... 24
9.5.1. Autorisations dappel entrant du compte de lutilisateur................................................................ 24
9.5.2. Quest-ce quune stratgie daccs distant ? .................................................................................. 24
9.5.3. Quest-ce quun profil de stratgie daccs distant ? ..................................................................... 24
9.5.4. Traitement des stratgies daccs distant ....................................................................................... 24
9.6. CENTRALISATION DE LAUTHENTIFICATION DE LACCES RESEAU ET DE LA GESTION DES
STRATEGIES EN UTILISANT IAS.......................................................................................................................... 24
9.6.1. Que signifie RADIUS ? ................................................................................................................... 24
9.6.2. Que signifie IAS ? ........................................................................................................................... 24
9.6.3. Fonctionnement de lauthentification centralise........................................................................... 24
10. GESTION ET ANALYSE DE LACCES RESEAU ................................................................................ 24
10.1. GESTION DES SERVICES DACCES RESEAU............................................................................................... 24
10.1.1. Instructions relatives la gestion des services daccs rseau....................................................... 24
10.2. CONFIGURATION DE LENREGISTREMENT SUR UN SERVEUR DACCES RESEAU........................................ 24
10.2.1. Types denregistrements du service Routage et accs distant......................................................... 24
10.2.2. Enregistrement de lauthentification et de la gestion des comptes ................................................. 24
10.2.3. Fichiers journaux pour des connexions spcifiques........................................................................ 24
10.3. COLLECTE ET ANALYSE DES DONNEES DACCES RESEAU ........................................................................ 24
10.3.1. Pourquoi collecter des donnes de performance ? ......................................................................... 24
10.3.2. Outils de collecte des donnes daccs rseau................................................................................ 24

Implmentation dune infrastructure rseau Microsoft Windows 2003 7 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
1. Configuration du routage laide du
service Routage et accs distant

1.1. Activation et configuration du service Routage et
accs distant
La partie suivante vous prsente les diffrentes entits du routage et accs distant dans un
environnement Microsoft Windows.

1.1.1. Que sont les routeurs ?

Les routeurs sont des dispositifs rseau de couche 3 (couche rseau) du modle OSI (Open Systems
Interconnection) permettant dune part linterconnexion de rseaux LAN et WAN, d'autre part un
routeur peut galement permettre de faire de la segmentation de rseau entre plusieurs domaines de
diffusion (broadcast), ce qui permet de prserver la bande passante.

Il existe dautres dispositifs rseaux :

Le concentrateur (hub), couche 1 (couche physique)
Le commutateur (switch), couche 2 (couche liaison de donnes)
Le routeur, couche 3 (couche rseau)

En rgle gnrale, les routeurs sont diviss en deux catgories :
Le routeur matriel : Dispositif physique exclusivement ddi au routage au sein
dun rseau.
Le routeur logiciel : Logiciel permettant le routage dans un rseau, install sur un
ordinateur et pouvant exerc dautres tches. Exemple, Windows 2003 Server qui en
plus du service de routage peut aussi bien effectuer un partage de fichiers et/ou
dimprimantes.

Une solution de routage consiste en trois composants principaux :
Interface de routage : interface logique ou physique permettant lacheminement des paquets
(Exemple : la carte rseau).
Tables de routage : Table indiquant le chemin prendre pour atteindre le rseau souhait.
Protocole de routage : Rgle de communication entre les routeurs pour changer les
informations contenues dans leur table de routage afin de dterminer le meilleur chemin.

1.1.2. Que sont les interfaces de routage ?

Comme dit prcdemment, linterface de routage permet dacheminer les paquets. Par exemple,
Windows Server 2003 achemine des paquets IP.

Il existe deux types dinterfaces de routage :
Interface de rseau local (LAN, Local Aera Network) : Gnralement les dispositifs de ce
type sont des cartes rseau LAN mme si une carte rseau tendue (WAN, Wide Aera
Network) peut servir dinterface.
Implmentation dune infrastructure rseau Microsoft Windows 2003 8 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Interface de numrotation la demande : Il sagit de connexions point point qui
ncessitent une authentification pour tre tablies. Dans la plupart des cas, il sagit de
connexions laide de modem ou de rseau VPN entre routeur. Pour rappel, un rseau VPN
est lextension dun rseau priv par le biais dun rseau public ou partag.

1.1.3. Que sont les protocoles de routage ?

Un protocole de routage supporte des protocoles routs pour fournir des mcanismes de partages
dinformations de routage afin de permettre aux routeurs de communiquer entre eux pour mettre jour
et grer leur table de routage.

Dans le cas o aucun protocole de routage nest configur, le service de routage et daccs distant
procdera au routage uniquement sur les rseaux auxquels il est physiquement connect et ceux
renseigns statiquement dans la table de routage par ladministrateur.

Le service de routage et daccs distant de Windows Server 2003 supporte 2 protocoles de routages :

RIP (Routing Information Protocol) : Utilis dans les petites et moyennes infrastructures, il
sagit dun protocole vecteur de distance qui crer dynamiquement sa table de routage puis
change ces informations avec les autres routeurs connects ces interfaces. Cette opration
se droule priodiquement afin datteindre la convergence du rseau. Ce protocole reste le
plus simple configurer.

OSPF (Open Shortest Path First) : Utilis pour de plus grandes infrastructures que RIP,
lOSPF est un protocole tat de liens. Il forme une carte partir de la configuration du
rseau. Cette carte permet au routeur de calculer le plus court chemin parcourir.

1.1.4. Que sont les tables de routage

Une table de routage recense les informations sur lemplacement des ID rseaux au sein du rseau. Le
but de la table de routage est de dterminer le chemin le plus court suivant lalgorithme utilis par le
routeur.

Dans une table de routage, il existe trois types dentres :

Itinraire rseau : Cest le chemin indiquant linterface rseau utiliser pour parvenir un
autre rseau.
Itinraire hte : Chemin personnalis vers un hte (poste, serveur ou autre dispositif
administrable distance) permettant de contrler et optimiser le trafic rseau.
Itinraire par dfaut : Cet itinraire est emprunt chaque fois quaucune information vers
la destination nest disponible. Tout paquet ne trouvant pas son chemin empruntera cette
route.

Implmentation dune infrastructure rseau Microsoft Windows 2003 9 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs


Les entres dune table de routage comportent plusieurs informations :

Destination rseau : Adresse IP du rseau (bit des htes 0) ou dun client qui reprsente la
destination rseau de litinraire enregistr. La destination 0.0.0.0 reprsente litinraire par
dfaut.
Masque rseau : Reprsente le masque de sous-rseau utilis sur le rseau de destination. Le
masque 255.255.255.255 est rserv pour les enregistrements dun hte.
Adresse Passerelle : Indique ladresse de llment intermdiaire le plus proche permettant
datteindre la destination et de changer de sous-rseau par exemple.
Adresse Interface : Adresse de linterface par laquelle les paquets vont tre envoys.
Mtrique : Elments de mesure permettant de dterminer litinraire prfr.

1.1.5. Pourquoi utiliser le service Routage et accs distant de Windows
Server 2003 ?

Le service routage et daccs distant permet deffectuer plusieurs tches :
Segmentation de rseaux LAN et WAN
Accs distant par lintermdiaire de la numrotation la demande.
Accs au rseau LAN priv par lintermdiaire de tunnels crypts (VPN) en passant par un
rseau public ou partag

La console de ce service sur Windows Server 2003 permet dafficher tous les serveurs routeurs
Windows Server 2003 et les serveurs daccs distant sur votre rseau. De plus, le service est extensible
grce des API (Application Programming Interface) afin de personnaliser votre gestion de rseau.

1.2. Configuration des filtres de paquets

1.2.1. Quest-ce que le filtrage des paquets ?

Le filtrage des paquets spcifie le type de trafic circulant en entre et en sortie en empchant certains
types de paquets dtre envoys ou reus par lintermdiaire du routeur. Cest justement par
lintermdiaire dun filtre de paquets (Paramtre de configuration TCP/IP) que le routeur autorise ou
non des paquets entrants ou sortants.

Implmentation dune infrastructure rseau Microsoft Windows 2003 10 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Avec lutilisation du service routage et accs distant, il est possible daffecter des filtres de paquets par
interface et les configurer comme suit :
faire passer tout le trafic lexception des paquets interdits par les filtres
ignorer tout le trafic lexception des paquets autoriss par les filtres.

Il existe plusieurs utilits lutilisation de filtres de paquets :

Interdire laccs aux utilisateurs non autoriss
Interdire laccs une ressource
Filtrer le trafic dune liaison lente pour le rediriger sur une plus rapide.

1.2.2. Comment les filtres de paquets sont-ils appliqus ?

Un mme filtre peut englober plusieurs paramtres comme le rseau dorigine, le rseau de destination
et le protocole utilis. Ensuite ce filtre peut autoriser ou non le trafic en entre ou en sortie sur une
interface.

Dans le cas dun filtre plusieurs paramtres, ils seront tous examins les uns aprs les autres pour
dterminer le devenir d'un paquet.

tant donn que vous pouvez dfinir des filtres dentre et de sortie pour chaque interface, il est
possible de crer des filtres contradictoires. Lorsque plusieurs filtres sont configurs, les filtres
distincts appliqus aux paquets entrants ou sortants sont compars en utilisant un OU logique.

Lapplication des filtres de paquets seffectue dans cet ordre :

Comparaison des paquets (entrants ou sortants) avec les filtres
Si les paramtres correspondent, le filtrage (accepter ou refuser) est effectu.
Si les paramtres ne correspondent pas en totalit, le paquet est compar au prochain filtre
Si aucun filtre de paquets nest configur mais que le routeur est configur avec un filtre
dexclusion, le paquet pourra alors traverser le routeur, au contraire si le routeur est configur
avec filtre dinclusion, le paquet est alors rejet.
Implmentation dune infrastructure rseau Microsoft Windows 2003 11 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
2. Attribution automatique dadresses
IP laide du protocole DHCP

2.1. Pourquoi utiliser le protocole DHCP ?

Le serveur DHCP permet dallger la charge administrative. Les ordinateurs du rseau ont toujours
une adresse IP correcte et des informations de configuration correctes. Cette technologie permet de
limiter les tches administratives raliser sur les clients au niveau de la configuration rseau.

2.2. Comment le protocole DHCP alloue des adresses
IP

Un serveur DHCP permet de grer lallocation dadresses IP automatiques partir dun point
centralis. Un serveur DHCP affecte un bail DHCP aux clients, ce bail contient tous les paramtres
rseau appliquer.
Un bail est la dure pendant laquelle le client pourra utiliser la configuration attribue.

Le serveur DHCP gre lattribution et le renouvellement du bail. Ces fonctions se nomment, processus
de cration dun bail DHCP et processus de renouvellement dun bail DHCP.

2.2.1. Comment fonctionne le processus de cration dun bail DHCP

Lorsque vous allumez votre ordinateur pour la premire fois, il fait une demande de bail IP en
diffusant le message DHCPDISCOVER laide dune version limite du protocole TCP/IP.

Tous les serveurs DHCP qui disposent dune adresse IP valide pour le segment rpondent avec un
message DHCPOFFER contenant ladresse matrielle du client, ladresse IP propose, un masque de
sous rseau, la dure du bail et ladresse IP du serveur DHCP.

Ladresse IP propose est rserve par le serveur, pour viter de la proposer un autre client durant le
laps de temps qui spare la proposition de la rservation par le client.

Si le client ne reoit pas de rponse dun serveur DHCP, il renvoie un DHCPDISCOVER au bout de
2 puis 4, 8, 16 secondes laquelle on ajoute une dure alatoire ente 0 et 1000 ms.
Si le client na pas obtenu de rponse, il utilise une adresse IP comprise dans la plage dadresses
169.254.0.1 et 169.254.255.254 (APIPA). Le client continue de rechercher un serveur DHCP toutes
les 5 minutes.

Lorsque le client reoit une offre dadresse IP, il rpond la premire quil reoit en diffusant un
message DHCPREQUEST pour laccepter. Toutes les adresses IP proposes par les autres serveurs
DHCP sont alors libres.

Le serveur DHCP qui a mis loffre accepte envoie un accus de rception DHCPACK. Ce message
contient le bail ainsi que les informations de configuration.
Lorsque le client DHCP reoit laccus de rception, il initialise le protocole TCP/IP.

Implmentation dune infrastructure rseau Microsoft Windows 2003 12 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs



2.2.2. Comment fonctionne le processus de renouvellement dun bail
DHCP

Un client DHCP tente automatiquement de renouveler son bail 50% de sa dure. Pour cela, il envoie
un message DHCPREQUEST au serveur DHCP qui lui a fourni son bail. Le serveur DHCP lui
retourne un DHCPACK contenant la dure du nouveau bail ainsi que les paramtres de configuration
mis jour.

Si le serveur DHCP nest pas prsent, il ressaiera 75% de la dure du bail puis 87,5% ; sil na
pas reu de rponse 87,5% alors il enverra un message DHCPDISCOVER auprs de tous les
serveurs DHCP. Sil reoit un DHCPOFFER pour mettre jour son bail en cours, alors il effectuera le
renouvellement auprs de ce serveur DHCP compter de ce moment.

Si le bail expire, alors le client cesse immdiatement dutiliser ladresse IP et recommencera toute la
procdure dattribution

Implmentation dune infrastructure rseau Microsoft Windows 2003 13 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Lorsque vous dmarrez un ordinateur qui dispose dun bail toujours valide, il commence par tenter le
renouvellement de bail.
Si un client demande le renouvellement dun bail non valide (machine dplace) ou en double, le
serveur DHCP rpond par un DHCPNAK, le client est alors contraint dobtenir une nouvelle adresse
IP.

Il est possible de demander le renouvellement du bail manuellement laide de la commande
ipconfig /renew.

Il est aussi possible de forcer labandon dun bail avec la commande
ipconfig /release.

Le message DHCPRELEASE sera envoy au serveur DHCP et le protocole TCP/IP sera stopp.

2.3. Comment un service Serveur DHCP est autoris

Sur un rseau avec un domaine Windows 2000/2003, vous devez autoriser le serveur DHCP, sinon,
celui-ci ne rpondra pas aux clients.

Seuls les serveurs DHCP Windows 2000f2003 vrifient l'autorisation.

Un serveur DHCP, pendant son initialisation, diffuse le message DHCPINFORM. Les serveurs
DHCP en fonctionnement lui retournent un DHCPACK contenant les informations du domaine racine
Active Directory. Avec ces informations, il contacte le contrleur de domaine pour vrifier quil fait
partie de la liste des serveurs DHCP autoriss puis dmarre. Sil nest pas autoris, le service DHCP
ajoute un message derreur au journal des vnements et ne rpond pas aux clients.

Pour autoriser un serveur DCHP, il faut tre membre du groupe Administrateurs dEntreprise ou de
Domaine.

2.4. Configuration dune tendue DHCP

2.4.1. Que sont les tendues DHCP ?

Pour utiliser ladressage IP dynamique, vous devez crer une tendue sur le serveur. Chaque tendue
se caractrise par un nom, une description, une plage dadresses IP avec le masque de sous rseau
correspondant, une dure de bail, les plages dIP exclues (facultatif) et ladresse de la passerelle
(routeur). Chaque sous rseau possde une tendue DHCP unique contenant une plage dadresses IP
unique et permanente.
Il faut activer une tendue pour quelle soit disponible.

Configuration de la dure de bail :

Une dure de bail courte est conseille lorsque vous avez moins dadresses IP que de machines. Dans
ce cas, lorsque lon teint des machines, leur adresse IP est plus rapidement libre. Cest aussi utile
lorsque les paramtres du rseau changent souvent.
Une dure de bail plus longue permet de diminuer le trafic rseau engendr par le renouvellement des
IP.
Une dure de bail illimite supprime le trafic engendr par le protocole DHCP. En effet, les clients ne
lutilisent quau dmarrage de la machine.
Implmentation dune infrastructure rseau Microsoft Windows 2003 14 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

La dure du bail par dfaut est de 8 jours.

Options dtendues :

Les options dtendues permettent de fournir diverses informations en mme temps que la distribution
de ladresse IP.
Les options dtendues courantes sont ladresse de la passerelle par dfaut, le nom de domaine DNS,
ladresse des serveurs DNS et WINS, le type de Nud WINS utiliser.

Les options dtendues peuvent tre dfinies plusieurs niveaux, cela simplifie ladministration.
Au niveau du serveur, les options sappliquent tous les clients DHCP.
Au niveau de ltendue, les options sappliquent uniquement aux clients DHCP qui reoivent un bail
de cette tendue, elles sont prioritaires sur les options de serveur.
Au niveau de la classe, les options sont appliques sur les clients qui appartiennent une mme classe.
Les classes doivent tre dfinies sur les clients. Les options de classe sont prioritaires sur les options
dtendues et les options de serveur.
Au niveau du client rserv, les options que vous dfinissez au niveau du client sont prioritaires sur
toutes les autres options.

2.5. Configuration dune rservation DHCP

2.5.1. Quest-ce quune rservation DHCP ?

Vous pouvez rserver une adresse IP spcifique pour un
client en faisant une rservation (base sur ladresse
MAC du client).

Il est avantageux dutiliser une rservation dadresse IP
pour des postes qui doivent toujours utiliser la mme IP
comme pour les serveurs de fichiers, dimpression ou
autres serveurs dapplications par exemple.

Une rservation est base sur plusieurs informations
comme, un nom de rservation, ladresse IP rserve,
ladresse MAC du poste, une description et un type pris
en charge (DHCP, BOOTP ou les 2).


2.6. Configuration des options DHCP

2.6.1. Que sont les options DHCP ?

Les options DHCP sont les paramtres supplmentaires que le serveur DHCP peut configurer sur les
clients lors de lattribution dun bail.



Implmentation dune infrastructure rseau Microsoft Windows 2003 15 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

Voici les options les plus courantes :

Routeur : adresse dune passerelle par dfaut ou dun routeur.
Nom de domaine : Celui-ci permet de prciser le domaine de la machine. Ce qui permet au
client de pouvoir senregistrer auprs du domaine correspondant.
Serveur DNS et WINS : Adresse de ces serveurs pour la communication cliente.

2.6.2. Comment sont appliques les options au niveau du serveur DHCP,
de ltendue et du client rserv

Le service DHCP applique des options aux ordinateurs clients dans un ordre prcis :

1. Au niveau du serveur
2. Au niveau de ltendue
3. Au niveau de la classe
4. Au niveau du client rserv

Par consquent, vous pouvez dfinir des options attribues par le service DHCP en utilisant diffrents
niveaux dautorit afin que certaines options soient prioritaires sur dautres.

Le tableau suivant dcrit les ordres de priorit et les niveaux des options DHCP :

Option DHCP Ordre de priorit
Option au niveau du serveur Est attribu tous les clients du serveur DHCP
Option au niveau de ltendue Est attribu tous les clients de ltendue
Option au niveau de la classe Est attribu tous les clients appartenant la
classe
Option au niveau du client rserv Est attribu un seul client DHCP

Exemple de configuration :
Le niveau serveur permet aux clients dutiliser tous les mmes serveurs WINS et/ou DNS
Le niveau tendue permet chaque tendue dutiliser le mme routeur
Le niveau client rserv permet par contre lutilisation dun autre routeur.

2.6.3. Comment sont appliques les options au niveau de la classe
DHCP

Les options au niveau de classe sont utilises pour modifier les valeurs des autres niveaux. Les options
de la classe sappliquent au client sidentifiant dans une classe. Vous pouvez utiliser deux types
doption de classe :

La Classe de Fournisseur est une fonction qui permet de regrouper les clients DHCP en
fonction de leur type de configuration, de fournisseur et de matriel.
La Classe dutilisateur est une fonction qui permet de regrouper les utilisateurs DHCP en
fonction dun identifiant partag ou commun.





Implmentation dune infrastructure rseau Microsoft Windows 2003 16 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
2.7. Configuration dun agent de relais DHCP

Dans la plupart des cas, les routeurs prennent en charge le relais DHCP/BOOTP. Si un routeur ne
peut pas fonctionner en tant quagent de relais DHCP/BOOTP, vous pouvez utiliser un agent de relais
DHCP.

2.7.1. Quest-ce quun agent de relais DHCP ?

Un agent de relais DHCP est un ordinateur ou un routeur pouvant couter les messages
DHCP/BOOTP des clients pour les transmettre au serveur DHCP sur diffrents sous rseaux. Ces
agents font partie des normes DHCP et BOOTP et fonctionnent en conformit avec les RFC.

Un routeur conforme a la RFC 15+2 prend en charge les messages DHCP.

Certaines entreprises pensent quil est plus facile de grer un serveur DHCP global pour tous leurs
rseaux. A cause de lutilisation de diffusion lors du processus de demande de bail, les serveurs DHCP
ne fournissent des baux que sur leur sous rseau. Il est alors ncessaire dutiliser des routeurs
compatibles ou des agents de relais logiciels. Par exemple, le service routage et accs distant de
Windows Server 2003 est configur pour fonctionner en agent de relais DHCP.

2.7.2. Comment fonctionne un agent de relais DHCP

Les procdures suivantes dcrivent le fonctionnement dun agent de relais DHCP :

1. Le client DHCP diffuse un paquet DHCPDISCOVER.
2. Lagent de relais DHCP sur le sous-rseau du client envoie le message DHCPDISCOVER au
serveur DHCP laide de la monodiffusion.
3. Le serveur DHCP utilise la monodiffusion pour envoyer un message DHCPOFFER lagent
de relais DHCP.
4. Lagent de relais DHCP diffuse le paquet DHCPOFFER au sous-rseau du client DHCP.
5. Le client DHCP diffuse un paquet DHCPREQUEST.
6. Lagent de relais DHCP sur le sous-rseau du client envoie le message DHCPREQUEST au
serveur DHCP laide de la monodiffusion.
7. Le serveur DHCP utilise la monodiffusion pour envoyer un message DHCPACK lagent de
relais DHCP.
8. Lagent de relais DHCP diffuse le paquet DHCPACK au sous-rseau du client DHCP.

2.7.3. Comment un agent de relais DHCP utilise le nombre de tronons

Le seuil du nombre de tronons correspond au nombre de routeurs que le paquet peut traverser avant
dtre rejet. Le nombre de tronons permet de dterminer la distance en routeurs entre lagent de
relais DHCP et le serveur DHCP le plus loign. Si le nombre de tronons est infrieur la distance
avec le serveur DHCP, lagent ne pourra pas fournir de baux. Le nombre maximum de tronons est
de 16.
2.7.4. Comment un agent de relais DHCP utilise le seuil de dmarrage

Le seuil de dmarrage est une temporisation pendant laquelle lagent de relais va attendre pour laisser
le serveur DHCP local au sous-rseau de rpondre au client. Ce dlai permet au serveur local de
rpondre le premier et quand le client va recevoir le DHCPOFFER du serveur DHCP distant (par
Implmentation dune infrastructure rseau Microsoft Windows 2003 17 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
lintermdiaire de lagent de relais), il le refusera. Par contre dans le cas dun disfonctionnement du
serveur DHCP local, loffre distante arrivant la premire sera accepte.



Implmentation dune infrastructure rseau Microsoft Windows 2003 18 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
3. Gestion et analyse du service DHCP

3.1. Gestion dune base de donnes DHCP

3.1.1. Vue densemble de la gestion du service DHCP

Une fois un service quelconque install, vous devez le surveiller pour le faire voluer au sein de votre
environnement. Pour le serveur DHCP, cest la mme chose du fait que lenvironnement rseau est
susceptible dvoluer.

Il est ncessaire de grer le service DHCP pour quil rponde aux besoins dadressage IP des clients
lorsque que le rseau est modifi (Ajout de clients, de serveurs par exemple). Il est aussi ncessaire de
veiller aux conditions de fonctionnement du serveur sur lequel sexcute le service DHCP et protger
la base de donnes contre toutes dfaillances.

3.1.2. Quest-ce quune base de donnes DHCP ?

La base de donnes du serveur DHCP contient les donnes de configuration DHCP. Cest une base de
donnes mise jour dynamiquement lorsquun client acquiert ou libre un bail.

Le service DHCP ne peut pas dmarrer sans base de donnes.

Cette base est stocke dans le rpertoire %Systemroot%\System32\Dhcp et par dfaut, elle est
sauvegarde dans le rpertoire Systemroot%\System32\Dhcp\Backup\New.

La base de donnes est compose de plusieurs fichiers :

DHCP.mdb : Fichier de base de donnes du service.
Tmp.edb : Fichier temporaire de la base de donnes DHCP utilis comme fichier dchange
pendant la maintenance.
J50.log et J50*.log : Journaux utiliss pour enregistrer les transactions.
Res*.log : Fichiers journaux rservs qui enregistrent les transactions existantes si lon
manque de lespace disque systme.
J50.chk : Fichier de point de contrle.

3.1.3. Modalits de sauvegarde et de restauration dune base de
donnes DHCP

La sauvegarde de la base de donnes DHCP permet de faire une restauration en cas de dfaillance. Par
dfaut, le service DHCP sauvegarde toutes les heures la base et les entres du registre dans le
rpertoire Backup\New. Ladministrateur peut ensuite copier ces fichiers sur un support magntique
ou sur un autre disque.

Si le serveur narrive pas dmarrer partir de sa base de donnes, il effectue automatiquement une
restauration partir du rpertoire de sauvegarde par dfaut (qui peut tre modifi).

Implmentation dune infrastructure rseau Microsoft Windows 2003 19 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
3.1.4. Comment sauvegarder et restaurer une base de donnes DHCP

Il est possible de sauvegarder ou de restaurer la base de donnes aussi bien automatiquement que
manuellement, mais sil sagit dutiliser un support externe, lopration sera obligatoirement manuelle.

Lors dune sauvegarde manuelle, il faut choisir un autre rpertoire que celui par dfaut, car en cas de
modification des fichiers de sauvegarde automatique manuellement, le service DHCP ne fonctionnera
pas correctement.

La sauvegarde et la restauration manuelle seffectuent partir de la console DHCP.



3.1.5. Modalits de rconciliation dune base de donnes DHCP

La rconciliation est le processus qui vrifie la base de donnes en fonction des valeurs de registre
DHCP.

Il existe deux circonstances ncessitant la rconciliation de la base :

Lorsque les donnes de la base sont correctes mais ne saffichent pas correctement dans la
console.
Lors dune restauration de la base qui ne contient pas les valeurs les plus rcentes.

Lorsquon rconcilie un serveur ou une tendue, le service reconstruit sa configuration grce aux
informations rsumes contenues dans le registre de Windows et des informations dtailles de la base
de donnes DHCP.

3.1.6. Comment rconcilier une base de donnes DHCP

Avant de rconcilier une ou toutes les tendues, vous devez vous assurer que le serveur respecte les
conditions suivantes :

Toutes les cls du registre doivent tre restes intactes suite lactivit antrieure du serveur
DHCP ou alors restaurer ces cls de registres.

Une nouvelle version du fichier de base de donnes du serveur DHCP doit se trouver dans le
dossier %Systemroot%\System32\Dhcp.

Une fois la rconciliation effectue, il est possible que les proprits des clients individuels figurant
dans les baux actifs soient affiches de manire incorrecte. Ces informations seront mises jour lors
du renouvellement du bail par les clients.
Implmentation dune infrastructure rseau Microsoft Windows 2003 20 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

La rconciliation seffectue partir de la console DHCP en dessous de la restauration (voir image ci-
dessus).
En cas de croissance de la base de donnes, il faut utiliser loutil Jetpack.exe pour compacter la base
de donnes DHCP.

3.2. Analyse du service DHCP

3.2.1. Vue densemble de lanalyse du service DHCP

Etant donn que lenvironnement DHCP est dynamique, les besoins des clients et de lorganisation
changent constamment par de nouvelles options, dajouts dtendues pour dventuels clients
supplmentaires. Comme le serveur DHCP est un point trs important du rseau, il faut tablir une
base de performances pour permettre dvaluer les serveurs.

Dans la plupart des cas, les serveurs qui officient en tant que serveurs DHCP ne sont pas
exclusivement ddis cette activit. Il faut donc tenir compte des possibles interactions entre les
services DHCP et leur utilisation respective des ressources systmes.

Des informations concernant le service DHCP sont disponibles dans les statistiques DHCP, les
vnements DHCP et les donnes de performances DHCP.

3.2.2. Prsentation des statistiques DHCP

Les statistiques DHCP reprsentent les
informations collectes depuis le dernier
dmarrage du serveur DHCP. Le but des
statistiques DHCP est doffrir une vue en
temps rel afin de vrifier ltat du serveur.



3.2.3. Quest-ce quun fichier journal daudit DHCP ?

Un fichier journal daudit DHCP recense les vnements relatifs lis au service, par exemple quand
le service dmarre ou sarrte, quand des autorisations ont t vrifies ou quand des adresses IP sont
loues, renouveles, libres ou refuses.

Le journal daudit DHCP permet ladministrateur danalyser les vnements quotidiens, voir plus
longs, de lactivit du serveur DHCP.

Les fichiers journaux sont des fichiers texte contenant des enregistrements qui reprsentent des lignes
de texte avec des virgules comme sparateurs de colonnes.


Implmentation dune infrastructure rseau Microsoft Windows 2003 21 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Les champs disponibles pour ces fichiers sont :

ID : Code de lvnement
Date
Heure
Description
Adresse IP
Nom dhte
Adresse MAC

3.2.4. Fonctionnement de lenregistrement daudit DHCP

Voici le fonctionnement quotidien de lenregistrement de laudit DHCP :

1. Lorsque le serveur DHCP dmarre ou que cest un nouveau jour (heure 00 :00), le serveur
crit une nouvelle entte dans le fichier journal.

a. Si le fichier existe mais na pas subi de modifications au cours des dernires 24
heures, il est remplac.
b. Si le fichier existe mais a t modifi depuis moins de 24 heures, il nest pas
remplac, cest le cas lorsque le serveur dmarre par exemple.

2. Ds que lenregistrement daudit a dbut, le serveur DHCP fait des vrifications despace au
niveau du disque mais aussi de la taille du fichier daudit pour que celui-ci ne soit pas trop
volumineux.
A chaque fois que lhorloge du serveur atteint 00:00 ou quun certain nombre dvnements a
t enregistr, par dfaut 50, le serveur effectue une vrification totale du disque.
A chaque contrle du disque, le serveur vrifie si lespace disque est rempli. Le disque est
considr plein lorsque lune des conditions suivantes est vraie :

a. Lespace disque restant est infrieur au minimum requis par le serveur DHCP pour
lenregistrement daudit (par dfaut : 20Mo).
b. La taille du fichier journal daudit actuel est suprieure un septime (1/7) de lespace
maximal allou pour lensemble des journaux daudit actuellement stocks sur le
serveur. La limite par dfaut est configure dans le registre 70 Mo.

Dans tous les cas, si le disque est considr comme plein, aucun enregistrement dvnement
ne sera accept tant quil ny aura pas dautre place ou tant que le serveur narrive pas 00:00.

3. A 00:00 heure locale sur lordinateur serveur, le journal courant est ferm pour passer au
suivant. Par exemple, si on passe du mercredi au jeudi, le fichier de log passera du
DhcpSrvLog-Mer DhcpSrvLog-Jeu.


Implmentation dune infrastructure rseau Microsoft Windows 2003 22 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
3.2.5. Instructions pour analyser les performances de serveur DHCP

Il faut dans un premier temps crer une ligne de base (minimum requis au niveau performance) pour
avoir un seuil prcis des performances sous lesquelles on estime que le serveur qui hberge le DHCP
est surcharg.

Ensuite il faut, si le serveur hberge dautres services ou applications pouvant utiliser les ressources de
la machine, valuer la charge totale du serveur et les circonstances dans lesquelles ces diffrentes
applications pourraient influencer sur le fonctionnement du service Serveur DHCP.

Puis, il est judicieux dexaminer les propres compteurs du serveur DHCP pour voir par exemple le
nombre de baux traits. Une augmentation pourrait tre due une diminution du temps accord aux
baux mais une augmentation pourrait reflter d'un disfonctionnement dune partie du rseau.

3.2.6. Compteurs de performance communment utiliss pour analyser
les performances de serveur DHCP

La console de performances de
Windows Server 2003 permet de
vrifier les performances prcises
de lactivit du serveur DHCP.
Le Moniteur systme permet
d'ajouter des objets et des
compteurs de performance dans
l'un des trois modes d'affichage
graphique : courbe, histogramme et
rapport. Vous pouvez galement
afficher les donnes enregistres
dans les journaux. Si vous ajoutez
un compteur comportant plusieurs
instances, vous avez la possibilit
de slectionner l'instance souhaite.











Compteurs de
performance
Donnes collectes Interprtation vnements
rechercher
aprs l'tablissement
d'une ligne de base
Paquets
reus/seconde

Nombre de paquets
de messages que le
serveur DHCP reoit
par seconde.
Un nombre lev indique un
volume important de
messages DHCP transmis au
serveur.

Surveillez les
augmentations ou les
diminutions soudaines
qui pourraient dnoter
des problmes sur le
rseau.
Nombre de Nombre de messages Une augmentation soudaine Surveillez les
Implmentation dune infrastructure rseau Microsoft Windows 2003 23 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
requtes/seconde de demande DHCP
que le serveur DHCP
reoit par seconde de
clients.
ou inhabituelle de ce nombre
indique qu'un grand nombre
de clients essaient de
renouveler leurs baux auprs
du serveur DHCP. Ceci peut
dnoter que les dures de bail
de l'tendue sont trop courtes.
augmentations ou les
diminutions soudaines
qui pourraient dnoter
des problmes sur le
rseau.
Longueur de la
file d'attente
active
Longueur actuelle de
la file d'attente de
messages interne du
serveur DHCP. Cette
valeur est gale au
nombre de messages
non traits que reoit
le serveur.
Une valeur leve peut
indiquer que le serveur DHCP
est dbord par le nombre de
demandes qu'il reoit.
Surveillez les
augmentations
soudaines ou graduelles,
qui pourraient dnoter
un accroissement de la
charge ou une baisse de
la capacit de traitement
du serveur.
Doublons
ignors/seconde
Nombre de paquets
en double que le
serveur DHCP
supprime par
seconde.
Ce nombre peut augmenter
lorsque plusieurs agents de
relais DHCP ou interfaces
rseau transmettent le mme
paquet au serveur.
Une valeur leve indique
que le serveur ne rpond pas
assez vite ou que le nombre
de secondes spcifi comme
seuil de redmarrage pour
l'agent de relais n'est pas
assez lev.
Surveillez avec ce
compteur toute activit
pouvant indiquer que
plusieurs demandes sont
transmises au serveur au
nom des clients.


3.2.7. Instructions pour crer des alertes pour un serveur DHCP

Une alerte est un processus qui se dclenche lorsque la valeur surveille est soit infrieure, soit
suprieure au seuil indiqu nomm seuil dalerte.

Affecter des alertes auprs de certains compteurs de performances du serveur DHCP qui ont une
activit anormale avant lapparition de problmes connus, peut permettre ladministrateur dy
configurer le lancement dun script.

Pour dfinir ces compteurs, il faut auditer les compteurs DHCP durant une certaine priode afin de
surveiller lvolution des compteurs pour crer une zone de fonctionnement normal. Il faudra ensuite
crer des alertes pour prvenir lorsque que le compteur est en dehors de sa zone.

Afin de rpondre aux alertes DHCP par un script, il existe les commandes Netshell pour DHCP. Les
commandes Netshell pour DHCP offrent pour l'administration des serveurs DHCP un outil d'aide de
ligne de commande totalement quivalent, Dhcpmon.dll, qui constitue une alternative la gestion sur
console.

Implmentation dune infrastructure rseau Microsoft Windows 2003 24 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
3.3. Application des instructions de scurit pour le
service DHCP

3.3.1. Instructions pour empcher un utilisateur non autoris dobtenir
un bail

Lorsquun utilisateur possde un accs physique (cble ou wireless) un rseau possdant un serveur
DHCP, il peut rcuprer un bail auprs de ce serveur sans fournir son nom dutilisateur ou mot de
passe. Un utilisateur mal intentionn peut donc bloquer de nombreux baux et donc diminuer les baux
disponibles aux utilisateurs du rseau.

Il existe des prcautions simples pour empcher un utilisateur non autoris dobtenir un bail :

Sassurer que seules les personnes autorises ont un accs au rseau
Activer laudit sur tous les serveurs DHCP du rseau pour les analyser lorsque ceux-ci
reoivent un nombre lev de demandes de baux DHCP.
Utiliser des commutateurs ou des points daccs bass sur les technologies 802.1x pour laccs
au rseau. Il permet lauthentification (Certificat ou Cl WEP) avant laccs au DHCP.
3.3.2. Instructions pour empcher les serveurs DHCP non autoriss,
non-Microsoft, de louer des adresses IP

Seuls les serveurs DHCP Windows 2000 et Windows 2003 peuvent tre autoriss dans lannuaire
Active Directory. Dans le cas o un serveur dcouvre quil nest pas autoris dans Active Directory, ce
serveur ne fournira pas de baux. Cette option permet dempcher les serveurs installs par un
utilisateur malveillant ou incomptent sur Windows 2000 et 2003 de fournir des baux et de ne pas
corrompre la configuration rseau des postes.

Par contre dans le cas de lutilisation de serveur DHCP non-Microsoft, il est impossible dutiliser cette
option, il faudra donc bien veiller interdire laccs physique dautres personnes votre rseau.

3.3.3. Instructions pour limiter le cercle des personnes autorises
administrer le service DHCP

Lors de linstallation du service DHCP sur un serveur membre ou autonome, deux groupes locaux sont
crs :
Utilisateurs DHCP
Administrateurs DHCP

Par contre lors de linstallation de ce service sur un contrleur de domaine, ces deux groupes sont
crs en tant que groupes locaux du domaine.

Pour administrer le serveur DHCP (avec NETSH ou console DHCP), il faut soit faire parti du groupe
Administrateurs, soit du groupe Administrateurs DHCP. De plus, il est lorigine ncessaire dtre
membre du groupe Administrateurs de lentreprise pour autoriser ou interdire le serveur DHCP
dans lannuaire Active Directory. Mais il est possible de dlguer ce droit dautres entits de
scurit.


Implmentation dune infrastructure rseau Microsoft Windows 2003 25 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Administrateurs DHCP

Les membres de ce groupe peuvent afficher et
modifier toutes les donnes lies au service
serveur DHCP. Les droits de ce compte sont
limits au service serveur DHCP, ils nont aucun
autre droit sur les autres services du serveur.
Utilisateur DHCP

Les membres de ce groupe ne possdent quun
accs en lecture seule aux donnes du serveur.

Pour administrer des serveurs DHCP dans un domaine, il faut ajouter un utilisateur ou un groupe
tous les groupes Administrateurs DHCP de chaque serveur DHCP du domaine.

3.3.4. Instructions pour scuriser la base de donnes DHCP

Les autorisations par dfaut pour le dossier DHCP ont pour but dempcher quiconque, lexception
des utilisateurs autoriss, daccder aux fichiers de base de donnes et aux fichiers daudit. Modifiez
ces autorisations par dfaut sil y a lieu pour accorder un accs ces fichiers aux personnes qui
doivent effectuer des tches administratives (par exemple analyser et sauvegarder les fichiers journaux
de serveur DHCP).

Ne modifiez pas les autorisations des groupes Systme ou Administrateurs. Si vous le faites, vous
risquez de provoquer des dysfonctionnements du serveur DHCP et dempcher les administrateurs
dassurer sa maintenance, par exemple en sauvegardant la base de donnes.

Implmentation dune infrastructure rseau Microsoft Windows 2003 26 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
4. Rsolution de noms

4.1. Affichage de noms sur un client

Un nom pour un poste permet lidentification de celui-ci sur un rseau par toute autre entit.
Chaque ordinateur possde deux identificateurs : un nom alphanumrique et une adresse IP.

4.1.1. Comment les noms sont mapps des adresses IP

La rsolution de noms

Il est difficile pour un utilisateur de travailler
avec des adresses IP. La rsolution est le
processus qui permet deffectuer
automatiquement une traduction entre des noms
alphanumriques et des adresses IP.
Un service de rsolution de noms

Cest ce service qui effectue la rsolution de noms
complets (ou alphanumriques). Ce service est
fourni par WINS (Windows Internet Name
Service) et DNS (Domain Name System).

Lorsquun utilisateur veut atteindre une ressource disponible sur un serveur, il y fait appel par le nom
du serveur (ex : ServSupinfo1). Lordinateur va dterminer ladresse IP associ au serveur (ex :
192.168.1.1) et ensuite effectuer la connexion partir de celle-ci.

Il existe deux types de noms dans les rseaux : nom dhtes et noms NetBIOS.

4.1.2. Que sont les noms dhtes ?

Dans noms dhtes, il y a :
Nom : Identificateur du poste dans le rseau.
Nom dhtes : Nom DNS dun priphrique rseau.

Un nom de domaine pleinement qualifi (FQDN) est un nom de domaine DNS. Cest la forme lisible
et hirarchique du nom complet d'un ordinateur. Le FQDN (Fully Qualified Domain Name) dfinit
un nom d'hte complet (ex: www.labo-microsoft.com). Il inclut la partie domaine ou suffixe (ex: labo-
microsoft.com) et la partie hte (ex: www), ce qui permet la rsolution des noms dhtes sur Internet.

Les noms dhtes sont utiliss pour trouver un priphrique rseau sur un rseau. Afin de trouver un
dispositif rseau partir de son nom dhte, il faut quil soit connu du fichier Hosts ou dun serveur
DNS.


Caractristiques du nom dhte
Alias attribu un poste pour lidentifier
Identique au nom NetBIOS par dfaut sur Windows 2003 et XP
Chane comportant au maximum 255 caractres
Nom unique avec comme mthodes de rsolution, le fichier Hosts et le serveur DNS


A une adresse !P peut correspondre plusieurs noms d'htes ou l'inverse.
Implmentation dune infrastructure rseau Microsoft Windows 2003 27 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
4.1.3. Que sont les noms NetBIOS ?

Un nom NetBIOS est un nom qui permet didentifier les services NetBIOS sur un ordinateur. Ce nom
est compos dun nom de 15 caractres plus 1 qui indique le service (Station de travail, Serveur,
Messenger, Groupe,).

Par contre les noms NetBIOS nont aucune utilit sur Internet car ils ne possdent aucune hirarchie.
Un exemple simple : aucun nom NetBIOS ne peut tre en double sur le mme sous rseau.


Caractristiques du nom NetBIOS
Pas forcement gal au nom dhte
Longueur max de 15 caractres
Unique sur le rseau
Lutilitaire Nbtstat affiche les noms NetBIOS de la machine locale ou distante

4.1.4. Comment afficher les noms sur un client


Nom dhte

Nom NetBIOS
Localit Affichage
Commande Ipconfig
/all
Nom de lhte
Suffixe DNS
principal
Commande hostname Nom dhte
Systme dans le
Panneau de
configuration, onglet
nom de lordinateur.
Nom dhte
Nom de domaine

Localit Affichage
Commande Nbtstat -n Noms NetBIOS
locaux

Commande Nbtstat -A
@IP
Noms NetBIOS
distants
Systme dans Panneau de
configuration, onglet
nom de lordinateur.
Nom NetBIOS
Nom du groupe de
travail



Pour modifier, le nom du poste, il faut aller
dans Systme dans le Panneau de configuration
(clic droit proprits sur poste de travail),
onglet nom de lordinateur puis faire modifier.

Si lordinateur est membre dun domaine, vous
devrez possder un compte sur le domaine
ayant les droits de renommer le poste.


Implmentation dune infrastructure rseau Microsoft Windows 2003 28 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
4.2. Configuration de la rsolution de noms dhtes

4.2.1. Processus de rsolution de noms dhtes

1. Utilisation dun nom dhte par une application ou un service
2. Recherche dans le cache de rsolution client (cr partir du fichier Hosts et des dernires
recherches).
3. Si lentre nexiste pas dans le cache, le poste client envoie une requte un serveur DNS.
4. Si ces mthodes de rsolutions ont chou et que le nom ne dpasse pas 15 caractres, le
poste client passe la mthode de rsolution de noms NetBIOS.
5. Lorsque le nom dhte est trouv, Ladresse IP est retourne au service ou lapplication
qui est lorigine de cette procdure

4.2.2. Cache de rsolution client


4.2.3. Fichier Hosts


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilis par Microsoft TCP/IP pour
Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'htes.
# Chaque entre doit tre sur une ligne propre. L'adresse IP doit tre
place dans la # premire colonne, suivie par le nom d'hte correspondant.
L'adresse IP et le nom
Le cache de rsolution client stocke le contenu du
fichier Hosts (enregistrement PTR) et les noms
dhtes rcemment rsolus pendant un temps dfini
(dure de vie) pour ne pas avoir un cache trop
important..

Ce cache est le premier endroit utilis lors de la
rsolution de nom dhte car il ne gnre aucune
requte rseau et reste plus rapide.

Les rsolutions choues (entres de cache ngatives)
sont enregistres 5 minutes dans le cache afin de ne
pas rinterroger le serveur DNS pour rien. (ex :
www.existepas.fr ).

Pour afficher le cache de rsolution, il faut utiliser la
commande Ipconfig /displaydns, de plus, il est
possible depuis la version Windows 2000 de vider ce
cache avec la commande Ipconfig /flushdns.

Implmentation dune infrastructure rseau Microsoft Windows 2003 29 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
# d'hte doivent tre spars par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent tre insrs sur
des lignes
# propres ou aprs le nom d'ordinateur. Ils sont indiqu par le symbole
'#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hte client x

127.0.0.1 Localhost


Le fichier Hosts (exemple ci-dessus) est stock sur lordinateur client lemplacement
%Systemroot%\System32\Drivers\Etc et se nomme Hosts.

Il sert stocker dans le cache de rsolution client des entres statiques comme par exemple 127.0.0.1
qui correspond localhost. De plus une entre de ce fichier ne contient aucune dure de vie dans le
cache.

Chaque poste client peut possder le mme fichier Hosts car ce fichier est compatible avec les fichiers
Hosts dUNIX.

4.3. Configuration de la rsolution de noms NetBIOS

4.3.1. Processus de rsolution de noms NetBIOS

1. Lorsquune application a besoin de rsoudre un nom NetBIOS, elle recherche dans le
cache NetBIOS.
2. Si le cache NetBIOS ne rsout pas la requte, le serveur WINS est alors interrog.
3. Si le serveur WINS ne rsout pas le nom NetBIOS en adresse IP, le client tente de la
diffusion au sein de son rseau local.
4. Si la diffusion naboutit rien, le poste regarde dans son fichier Lmhosts.
5. Lorsque le nom NetBIOS est trouv, ladresse IP correspondante est renvoye
lapplication.

4.3.2. Cache de noms NetBIOS



Implmentation dune infrastructure rseau Microsoft Windows 2003 30 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Le cache de nom NetBIOS est lemplacement mmoire o se trouvent les noms correspondants aux
adresses IP rcemment rsolues par une diffusion, fichier Lmhosts, un serveur WINS ou les noms
prchargs partir du fichier Lmhosts.

Le cache de nom NetBIOS est utilis avant le serveur WINS, car lutilisation du fichier Lmhosts ne
produit aucun trafic rseau et reste trs rapide.

La dure de vie dune entre dans le cache de nom NetBIOS est de 10 minutes. Cette dure est
rinitialise chaque rsolution du nom.

Il existe deux types de noms NetBIOS :

- Uniques : Fait rfrence un service NetBIOS existant sur un ordinateur individuel.
- Collectifs : Fait rfrence un service NetBIOS regroupant plusieurs ordinateurs.

4.3.3. Comment afficher et librer le cache de noms NetBIOS

Loutil utilis pour interagir avec le cache de noms NetBIOS est nbtstat. Utilis sans argument, il
permet dafficher laide.
Commandes courantes :

- Nbtstat c : Afficher le cache
- Nbtstat R : Vide le cache et recharge les entres prcharges partir du fichier Lmhosts
- Nbtstat n : Affiche la table de noms NetBIOS locale.

4.3.4. Diffusions

Les diffusions dites broadcast sont des messages produits par un poste destination de tous les htes
de son segment rseau.

La diffusion se produit si la rsolution du nom NetBIOS na pas fonctionn avec le cache et le serveur
WINS. Il ny pas de configuration requise pour la diffusion.

Le principe de la diffusion est de lancer un message destination de tous les nuds sur le segment
rseau afin que lordinateur possdant le nom NetBIOS recherch renvoie son adresse au destinataire
de la diffusion.
4.3.5. Fichier Lmhosts


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ce fichier est un modle de fichier LMHOSTS utilis par Microsoft TCP/IP
pour
# Windows.
#
# Ce fichier contient les mappages des noms d'ordinateur NT (NetBIOS) sur
des adresses
# IP. Vous devez vous en tenir une seule entre par ligne.
# L'adresse IP doit tre place dans la premire colonne, suivie du nom
d'ordinateur
# correspondant. L'adresse et le nom d'ordinateur doivent tre spars par
au moins un
Implmentation dune infrastructure rseau Microsoft Windows 2003 31 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
# Espace ou une tabulation. Le caractre # est gnralement utilis pour
marquer le
# Dbut d'un commentaire (voir les exceptions ci-dessous).
#
# Toutes ces extensions sont prsentes dans les exemples suivants :
#
# 102.54.94.97 rhino #PRE #DOM:networking #DC du groupe rseau
# 102.54.94.102 "appname \0x14" #serveur d'app.
spcial
# 102.54.94.123 popular #PRE #serveur source
# 102.54.94.117 localsrv #PRE #ncessaire pour le
include
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\rhino\public\lmhosts
# #END_ALTERNATE


Le fichier LMHOSTS est un fichier statique situ sur lordinateur et configur par ladministrateur
pour mapper les adresses IP des noms NetBIOS pour des ordinateurs situs en dehors du sous rseau
local.

Ce fichier est utilis dans le cas o aucune autre mthode de rsolution na fonctionn. Cest un fichier
texte ASCII compos du nom NetBIOS de lordinateur cible et de ladresse IP correspondante. Pour
utiliser ce fichier situ dans %Systemroot%\System32\Drivers\Etc\ qui porte une extension .sam, il
faut supprimer l'extension pour que le fichier puisse tre lu.

Mots cls prdfinis :

- #PRE : Permet de prcharger des entres dans le cache de noms NetBIOS.
- #DOM:[nom_domaine] : Facilite lactivit de domaine telle que la validation dune
connexion sur un routeur, la synchronisation et la navigation.
- #BEGIN_ALTERNATE <> #END_ALTERNATE: Dfinit une liste dautres
emplacements (chemin UNC dfinit au pralable dans le fichier Lmhosts) pour des
fichiers Lmhosts.
- #INCLUDE : Charge et recherche les entres NetBIOS dans un fichier distinct du fichier
Lmhosts par dfaut.

Implmentation dune infrastructure rseau Microsoft Windows 2003 32 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
5. Rsolution de noms dhtes laide
du systmes DNS

5.1. Installation du service serveur DNS

5.1.1. Vue densemble du systme DNS

Le service de rsolution de noms de Windows Server 2003 est nomm DNS (Domain Name System).
Il permet de rsoudre des adresses URL structures comme www.laboratoire-microsoft.org en adresse
IP: 212.180.91.68.

Le systme de noms DNS est une base de donnes distribue, utilise sur les rseaux IP pour
transposer et rsoudre les noms dordinateurs en adresses IP. Cest la principale mthode de rsolution
de noms de Windows 2003.

Le systme de noms sur lequel est fond DNS est une structure hirarchique et logique appele espace
de noms de domaine. L InterNIC (Internet Network Information Center) gre la racine de cette
arborescence. LInterNIC est charg de dlguer la responsabilit administrative de portions de
lespace de noms de domaine mais aussi dinscrire les noms de domaine.

5.1.2. Quest-ce quun espace de noms de domaines ?

La structure hirarchique de lespace de noms de domaines est telle que :

Le domaine racine, qui se trouve en haut de la structure du nom de domaine, est
reprsent par un point.
Les domaines de niveau suprieur (premier niveau) suivent directement les domaines
racines ; ils peuvent tres reprsents par le type dorganisation ou la localisation
gographique (ex : com, org, fr, de, )
Les domaines de second niveau (deuxime niveau) sont enregistrs directement auprs
des entreprises et peuvent possder de nombreux sous domaines.
Les sous-domaines permettent une organisation de subdiviser encore son nom de
domaine par dpartements ou services (ex : microsoft.supinfo.com).

Le Nom de Domaine Pleinement Qualifi ou FQDN (Fully Qualified Domain Name) dcrit la relation
exacte entre un hte et son domaine.

Dans les FQDN suivant : web.labo-microsoft.supinfo.com, le domaine racine est le . A partir de la
droite du nom de domaine, le .com est le nom de domaine de 1
er
niveau, le .supinfo est le nom de
domaine du deuxime niveau et le reste sont des sous domaines dans la prsente arborescence de noms
de domaines.

Le serveur DNS contient des informations sur la portion de lespace de noms DNS quil va fournir au
client. Le serveur DNS va stocker des noms / adresses IP de sa zone dans un fichier de zone.
Lorsquun ordinateur client envoie une requte de rsolution de nom un serveur DNS, ce dernier va
consulter sa base de donnes de noms et va, soit rpondre au client sil possde la correspondance nom
/ adresse IP, soit interroger les autres serveurs DNS en cas dchec de la recherche dans sa base de
donnes locale.
Implmentation dune infrastructure rseau Microsoft Windows 2003 33 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
5.1.3. Convention dappellation standard DNS

Les conventions lies lappellation standard DNS permettent lentreprise qui implmente un espace
de noms de lutiliser sur internet. Ces conventions autorisent un jeu de caractres ASCII limit spcifi
par la RFC 1123 qui est :

A-Z
a-z
0-9
Trait dunion (-)

Tous les caractres invalides sont remplacs par un trait d'union.

5.1.4. Comment installer le service Serveur DNS

Il est ncessaire de configurer le futur serveur DNS pour quil utilise une adresse IP fixe au lieu dune
adresse attribue dynamiquement par un serveur DHCP. Il faut pour cela configurer le protocole
TCP/IP, et entrer une adresse statique dans la boite de dialogue Proprits de protocole Internet.
Microsoft recommande galement de configurer le nom de domaine sur le serveur DNS, dans
Proprits de protocole Internet (TCP/IP).

Linstallation se fait via lassistant ajout / suppression de programmes . Le service Serveur DNS
fait partie des services de mise en rseau. (Composants intgrs de Windows 2003).

Configuration des proprits du service Serveur DNS

5.1.5. Quels sont les composants dune solution DNS ?

Serveur DNS :
Ordinateur excutant le serveur DNS
Hberge un ou une partie de lespace de noms
Fait autorit pour un espace de noms de domaine
Traite les demandes de rsolution de noms soumises par les clients

Client DNS :
Ordinateur excutant le Service Client DNS

Enregistrement de ressources DNS :
Entres de la base de donnes DNS qui mappent les noms dhtes des ressources

5.1.6. Quest-ce quune requte DNS ?

Les clients DNS envoient des requtes au serveur DNS ce qui constitue le processus de rsolution du
nom. Il existe deux types de requtes, les rcursives et les itratives.

Une requte peut provenir dun client mais aussi dun serveur, par exemple, une requte peut tre
envoye par un client un serveur qui peut ensuite lenvoyer un autre serveur si il ne parvient pas
la rsoudre.

Implmentation dune infrastructure rseau Microsoft Windows 2003 34 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Un serveur DNS, qui fait autorit sur un espace de nom, possde une copie principale ou secondaire
dune zone DNS.

Lors dune requte, le serveur faisant autorit renvoie ladresse IP correspondant au nom, de deux
faons possibles :

Recherche dans le cache local
Recherche dans la zone DNS

Sinon il renvoie une rponse ngative qui fait autorit.
Par contre, sil ne fait pas autorit, il transmet la requte au redirecteur. Le serveur utilise les adresses
connues de plusieurs serveurs racines pour aller chercher la rponse plus haut dans larborescence
DNS.

5.1.7. Fonctionnement des requtes rcursives

Une requte rcursive peut tre lance dun client mais aussi dun serveur sil est configur avec un
redirecteur.

Le serveur DNS doit absolument fournir un rsultat au client pour ce type de requte. Dans le
cas o il ne possde pas de rponse la requte, le serveur DNS va effectuer, pour le compte du client
des requtes itratives spares vers dautres serveurs qui laident rpondre la requte rcursive.

5.1.8. Fonctionnement des indications de racine

Les indications de racine sont des enregistrements de ressources DNS stockes sur un serveur DNS
qui rpertorient les adresses IP des serveurs racines du systmes DNS.

Pour utiliser le processus de rcursivit, le serveur DNS a besoin de connatre les coordonnes des
autres serveurs DNS de l'espace de noms de domaines DNS. Ces informations sont fournies sous la
forme d'indications racine. Une liste d'enregistrements de ressources prliminaires peut tre utilise
par le service DNS pour localiser d'autres serveurs DNS qui font autorit pour la racine de
l'arborescence des espaces de noms de domaines DNS. Les serveurs racine font autorit pour la racine
et les domaines de premier niveau du domaine dans l'arborescence.

5.1.9. Fonctionnement des requtes itratives

Elles sont envoyes par un client un serveur DNS. Ce dernier renvoie la meilleure rponse quil
possde partir de ses donnes de cache ou de zone. Sil ne possde pas la rponse exacte, il renvoie
le client vers un serveur de rfrence dans un niveau infrieur de lespace de noms de domaine. Le
client va alors interroger le serveur correspondant. Ce processus se poursuit jusqu ce que le client
localise le serveur qui pourra rsoudre le nom en adresse IP ou bien jusqu ce quune erreur se
produise ou encore que le dlai soit dpass.



5.1.10. Fonctionnement des redirecteurs

Il est possible de configurer les serveurs DNS pour qu'ils envoient toutes les requtes rcursives une
liste slectionne de serveurs dit redirecteurs. Les serveurs de la liste des redirecteurs assurent les
Implmentation dune infrastructure rseau Microsoft Windows 2003 35 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
recherches rcursives pour rsoudre les requtes reues par un serveur DNS qui ne peut pas y rpondre
en s'appuyant sur ses zones locales. Pendant le processus de redirection, un serveur DNS configur
pour utiliser des redirecteurs (un ou plusieurs serveurs en fonction de la liste de redirecteurs) se
comporte essentiellement comme un client DNS vis--vis de ses redirecteurs.

Un redirecteur peut tre configur en 2 modes :

Non exclusif : Si le redirecteur nest pas en mesure de rsoudre la requte initiale, le
serveur de noms va tenter de rsoudre la requte lui-mme.
Exclusif : Si le redirecteur nest pas en mesure de rsoudre la requte, une rponse
ngative est renvoye.


5.1.11. Fonctionnement de la mise en cache du serveur DNS

La mise en cache permet de rpondre plus rapidement aux requtes frquentes en stockant
temporairement dans la mmoire les rsultats des requtes rcemment rsolues.

Lors du traitement dune requte rcursive, le serveur DNS peut tre amen interroger les serveurs
de noms racines pour redescendre au fur mesure des niveaux afin dobtenir des informations. Ce
processus peut prendre plus ou moins de temps et peut utiliser des liaisons coteuses.

Le serveur place donc toutes les informations collectes lors de ce processus dans son cache DNS
pendant une dure spcifie. Ce temps est appel TTL (Time To Live) et se mesure en secondes. Cest
ladministrateur de serveur associ la zone principale qui dfinit le TTL.

Une fois les donnes en cache, le TTL se dcrmente et lorsquun client fait une requte pouvant tre
rsolue avec les informations contenues dans le cache, le client obtient linformation laide dun TTL
valide et en cours. Lorsque le TTL dun enregistrement est expir celui-ci nest pas conserv.

Le cache a galement pour utilit le stockage des rponses nayant pas abouti : les rponses ngatives.
Cette mise en cache vite la rptition des requtes concernant des noms qui nexistent pas. Le TTL
associ a ces rponses est infrieur celui des rponses positives (par dfaut : 5 minutes).

Un serveur qui ne possde aucune zone et qui na aucune autorit sur un quelconque domaine est un
serveur ddi la mise en cache grce la configuration des indicateurs de racine.

5.2. Configuration des zones DNS

5.2.1. Stockage et maintenance des donnes DNS

Un enregistrement de ressource stock dans un fichier de zone dfinit une zone. Le fichier de zone
stocke des informations pour effectuer la rsolution de noms. Toutes les tches administratives lies
aux serveurs DNS se font travers le SNAP-IN MMC DNS.

Une zone est une portion contigu de lespace de noms de domaine pour laquelle un serveur DNS sert
de rfrence pour la rsolution des requtes DNS. Elle permet de stocker des noms concernant un ou
plusieurs domaines DNS ou des portions de domaines DNS.

Implmentation dune infrastructure rseau Microsoft Windows 2003 36 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
5.2.2. Que sont les enregistrements de ressources et les types
denregistrements ?

Les utilisateurs peuvent avoir accs aux enregistrements de ressources notamment dans les cas
suivants :
Recherche dun site Web, le navigateur envoie une requte de recherche directe au
serveur.
Lors de la connexion sur un domaine. A louverture de session, le poste cherche un
contrleur de domaine par lintermdiaire du DNS.

Les types denregistrements reprsentent les diffrents types de donnes pouvant tre enregistres dans
le serveur DNS.

Principaux types denregistrements :


Type denregistrement Description Exemple
Hte (A) Reprsente un priphrique
rseau. Ils sont les
enregistrements les plus
courants.
Microsoft.supinfo.com rsolu en
192.168.0.43
Pointeur (PTR) Permet de retrouver le nom
partir de ladresse IP. Ils se
trouvent dans la zone de
recherche inverse.
192.168.0.43 rsolu en
Microsoft.supinfo.com
Source de noms (SOA) (start of
authority)
Cest le premier lment dans
tout fichier de zone. Il identifie
le serveur de noms DNS
principal de la zone, ladresse
de messagerie de
ladministration charge de la
zone. Recense les informations
ncessaires la rplication.
Rsout un nom de domaine en
nom dhte. Supinfo.com rsolu
en serv1.supinfo.com.
Service (SRV) Indique un service rseau
offert par un hte et rsout un
nom de service et un port
dhte.
_TCP._LDAP.supinfo.com rsolu
en serv1.supinfo.com
Serveur de noms (NS)
(Nameserver)
Facilite la dlgation en
identifiant les serveurs DNS de
chaque zone. Quand un serveur
DNS a besoin denvoyer une
requte un domaine dlgu,
il se rfre lenregistrement
de ressource NS pour trouver
les serveurs DNS de la zone
cible.
Supinfo.com rsolu en
NS1.supinfo.com
Serveur de messagerie (MX)
(Mail Exchanger)
Indique la prsence dun
serveur de messagerie SMTP
(Simple Mail Transfert
Protocol).
Supinfo.com rsolu en
mail.supinfo.com
Alias (CNAME) Cest un nom dhte qui fait
rfrence un autre nom
dhte.
www.supinfo.com en
Webserv.supinfo.com

Implmentation dune infrastructure rseau Microsoft Windows 2003 37 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

Exemple denregistrement MX :



5.2.3. Quest-ce quune zone DNS ?

Une zone est une portion contigu de lespace de noms de domaine pour laquelle un serveur DNS sert
de rfrence pour la rsolution des requtes DNS. Elle permet de stocker des noms concernant un ou
plusieurs domaines DNS (si ces domaines sont contigus : relation parent-enfant) ou des portions de
domaines DNS.

Un serveur DNS peut hberger diffrents types de zones tout comme un ou plusieurs types de zones
peuvent tre hbergs sur plusieurs serveurs DNS pour fournir une tolrance de panne et rpartir la
rsolution de noms et la charge de travail.

Les caractristiques dune zone sont :

Une zone est un ensemble de mappages de noms dhtes adresses IP.
Les donnes dune zone sont gres par le serveur et sont stockes dans un fichier de zone
ou dans une base de donnes Active Directory.

Un serveur fait autorit sur une zone sil possde des enregistrements de ressources correspondants
aux noms et aux adresses que les clients demandent dans le fichier de zone.
5.2.4. Quels sont les types de zones DNS ?

Il existe diffrents types de zone :


Implmentation dune infrastructure rseau Microsoft Windows 2003 38 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Principale
standard
Contient une version en lecture / criture dans un fichier.
Rcupre toutes les modifications de la zone.
Doit toujours tre cre en premier pour une nouvelle zone.
Secondaire
standard
Contient la copie en lecture seule du fichier de la zone principale standard.
Toute modification effectue sur le fichier de zone principale standard est
rplique sur celui-ci.
Permet de rpartir la charge de rsolution de noms des serveurs DNS.
Zone de stub
Contient une copie dune zone qui possde uniquement les enregistrements de
ressources ncessaires lidentification du serveur DNS faisant autorit pour la
zone en question. Une zone de stub est en quelque sorte un signet qui pointe
simplement vers le serveur DNS qui fait autorit pour la zone DNS concerne.

Les serveurs ddis a la mise en cache n'ont pas de zone.

5.2.5. Comment modifier un type de zone DNS


Pour modifier un type de zone DNS :

Dans la console DNS, slectionnez la
zone modifier menu action
proprits.

Dans la fentre proprits de votre
zone, il faut cliquer sur Modifier et
modifier la zone.

5.2.6. Que sont les zones de recherche directe et inverse ?

Recherche directe

Lorsque vous crez une zone de recherche directe, lassistant vous proposera les trois types de zone
disponibles, puis il vous invitera entrer le nom de la zone grer et enfin il vous demandera de
valider le nom du fichier contenant la zone DNS. Une fois ces tapes passes, lassistant va crer
automatiquement la zone, le fichier et des enregistrements de type "Source de nom" (Serveur ayant
lautorit sur la zone) et "Serveurs de noms" (Serveur pouvant rpondre aux requtes des clients).




Implmentation dune infrastructure rseau Microsoft Windows 2003 39 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Recherche inverse

Lorsque vous crez une zone inverse, lassistant vous propose dindiquer lID (Partie rseau de votre
adresse IP). Pendant que vous entrez lID, le nom de la zone de recherche inverse saffiche sous la
forme des nombres de votre ID en ordre inverse suivi de ".in-addr.arpa" (ex : Pour "172.16.0.0/16"
"16.172.in-addr.arpa"). Le nom in-addr.arpa reprsente un domaine spcial au niveau DNS, il est
rserv la rsolution dadresses IP en noms dhtes.

5.3. Configuration des transferts de zone DNS

5.3.1. Fonctionnement des transferts de zone DNS

Le transfert de zone consiste en la diffusion des entres contenues dans une zone lensemble des
serveurs DNS secondaires de cette zone.

Sous Windows 2003, il est possible de mettre en place des transferts complets et des transferts
incrmentiels de zone.

Le transfert de zone complet est le type de standard pris en compte par tous les serveurs DNS pour
mettre jour et synchroniser les donnes dune zone. La requte dclenchant ce type de
synchronisation est AXFR.

Le transfert de zone incrmentiel permet de mettre jour seulement les donnes de zones modifies
depuis la dernire mise jour. Ce type de transfert ne seffectue quentre 2 serveurs le prenant en
charge la suite dune requte de type IXFR.

Le processus de transfert de zone intervient dans 2 cas :

Un serveur matre envoie une notification de modification de la zone aux serveurs DNS
secondaires de la zone. Une fois cette notification reue, les serveurs secondaires envoient une
requte de mise jour au serveur matre.


Chaque serveur DNS secondaire interroge intervalles rguliers ses serveurs matres sur les
modifications de la zone. Cette requte est lance aussi chaque dmarrage du service DNS.

Toutes les informations lies la frquence dexcution des transferts de zone sont stockes dans les
enregistrements de ressource de noms (SOA Start of Authority).











Implmentation dune infrastructure rseau Microsoft Windows 2003 40 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Un certain nombre de paramtres sont modifiables (dans les proprits de la zone) :


Numro de srie
Le numro de srie fonctionne comme un numro de version (il est donc
incrment chaque version) permettant de savoir si, lors de la synchronisation
avec le serveur matre, le fichier de zone doit tre mis jour.
Serveur
principal
Le serveur principal prcise le nom de domaine complet du serveur principal.
Personne
responsable
La personne responsable sera avertie par e-mail chaque fois quune erreur se
produit lors dun transfert de zone.
Intervalle
dactualisation
Lintervalle dactualisation spcifie la frquence laquelle un serveur secondaire
va envoyer une requte de mise jour son serveur matre.
Intervalle avant
nouvelle
tentative
Lintervalle avant nouvelle tentative dtermine lintervalle de temps quun
serveur secondaire va prendre pour re-contacter son serveur matre suite lchec
de la tentative dune mise jour.
Expire aprs
Dfinit le dlai dexpiration dun serveur secondaire sil narrive pas contacter
son serveur matre. A la suite de lexpiration il ne rpondra plus aux requtes de
la zone.
Dure de vie
minimale
La dure de vie (TTL) minimale indique le temps durant lequel un serveur peut
mettre en cache des informations pour une zone.
Dure de vie
pour cet
enregistrement
Spcifie la dure TTL de lenregistrement SOA.





Il est possible de limiter le nombre de serveurs que vous allez autoriser recevoir les zones. Ceci est
dfini soit par une liste dadresses IP de serveurs DNS soit en limitant les transferts aux serveurs DNS
Implmentation dune infrastructure rseau Microsoft Windows 2003 41 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
situs dans le mme domaine. De la mme manire, il est possible de dfinir une liste de serveurs DNS
secondaires qui recevront une notification des mises jour dun fichier de zone.



5.3.2. Fonctionnement de DNS Notify

DNS notify est une mise jour de la spcification dorigine du protocole DNS qui permet dinformer
les serveurs secondaires des modifications de zones.

Les serveurs qui reoivent une notification peuvent demander un transfert de zone afin de corriger les
modifications. Les serveurs qui font autorit dans cette zone prviennent les serveurs secondaires des
modifications par lintermdiaire dune liste de serveurs secondaires.

Avec DNS notify, les mises jour seffectuent au rythme des modifications.

5.4. Configuration des mises jour dynamiques DNS

5.4.1. Que sont les mises jour dynamiques ?

Il existe 2 mthodes pour inscrire des enregistrements dans la base de donnes DNS, soit
manuellement, soit dynamiquement.

En mode dynamique, le client sinscrit auprs du serveur DNS.

La mthode manuelle devient vite inadapte lorsquil faut inscrire la main tous les postes dun rseau
de grande tendue mais peut devenir pratique si on possde un rseau avec des cas isols, avec des
Implmentation dune infrastructure rseau Microsoft Windows 2003 42 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
serveurs UNIX par exemple. Par contre la mthode dynamique permet dautomatiser le processus
denregistrement mais aussi de le maintenir jour.

5.4.2. Comment les clients DNS inscrivent et mettent jour de manire
dynamique leurs enregistrements de ressources

Les clients DNS excutant la famille Server 2003, famille 2000 et Windows XP sont configurs par
dfaut pour inscrire et mettre jour dynamiquement leurs noms dhtes et leurs adresses IP dans DNS.

Un client configur par un serveur DHCP ou statiquement peut sinscrire automatiquement sur le
serveur DNS. Le composant qui inscrit lenregistrement de ressource DNS pour un client DNS est le
service de client DHCP, il faut donc activer le service de client DHCP.

Le processus ci-dessous rsume les tapes pour lenregistrement dynamique des clients DNS :

a. Le client envoie une requte SOA au serveur DNS faisant autorit pour
lenregistrement de ressource.
b. Le serveur renvoie le nom de zone et ladresse IP du serveur DNS faisant autorit
pour la zone dans laquelle le client DNS veut sinscrire.
c. Le client DNS envoie ensuite une mise jour qui vrifie la prsence de
lenregistrement.
d. Le serveur rpond au client DNS.
e. Si aucune inscription nexiste dans la zone DNS, le client DNS envoie son inscription.

5.4.3. Comment configurer des mises jour DNS manuelles et
dynamiques

Lorsquun client DHCP reoit une adresse IP, les enregistrements DNS le concernant doivent tre mis
jour. Ainsi, les machines excutant Windows 2003, 2000 ou XP (aussi bien les serveurs que les
clients) sont capables de mettre jour les informations du serveur DNS.

Dans le cas dune machine Windows XP cliente DHCP, lorsque celle-ci va envoyer une requte
DHCP pour obtenir une adresse IP elle va joindre sa requte le nom de domaine complet (FQDN).
Le serveur DHCP envoie ladresse IP au client. Une fois ladresse IP reue, le client DHCP envoie une
mise jour de son enregistrement de recherche directe (A) au serveur DNS et le serveur DHCP envoie
une mise jour de lenregistrement de recherche inverse (PTR) au serveur DNS.

Dans le cas dune machine excutant une version antrieure de Windows 2000, celle-ci ne peut mettre
jour elle-mme les enregistrements du DNS. Il est alors ncessaire de configurer le serveur DHCP
afin quil puisse mettre jour la fois les enregistrements A et PTR de la machine.

5.4.4. Quest-ce quune zone DNS intgre Active Directory ?

Une zone DNS intgre Active Directory est une zone DNS stocke dans Active Directory.

Lorsque vous configurez un contrleur de domaine, Active Directory exige linstallation de DNS.
Les zones DNS principales ou secondaires configures dans un domaine Active Directory peuvent
devenir des zones DNS intgres Active Directory.
Les zones DNS intgres Active Directory prsentent plusieurs avantages par rapport aux zones
DNS principales ou secondaires:
Implmentation dune infrastructure rseau Microsoft Windows 2003 43 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Elles permettent de stocker les donnes de configuration de zone dans Active
Directory au lieu de les stocker dans un fichier de zone ;
Elles permettent dutiliser la rplication Active Directory la place des transferts de
zone ;
Elles permettent dautoriser uniquement les mises jour dynamiques scurises ( la
place des mises jour scurises et non scurises sur une zone DNS non intgre
Active Directory).

Ce modle est considr comme multi-matres. Tous les contrleurs de domaine contenant les
informations de cette zone DNS peuvent agir comme serveur principal et apporter des modifications
la zone.

Lintgration des zones DNS dans lActive Directory permet de stocker les zones DNS dans lActive
Directory et ainsi bnficier dun certain nombre davantages :

Pas de point faible
unique
Les mises jour de la zone ne sont plus limites un seul serveur (DNS
principal standard) mais peuvent tre ralises sur lensemble des
serveurs DNS de la zone et toutes les modifications sont rpliques sur
lensemble des serveurs DNS de la zone.
Topologie de duplication
unique
La topologie de duplication est alors lie celle de lActive Directory
ce qui permet dviter une configuration de rplication isole pour le
DNS.
Mises jour dynamiques
scurises
Il est possible de limiter les mises jour dynamiques un certain
nombre dordinateurs autoriss.

!l n'est possible de crer des zones intgres Active Directory que sur les contrleurs de domaine
sur lesquels le service DNS a t install.

5.4.5. Utilisation des mises jour dynamiques scurises par les zones
DNS intgres Active Directory

Pour que les mises jour dynamiques soient possibles, il est ncessaire de configurer le serveur DNS
afin quil les accepte. Pour configurer le serveur DNS, on dispose de trois options:

Non : Interdit les mises jour dynamiques pour la zone.
Oui : Autorise les mises jour dynamiques pour la zone.
Uniquement les mises jours scurises : Autorise les mises jour dynamiques pour
la zone uniquement aux ordinateurs spcifis (Uniquement lorsque la zone est intgre
Active Directory).

Les mises a jour scurises n'autorisent que les nouveaux enregistrements issus des ordinateurs
possdant un compte dans l'Active Directory et les mises a jour provenant des ordinateurs qui ont
cr l'enregistrement.

Il est ncessaire de configurer le serveur DHCP pour lenregistrement automatique sur le serveur
DNS.
Il faut tout dabord activer loption Mettre jour automatiquement les informations de client
DHCP dans DNS puis choisir lune des options suivantes :

Mettre jour uniquement si un client DHCP le demande : Le client mettra jour
lenregistrement A et le serveur DHCP lenregistrement PTR.
Toujours mettre jour DNS : Indique que le serveur DHCP va mettre jour la fois
les enregistrements A et PTR.
Implmentation dune infrastructure rseau Microsoft Windows 2003 44 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

De plus, si vous disposez de clients excutant des versions antrieures de Windows, assurez vous que
loption Activer des mises jour pour les clients DNS qui ne prennent pas en charge la mise
jour dynamique est active.

Pour finir, il faudra configurer les clients (uniquement ceux tournant sous Windows 2003) :

Dans la configuration DNS des clients, il faudra activer les options Enregistrer les adresses de cette
connexion dans le systme DNS et Utiliser le suffixe DNS de cette connexion pour
lenregistrement DNS.

5.5. Configuration dun client DNS

5.5.1. Fonctionnement des serveurs DNS prfrs et auxiliaires


Un serveur DNS prfr est un serveur
qui reoit les requtes DNS envoyes par
le client DNS. Cest galement le serveur
sur lequel le client DNS met jour ses
enregistrements de ressources.

Un serveur DNS auxiliaire est un
serveur qui est utilis lorsque le serveur
DNS prfr est inaccessible ou lorsque
celui-ci ne peut pas rsoudre les requtes
DNS provenant dun client DNS.

Le serveur auxiliaire nest pas interrog
dans le cas dune rponse ngative la
requte de rsolution de noms.

Si aucun serveur DNS prfr nest
spcifi, alors le client DNS ne pourra
pas interroger un serveur DNS.

Sans serveur DNS auxiliaire, aucune
requte DNS nest rsolue si le serveur
DNS prfr est hors service. Vous
pouvez avoir plusieurs serveurs DNS
auxiliaires (16 au maximum).
5.5.2. Application des suffixes

Si vous navez pas de suffixe DNS configur sur le client, la rsolution et la mise jour des noms
risquent de ne pas fonctionner correctement. En configurant correctement des suffixes DNS sur le
client, vous garantissez la russite de la rsolution de noms.

Loption de slection de suffixe indique que la rsolution de noms non qualifis sur lordinateur
considr est limite aux suffixes du domaine principal et du domaine de second niveau.

Loption Ajouter des suffixes parents indique que la rsolution de noms non qualifis sur lordinateur
considr est limite aux suffixes du domaine principal et au suffixe spcifique la connexion.
Implmentation dune infrastructure rseau Microsoft Windows 2003 45 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

Le suffixe spcifique la connexion fournit un espace pour configurer un suffixe DNS propre une
connexion spcifique. Si un serveur DHCP configure cette connexion et que vous ne spcifiez pas de
suffixe DNS, le serveur DHCP affecte un suffixe DNS sil est configur pour le faire.

5.6. Dlgation dautorit pour les zones

5.6.1. Quest-ce que la dlgation dune zone DNS ?

Il sagit du processus distribuant lautorit sur les domaines enfants de votre espace de noms DNS
une autre entit en ajoutant des enregistrements dans la base de donnes DNS.

En tant que gestionnaire dun domaine DNS, vous avez la possibilit de crer des domaines enfants et
leurs zones respectives qui pourront ensuite tre stockes, distribues et rpliques vers dautres
serveurs DNS. La gestion de ces zones supplmentaires peut tre dlgue dautres administrateurs.
Pour dterminer si vous devez ou non diviser votre espace de noms DNS pour dlguer des zones,
prenez en compte les facteurs suivants :

ncessit de dlguer la gestion dune partie de votre espace de noms DNS un autre
emplacement ou un autre secteur de votre organisation ;
ncessit de diviser une zone de grande taille en zones plus petites afin de rpartir le trafic
entre plusieurs serveurs, damliorer les performances de la rsolution de noms DNS ou de
crer un environnement DNS qui tolre mieux les pannes ;
ncessit dtendre lespace de noms en ajoutant des sous-domaines (par exemple, pour
prendre en charge louverture dune nouvelle filiale ou dun nouveau site).

Implmentation dune infrastructure rseau Microsoft Windows 2003 46 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
6. Gestion et analyse du systme DNS

6.1. Configuration de la dure de vie

6.1.1. Fonctionnement de la valeur de dure de vie (TTL)

La valeur de dure de vie (Time to live,TTL) est un dlai exprim en secondes qui figure dans les
enregistrements DNS retourns par une requte DNS. Ce dlai indique aux destinataires le temps
denregistrement dune ressource avant suppression dans les informations DNS.

Il existe deux types de TTL dans le DNS : le TTL dune zone qui est appliqu tous les
enregistrements crs dans cette zone et le TTL dun enregistrement qui est appliqu
lenregistrement en particulier.

Suivant la dure dun TTL, deux comportements dans votre rseau se produisent :
Si la valeur du TTL est trop petite, le trafic des requtes DNS va augmenter.
Si la valeur du TTL est trop grande, le trafic li aux requtes DNS va tre faible mais il y a
plus de chance pour que des enregistrements obsoltes perdurent dans le cache des clients
DNS.

6.1.2. Comment configurer la valeur de dure de vie

TTL dune zone

TTL dun enregistrement de ressource



Pour configurer le TTL dune zone, il faut aller dans
les proprits de celle-ci, dans longlet Sources de
noms et la valeur en cours apparat dans la case :
Dure de vie pour cet enregistrement.

Premirement, il faut activer laffichage dtaill
dans le menu Affichage de la console DNS.
Ensuite il suffit daller dans les proprits de
lenregistrement en question et le champ Dure
de vie apparat.

Implmentation dune infrastructure rseau Microsoft Windows 2003 47 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
6.2. Configuration des paramtres de vieillissement et
de nettoyage

6.2.1. Dfinition des paramtres de vieillissement et de nettoyage

Le vieillissement est un processus qui dtermine si un enregistrement de ressource DNS obsolte doit
tre supprim de la base de donnes DNS.

Le nettoyage est un processus qui consiste supprimer les noms obsoltes ou caducs de la base de
donnes DNS.

Avec la mise jour dynamique des enregistrements de ressources DNS, un client DNS sinscrit dans
la base automatiquement. A prsent, si celui-ci perd sa connexion au rseau, alors son enregistrement
risque de ne pas tre supprim.
Ce cas est de plus en plus frquent avec lutilisation de linformatique mobile. Afin de ne pas polluer
la base de donnes DNS, Microsoft Windows Server 2003 avec DNS est capable de supprimer des
enregistrements obsoltes en recherchant dans la base de donnes les enregistrements de ressources
dont la dure de vie est suprieure une priode spcifie.

DNS utilise un datage quil attribue chaque enregistrement et qui va tre associ 2 intervalles
configurables pour dterminer sil doit nettoyer des enregistrements ou non.

Pour se faire, le vieillissement et le nettoyage doivent tre activs sur le serveur DNS et sur la zone
DNS. Puis ils comportent deux options configurables :

Lintervalle de non-actualisation correspond la priode durant laquelle le serveur
DNS naccepte pas les clients actualisant leur enregistrement. Pendant cet intervalle,
les enregistrements de ressources ne peuvent pas actualiser leur datage.

Lintervalle dactualisation correspond la priode au cours de laquelle le serveur
DNS accepte que les clients actualisent leurs enregistrements. Pendant cet intervalle,
les enregistrements de ressources peuvent actualiser leur datage.

Il est important de paramtrer les intervalles dactualisation et de non-actualisation.
Il est ncessaire dajuster le temps de conservation des enregistrements de ressources.

Il est aussi pratique de paramtrer ces intervalles afin de rduire la rplication DNS lorsque le systme
DNS est intgr au service dannuaire Active Directory.

6.2.2. Fonctionnement du vieillissement et du nettoyage

Processus dexcution du vieillissement et du nettoyage

1. Lenregistrement est dat

2. Le serveur DNS naccepte pas dactualisation pour lenregistrement de ressource durant la
priode dintervalle de non-actualisation de la zone. Mais le serveur DNS accepte la mise
jour de lenregistrement (IP par exemple).


Implmentation dune infrastructure rseau Microsoft Windows 2003 48 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
3. Ensuite, lenregistrement passe dans lintervalle dactualisation. Au cours de lintervalle
dactualisation, si le serveur reoit une demande dactualisation de lenregistrement de
ressource, il la traite et retourne ltape 1.

4. Lorsque, par la suite, le serveur procde au nettoyage de la zone, il compare la date en
cours au cumul du datage + intervalle de non-actualisation + intervalle dactualisation.
Si la date en cours est suprieure au cumul, le serveur efface lenregistrement. Dans le cas
contraire, celui-ci est conserv.

5. Comment configurer le vieillissement et le nettoyage ?

Pour configurer le
vieillissement et le
nettoyage du serveur
DNS, faites un clic droit
dans la console DNS sur
le serveur paramtrer
et cliquez sur Dfinir le
vieillissement/nettoyage
pour toutes les zones


Pour configurer le vieillissement
et le nettoyage pour une zone
DNS, faites un clic droit sur la
zone Proprits. Puis dans
longlet gnral appuyer sur le
bouton Vieillissement. La fentre
qui saffiche est identique celle
gauche, except ce champ :

lheure du prochain nettoyage de
zone y est affiche.


Pour activer le nettoyage
automatique des enregistrements
obsoltes, vous devez paramtrer les
proprits du serveur DNS depuis la
console DNS, dans longlet avanc.
Activez cette option en bas de la
fentre sans oublier de spcifier le
dlai de nettoyage.


Il est possible de lancer le nettoyage des enregistrements de ressources obsoltes en faisant un clic
droit sur le serveur et en cliquant sur Nettoyer les enregistrements de ressources obsoltes.

Implmentation dune infrastructure rseau Microsoft Windows 2003 49 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
6.3. Intgration du systme DNS et du service WINS

6.3.1. Comment intgrer le systme DNS et le service WINS

Le systme DNS a pour fonction de rsoudre les noms dhtes.
Le service WINS a pour fonction de rsoudre les noms NetBIOS.
Dans certains cas, il savre intressant dutiliser la base de donnes WINS existante pour les
recherches de noms dhtes, au lieu de configurer lidentique la base de donnes DNS.

Grce lintgration du systme DNS et du service WINS, les clients DNS peuvent employer les
entres de noms NetBIOS existantes dans le service WINS pour la recherche des noms dhtes. Le
service DNS offre en effet la possibilit dutiliser des serveurs WINS pour rechercher des noms
absents de lespace de noms DNS en contrlant lespace de noms NetBIOS gr par WINS.

Pour intgrer le service
WINS au systme DNS,
vous devez activer le
paramtre dans les
proprits WINS de la zone
de recherche directe ou dans
longlet WINS-R des
proprits de la zone de
recherche inverse.

Cochez la case Utiliser la
recherche directe WINS

IMPORTANT
Activez la case cocher
Ne pas rpliquer cet
enregistrement dans le cas
o les donnes de zone sont
rpliques vers des zones
secondaires hberges sur
des serveurs DNS tiers ne
reconnaissant pas les
enregistrements WINS ou
WINS-R.
Ainsi, les enregistrements
du localisateur WINS ne
seront pas rpliqus sur
dautres serveurs pendant
les transferts de zone. Si une
zone participe aux transferts
de zone vers des serveurs
BIND (Berkeley Internet
Name Domain), lactivation
de cette option est
indispensable car BIND ne
reconnat pas ces types
denregistrements WINS.






Implmentation dune infrastructure rseau Microsoft Windows 2003 50 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
6.4. Test de la configuration du serveur DNS

6.4.1. Fonctionnement des requtes simples et rcursives

Vous pouvez tester un serveur DNS en excutant des requtes simples ou des requtes rcursives.

Lors de modifications de configuration du serveur DNS, ce type de requtes permet de contrler le
fonctionnement de votre serveur. Cette mesure est utile si vous devez rsoudre des problmes lis aux
requtes DNS.

Une requte simple est une requte qui excute un test local en utilisant le client DNS pour interroger
le serveur DNS. Ce type de test spcifie que le serveur DNS excute une requte simple ou itrative. Il
sagit dune requte localise qui se sert de la rsolution de client DNS sur le serveur DNS pour
interroger le service DNS local, qui se trouve sur le mme serveur DNS.

Une requte rcursive est une requte qui teste un serveur DNS en transmettant une requte rcursive
un autre serveur DNS. Ce type de test spcifie que le serveur DNS excute une requte rcursive. Il
est similaire au test par requte simple en termes de traitement initial de la requte, dans la mesure o
il utilise la rsolution de client DNS local pour interroger le serveur DNS local, hberg sur le mme
ordinateur. Cependant, le client demande au serveur dutiliser la rcursivit pour rsoudre une requte
de type serveur de noms (NS) pour la racine de lespace de noms de domaine DNS. La racine est sous
la forme dun point unique ( . ). Ce type de requte ncessite gnralement un traitement rcursif
supplmentaire et peut se rvler utile pour vrifier que des indications de racine du serveur ou des
dlgations de zone ont t configures correctement.




























Implmentation dune infrastructure rseau Microsoft Windows 2003 51 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
6.4.2. Comment tester la configuration du serveur DNS

Ces tests seffectuent partir de longlet Analyse des proprits du serveur DNS.




6.5. Vrification de la prsence dun enregistrement
de ressource laide de Nslookup, de DNSCmd et de
DNSLint

6.5.1. Pourquoi vrifier sil existe un enregistrement de ressource ?

La vrification de la prsence dun enregistrement de ressource est une fonction de base de lanalyse et
du dpannage dun systme DNS.

Si le serveur DNS comporte des mappages nom dhte-adresse IP prims, obsoltes ou incorrects, les
clients ne pourront pas se connecter aux services rseaux. Vu le nombre considrable de mises jour
dynamiques, il est important de sassurer de la validit des enregistrements.

Pour identifier les problmes potentiels dune solution DNS, il est possible de contrler les points
suivants :
Enregistrements manquants
Enregistrements incomplets
Enregistrements mal configurs

Il existe bien des utilitaires vous permettant danalyser, grer et de dpanner le systme DNS. Ces
excutables sont Nslookup, DNSCmd et DNSLint.

Implmentation dune infrastructure rseau Microsoft Windows 2003 52 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
6.5.2. Nslookup

Nslookup est un utilitaire en ligne de commande employ pour diagnostiquer les ventuels problmes
lis linfrastructure DNS.

Nslookup permet dexcuter le test de requte sur des serveurs DNS et de rcuprer une liste de
rponses dtailles. Ces informations sont utiles lors du dpannage de la rsolution de noms ou pour
vrifier que des enregistrements de ressources ont t correctement ajouts ou mis jour dans une
zone.
Vous pouvez utiliser cette commande pour effectuer un dboguage sur dautres incidents techniques
lis au serveur DNS.

Nslookup peut tre utilis en 2 modes :

Interactif : Qui permet de rester dans le prompt de la commande ce qui vous permettra
deffectuer plusieurs requtes.

Non interactif : Qui permet dutiliser Nslookup en une simple commande. Par ce moyen,
vous pouvez rediriger la sortie de la commande vers un fichier texte.

Pour que Nslookup fonctionne correctement, un enregistrement de ressource PTR doit exister pour le
serveur sur lequel vous voulez effectuer une recherche. Au dmarrage, Nslookup effectue une
recherche inverse sur ladresse IP du serveur qui excute le service Serveur DNS et signale une erreur
sil est incapable de rsoudre ladresse en nom. Cette erreur ne nuit pas aux performances normales de
Nslookup en ce qui concerne les diagnostics.

6.5.3. DNSCmd

DNSCmd est un outil de support DNS inclus dans les outils de support du CD-ROM Windows Server
2003 (\Support\Tools\suptools.msi).
DNSCmd est une interface de ligne de commande pour la gestion des serveurs DNS. Cet outil permet
d'crire des scripts de fichiers de commandes, pour automatiser la gestion et la mise jour des
configurations existantes de serveur DNS, ou pour effectuer l'installation et la configuration de
nouveaux serveurs DNS sur votre rseau.

6.5.4. DNSLint

DNSLint est un outil de support DNS inclus lui aussi dans les outils de support du CD-ROM
Windows Server 2003. Cet utilitaire Microsoft Windows peut excuter une srie de requtes, facilitant
ainsi le diagnostic des problmes courants lis la rsolution de noms DNS.

Afin de faciliter le diagnostic et la rsolution des problmes quentranent des enregistrements DNS
manquants ou incorrects, il est utile de sassurer de la cohrence dun ensemble particulier
denregistrements DNS sur plusieurs serveurs DNS.

Par exemple : Certains clients ont des difficults ouvrir une session sur le domaine, vrifiez si les
enregistrements SRV, utiliss par les clients pour rechercher les serveurs LDAP (Lightweight
Directory Access Protocol) et Kerberos, sont disponibles et exacts. Vous dterminerez ainsi plus
facilement si les paramtres DNS sont lorigine du problme.

DNSLint possde trois fonctions qui vrifient les enregistrements DNS et gnrent un rapport en
HTML (Hypertext Markup Language).
Implmentation dune infrastructure rseau Microsoft Windows 2003 53 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

DNSLINT /d diagnostique les causes possibles de dlgations inappropries et dautres
problmes DNS apparents.
o La dlgation inapproprie survient si un sous-domaine DNS est configur pour
utiliser un serveur DNS qui soit nexiste pas, soit ne fait pas autorit pour ce sous-
domaine.

DNSLINT /ql vrifie un ensemble dfini par lutilisateur denregistrements DNS sur plusieurs
serveurs DNS.

DNSLINT /ad vrifie les enregistrements DNS spcifiquement employs pour la rplication
Active Directory.

6.5.5. Comment vrifier la prsence dun enregistrement de ressource
laide de Nslookup, de DNSCmd et de DNSLint

Vous pouvez avoir recours lun des trois utilitaires DNS (Nslookup, DNSCmd et DNSLint) pour
effectuer des tches danalyse, comme vrifier lexistence dun enregistrement de ressource. Par
dfaut, Nslookup est disponible dans Windows Server 2003. Quant DNSCmd et DNSLint, ils
doivent tre installs partir des outils de support du CD-ROM Windows Server 2003.

Pour pouvoir utiliser les utilitaires DNSCmd et DNSLint, il faut installer suptools.msi qui se trouve
sur le Cd-Rom de Microsoft Windows Server 2003 dans le dossier /Support/Tools.

Exemple dutilisation de ces commandes :

DNSCmd [nom du serveur] /enumzones: Permet dafficher la liste complte des zones
configures sur le serveur DNS.

DNSCmd [nom du serveur] /zoneinfo [zone] : Permet dafficher les informations dune
zone spcifique.

6.6. Analyse des performances du serveur DNS

6.6.1. Principes danalyse des performances du serveur DNS laide de
la console de performances

Les serveurs DNS ont une importance capitale dans la plupart des environnements, cest pourquoi
lanalyse de leurs performances procurent des avantages certains dans la stratgie doptimisation de
votre infrastructure rseau.

Lanalyse vous donne des informations utiles pour prvoir, estimer et optimiser les
performances du serveur DNS.

Lanalyse vous facilite le dpannage des serveurs DNS victimes dune baisse de
performances.

Il est recommand danalyser dune part les phases critiques de lactivit du systme DNS, comme les
mises jour dynamiques, les notifications, les transferts de zone complets et incrmentiels, les
requtes, et dautre part lintgrit du serveur DNS.
Implmentation dune infrastructure rseau Microsoft Windows 2003 54 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

Compteurs de
performance
Donnes collectes Signification des donnes Tendance valuer une
fois la ligne de base
tablie
Mises jour
dynamiques
refuses
Nombre total de
mises jour
dynamiques
refuses par le
serveur DNS
Un nombre lev de
demandes refuses par un
serveur DNS configur pour
autoriser les mises jour
scurises peut signifier que
des ordinateurs non autoriss
effectuent des tentatives de
mises jour.
Si ce nombre passe au-
dessus de la ligne de base,
il convient de raliser des
recherches
supplmentaires.
Requtes
rcursives/seconde
Nombre moyen de
requtes rcursives
reues par un
serveur DNS
chaque seconde.
Ce compteur fournit une
indication de la charge lie
aux requtes imposes au
serveur DNS.
Si la valeur de ce
compteur chute ou
augmente
considrablement, il
convient de raliser des
recherches
supplmentaires.
Demandes AXFR
envoyes
Nombre total de
transferts de zone
complets envoys
par le service
Serveur DNS
lorsquil joue le
rle dun serveur
secondaire pour
une zone.
Le serveur DNS qui hberge
la zone secondaire demande
des transferts de zone
incrmentiels. Si ce nombre
est lev, cela veut dire que
les modifications effectues
sur la zone principale sont
fort nombreuses.
Si la valeur de ce
compteur dpasse
largement la ligne de
base, il est possible que
vous deviez revoir le
nombre de modifications
apportes la zone et
revoir la configuration des
transferts de zone.



















Implmentation dune infrastructure rseau Microsoft Windows 2003 55 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
6.6.2. Quest-ce quun journal des vnements DNS ?



Un journal des vnements DNS est un journal
systme configur pour nenregistrer que les
vnements DNS.

Vous pouvez avoir recours lObservateur
dvnements pour consulter et analyser les
vnements DNS lis aux clients. Ceux-ci
saffichent dans le journal systme et sont crits par
le service Client DNS sur tous les ordinateurs
Windows (toutes les versions).

Dans Windows Server 2003, les messages
dvnements de serveur DNS sont conservs
sparment dans un journal qui leur est propre (le
journal du serveur DNS).

Ce journal peut tre consult laide de la console
DNS ou de lObservateur dvnements.


Son fichier journal contient des vnements consigns
par le service Serveur DNS. Par exemple, lors de
larrt ou du dmarrage du serveur DNS, un message
dvnement correspondant est inscrit dans ce journal.
Les vnements derreurs du service DNS y sont
galement enregistrs, par exemple lorsque le serveur
dmarre et quil y a une erreur lors des transferts de
zone ou encore lorsque les informations de zone
ncessaires au dmarrage ne sont pas disponibles.


6.6.3. Quest-ce que lenregistrement de dboguage DNS ?

Lenregistrement de dboguage DNS est un outil journal facultatif pour DNS, qui stocke les
informations DNS que vous slectionnez. Il ne faut pas oublier que lenregistrement dans un journal
ncessite des ressources du serveur, lenregistrement de dboguage nest pas activ par dfaut. Il est
configur au niveau du serveur DNS et ses paramtres ont donc une incidence sur toutes les zones
hberges sur le serveur DNS.

Vous pouvez capturer un grand nombre de donnes statistiques DNS laide de loutil Performances
qui vous permet de crer des graphiques. Si vous voulez obtenir des informations encore plus
spcifiques, vous pouvez activer lenregistrement de dboguage DNS, lequel permet de collecter des
donnes DNS spcifiques dans le fichier DNS.Log.

Par exemple, si vous voulez connatre les types de requtes envoyes par un ordinateur au serveur
DNS, vous pouvez configurer lenregistrement de dboguage DNS pour quil recueille uniquement les
informations relatives aux requtes DNS entrantes utilisant les protocoles UDP (User Datagram
Protocol) ou TCP (Transmission Control Protocol) partir dune adresse IP (Internet Protocol)
particulire.

Lenregistrement de dboguage se poursuit jusqu ce que la taille de journal spcifie soit atteinte ou
que le lecteur sur lequel se trouve le fichier journal vienne manquer despace disponible. Une fois la
limite en terme de taille de fichier est atteinte, le processus denregistrement commence craser les
entres les plus anciennes.

Implmentation dune infrastructure rseau Microsoft Windows 2003 56 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Les fichiers journaux peuvent devenir trs volumineux, cest pourquoi il est recommand de les
stocker sur un lecteur distinct.

ATTENTION ! : Le mode dboguage pour DNS altre fortement la disponibilit des ressources
de votre systme, processeur et mmoire vive. Le temps de rponse pour les requtes des clients
DNS distants sera alors augment.
Implmentation dune infrastructure rseau Microsoft Windows 2003 57 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
7. Rsolution de noms NetBIOS
laide du service WINS

Le service WINS a t cr dans le but de limiter le trafic de diffusion et de permettre la rsolution de
noms NetBIOS sur plusieurs segments de rseau.

Dans Windows 2003, le principal moyen utilis pour la rsolution de noms est le systme DNS. Pour
les ordinateurs clients dmarrant des versions de Windows antrieures Windows 2000, XP ou 2003,
un serveur WINS leur permettra de communiquer efficacement. (ex : Windows NT4)

7.1. Installation et configuration dun serveur WINS

7.1.1. Composants du service WINS

Le systme WINS complet de Windows Server 2003 comprend les composants suivants :

Serveur WINS : Ordinateur qui traite les requtes dinscription de noms provenant des clients
WINS, inscrit les noms et adresses IP du client. Le serveur WINS rpond aux requtes de
noms NetBIOS soumises par les clients. Le serveur WINS renvoie ensuite ladresse IP dun
nom demand, si ce dernier figure dans la base de donnes du serveur.

Base de donnes WINS : La base de donnes WINS stocke et rplique les mappages des noms
NetBIOS aux adresses IP dun rseau.

Client WINS : Ordinateurs que vous pouvez configurer pour utiliser directement un serveur
WINS ; ces ordinateurs possdent gnralement plusieurs noms NetBIOS quils doivent
inscrire pour pouvoir tre utiliss sur le rseau.

Agents proxy WINS : Ordinateur qui contrle la diffusion des requtes de noms et rpond aux
requtes clientes lorsque les noms ne figurent pas sur le sous-rseau local. Le proxy
communique avec un serveur WINS pour rsoudre les noms, puis les met en cache pour une
priode donne.

7.1.2. Prsentation dun type de nud NetBIOS

Les types de nuds NetBIOS permettent un administrateur de configurer lordre et la mthode
utilise par un client lors de la rsolution de noms NetBIOS en adresses IP.

Il y a plusieurs possibilits en fonction du type de nud :

Nud B (broadcast-node) : Utilise la diffusion pour lenregistrement et la rsolution
de noms.
Nud P (Peer-to-peer-node) : Utilise un serveur de noms (WINS) pour la rsolution.
Nud M (mixed-node) : Mthode B et P : si aucun rsultat par la mthode B
(mthode de rsolution par dfaut), utilisation de la mthode P.
Implmentation dune infrastructure rseau Microsoft Windows 2003 58 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Nud H (Hybrid-node) : Mthode B et P : si aucun rsultat par la mthode P
(mthode de rsolution par dfaut), utilisation de la mthode B.

Windows Server 2003 et Windows XP sont configurs par dfaut avec la configuration de type
nuds B.

Lorsquun ordinateur excutant Windows XP, Windows Server 2003 ou Windows 2000 est configur
avec les adresses de serveurs WINS pour la rsolution de noms, il utilise automatiquement le nud.
Vous pouvez utiliser les options du protocole DHCP (Dynamic Host Configuration Protocol) pour
attribuer ce type de nud.
7.1.3. Comment un client WINS inscrit et libre des noms NetBIOS

Au dmarrage de lordinateur, le service NetBT sur le protocole TCP/IP va envoyer une demande
denregistrement du nom NetBIOS un serveur WINS. Dans le cas o le nom NetBIOS serait dj
appropri, lordinateur ne pourra pas utiliser le protocole NetBIOS pour communiquer.

Un nom NetBIOS est inscrit de faon temporaire sur le serveur WINS. Le serveur WINS envoie un
message au client lors de son inscription pour linformer de la dure de lenregistrement acquis (TTL,
Time to Live). Ce dernier devra renouveler son enregistrement la fin du TTL afin de le conserver.

Si le processus de renouvellement nest pas effectu dans le temps imparti, linscription sur le serveur
WINS va tre supprime. Le renouvellement est donc ncessaire pour ce type denregistrement
contrairement aux enregistrements statiques qui nutilisent pas le TTL.

La dure du TTL par dfaut est de 6 jours. Un renouvellement dun enregistrement donc lieu au
bout de 3 jours car le client WINS tente son renouvellement 50% de lcoulement du TTL.

7.1.4. Fonctionnement de la prise en charge du traitement en rafale

Le traitement de rponse de type rafale est utilis lorsque le nombre de tentatives simultanes excde
la taille de la file dattente de traitement (par dfaut : 500). Le principe de ce traitement est de
rpondre superficiellement aux requtes clients (par une inscription positive), ce qui permet au client
dutiliser le protocole NetBIOS pour la communication. Afin dviter des problmes denregistrements
non achevs correctement, le serveur WINS dfinit une courte dure de vie afin deffectuer une
inscription complte une fois le trafic WINS revenu la normale.

Par exemple, lorsque le courant est rtabli aprs une coupure, de nombreux utilisateurs dmarrent et
inscrivent simultanment leur nom sur le rseau, ce qui engendre un trafic WINS trs dense. Avec la
prise en charge du traitement en rafale, un serveur WINS peut rpondre positivement aux requtes des
clients, avant mme de traiter et dentrer physiquement ces mises jour dans la base de donnes du
serveur WINS.

7.1.5. Comment un serveur WINS rsout les noms NetBIOS

Pour la famille Windows Server 2003, Windows XP et Windows 2000, le service WINS utilise les
options suivantes pour rsoudre un nom une fois la requte NetBIOS mise :

1. Le client WINS contacte le premier serveur WINS trois reprises pour rsoudre le nom
laide du service WINS.

Implmentation dune infrastructure rseau Microsoft Windows 2003 59 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
2. Si le premier serveur WINS ne rpond pas, le client contacte dautres serveurs WINS
disponibles jusqu ce quil obtienne une rponse.
3. Si un serveur WINS rsout le nom NetBIOS, ladresse IP est renvoye au client. Aprs avoir
reu la rponse, le client utilise cette adresse pour se connecter la ressource souhaite.
4. Si aucun serveur WINS ne peut rsoudre le nom NetBIOS, le processus de rsolution se
poursuit en dehors du service WINS. Le client avec nud H tente une diffusion. Si la
diffusion choue, le client parcourt son fichier Lmhosts local.

7.1.6. Comment installer le service WINS

Pour installer le service WINS, vous pouvez passer par la console habituelle dAjout/Suppression de
programmes pour Ajouter ou supprimer des composants Windows. Ensuite dans la rubrique
Services de mise en rseau, il faut cocher Service WINS.
Vous pouvez passer aussi par la console Grer votre serveur pour y ajouter le rle de serveur WINS.
Cette console se trouve dans les outils dadministration.

7.1.7. Comment configurer la prise en charge du traitement en rafale

Vous pouvez configurer le niveau de prise en
charge du traitement en rafale utilis par le
serveur et adapter ainsi la taille de la file dattente
de transmission en rafale pour des rafales faibles,
moyennes ou leves. La prise en charge du
traitement en rafale est active par dfaut et la file
dattente de transmission en rafale est dfinie sur
le niveau moyen.

Pour configurer cette prise en charge, il faut aller
dans longlet Avanc des proprits du serveur
WINS.

Correspondance Niveau et requtes :
Faible 300
Moyen 500
Haut 1000
Personnalis entre 50 et 5000


7.2. Gestion des enregistrements dans le serveur
WINS

7.2.1. Prsentation dun enregistrement client

Un enregistrement client est une entre contenue dans la base de donne WINS qui contient des
informations dtailles concernant les services NetBIOS excuts sur le client comme :

Nom denregistrement : Nom NetBIOS inscrit
Type : Type de service
Implmentation dune infrastructure rseau Microsoft Windows 2003 60 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Adresse IP
Etat : Actif, libr ou dsactiv
Statique : Indique si le mappage est statique
Propritaire : Le serveur WINS do provient lentre
Version : Numro unique affect par le serveur lors de lenregistrement (utile pour la
rplication)
Expiration

7.2.2. Prsentation dun mappage statique

Un mappage statique est un enregistrement client entr manuellement dans la base de donnes WINS
par ladministrateur afin denregistrer les services des clients non-WINS (ex : UNIX).

7.2.3. Comment ajouter une entre de mappage statique

Pour ajouter une entre de mappage statique,
il est ncessaire de possder trois lments
concernant ce mappage :

Nom NetBIOS
Type de nom (unique, groupe, nom
de domaine, )
Adresse IP

Lajout se trouve dans la console WINS :
Clic droit sur le dossier Inscription actives du
serveur WINS \ Nouveau mappage
statique


7.2.4. Mthodes de filtrage et daffichage des enregistrements du service
WINS

Les mthodes de filtrage et daffichage des enregistrements du service permettent dafficher lessentiel
des informations ncessaires lors dune administration distance par exemple, ou disoler un problme
plus rapidement.

Lors de la cration dun filtre de recherche, vous pouvez choisir entre 3 catgories de filtres :

Mappage des enregistrements : Recherche partir dun nom NetBIOS complet ou non, et/ou
une adresse IP avec ou sans masque de sous rseau.

Propritaires des enregistrements : Recherche partir denregistrements dans les
enregistrements de noms dun ou de plusieurs propritaires denregistrements de noms.

Implmentation dune infrastructure rseau Microsoft Windows 2003 61 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Types denregistrement : Recherche partir denregistrements sur un ou plusieurs types
denregistrements, grce au suffixe du nom NetBIOS.

7.2.5. Comment filtrer les enregistrements WINS

Pour accder aux diffrentes catgories de recherche, il faut faire un clic droit sur le dossier
Inscriptions actives puis cliquer sur Afficher les enregistrements

Une fois le filtre configur, il ne reste plus qu appuyer sur rechercher.







Implmentation dune infrastructure rseau Microsoft Windows 2003 62 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

7.3. Configuration de la rplication WINS

7.3.1. Fonctionnement de la rplication WINS

La rplication WINS consiste mettre jour les donnes WINS entre plusieurs serveurs afin de
synchroniser les donnes. Lorsquun client WINS veut rsoudre un nom NetBIOS, il peut passer par
nimporte quel serveur du mme rseau.

Lorsquun rseau utilise plusieurs serveurs WINS, chaque serveur est configur comme partenaire
metteur ou comme partenaire metteur/rcepteur dau moins un autre serveur WINS. La
configuration par dfaut des partenaires de rplication WINS se fait par mission/rception.
Cependant, vous pouvez modifier cette configuration en fonction des exigences de votre
environnement rseau.

7.3.2. Fonctionnement de la rplication par mission

Un partenaire Emetteur avertit ses partenaires de rplication lorsque le nombre de modifications dans
sa base de donnes atteint un seuil que vous pouvez configurer. Ce type de partenaire est utilis dans
le cas de liaisons rapides

7.3.3. Fonctionnement de la rplication par rception

Un partenaire Collecteur demande les copies des nouvelles entres de la base de donnes ses
partenaires de rplication intervalles rguliers. Vous pouvez configurer cet intervalle. Ce type de
partenaire est gnralement utilis dans le cas de liaisons lentes.

7.3.4. Prsentation de la rplication par mission/rception

Un partenaire Emetteur/Collecteur demande la copie des nouvelles entres intervalles rguliers et
avertit ses partenaires de rplication lorsque le nombre de modifications atteint un seuil. Par dfaut un
serveur WINS est configur en partenaire Emetteur/Collecteur.

7.3.5. Proprits des partenaires de rplication WINS

Activer la configuration automatique des partenaires :

Cette option permet un serveur WINS de configurer automatiquement les autres serveurs
WINS comme ses partenaires de rplications.

Vous pouvez paramtrer la configuration automatique des partenaires. Le serveur WINS est
alors activ pour contrler les annonces de multi-diffusions provenant dautres serveurs WINS
et pour effectuer automatiquement les tapes de configuration suivantes.




Implmentation dune infrastructure rseau Microsoft Windows 2003 63 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

Lorsque vous configurez loption Activer la configuration automatique des partenaires ,
le serveur WINS :

ajoute ladresse IP des serveurs dcouverts sa liste de serveurs partenaires de
rplication
configure les serveurs dcouverts la fois comme partenaires metteurs et rcepteurs
configure la rplication par rception des intervalles de 2 heures sur les serveurs
dcouverts

Activer les connexions permanentes :

Gnralement, le serveur WINS se dconnecte une fois la rplication effectue. Lors
dutilisation de liaisons fixes entre les serveurs, il est prfrable et plus rapide de rendre ces
connexions permanentes. Il ne reste plus qu activer le seuil de rplication 0 et la
convergence de base de donnes sera instantane.

Activer loption Remplacer les mappages statiques uniques pour ce serveur (migration) :

Contrairement aux mappages dynamiques qui sont automatiquement supprims du service
WINS au bout dun certain temps, les mappages statiques peuvent rester inscrits dans la base
de donnes WINS de faon permanente ou jusqu ce que ladministrateur rseau les
supprime.
Si, au cours dune mise jour, le service WINS reoit une entre statique et une entre
dynamique portant le mme nom, il conserve par dfaut lentre de type statique.
Cependant, vous pouvez utiliser le paramtre Remplacer les mappages statiques uniques pour
ce serveur pour modifier ce comportement.
Vous pouvez configurer ce paramtre uniquement partir de la bote de dialogue des
proprits de lobjet Partenaire de rplication dans la console WINS.

7.3.6. Comment configurer la rplication WINS

Par dfaut, les partenaires de rplication WINS sont configurs en tant que partenaires
metteurs/rcepteurs. Pour modifier ce paramtre, il faut aller dans la console WINS puis faire un clic
droit sur le dossier Partenaire de rplication du serveur en cours pour appuyer sur Nouveau
partenaire de rplication. Ensuite il ne reste plus qu spcifier ladresse dun autre serveur WINS
valide pour la rplication.

Il est possible de modifier le type de partenaire de rplication (Emission, Collecte ou
Emission/Collecte) dans longlet Avanc des proprits du serveur se trouvant dans les partenaires de
rplication.

7.4. Gestion de la base de donnes WINS

7.4.1. Pourquoi sauvegarder une base de donnes WINS ?

Dans le cas o, il nest plus possible daltrer une base de donnes dfaillante cause dun virus ou
autres problmes similaires, vous pouvez supprimer la base WINS et en restaurer une propre .

Implmentation dune infrastructure rseau Microsoft Windows 2003 64 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
La console de gestion WINS fournit des outils de sauvegarde avec lesquels vous pouvez sauvegarder
la base de donnes WINS. Une fois que vous avez spcifi un rpertoire de sauvegarde pour la base de
donnes, le service WINS effectue des sauvegardes compltes de la base de donnes toutes les 24
heures, par dfaut. La console de gestion WINS fournit galement une option de sauvegarde que
vous pouvez utiliser pour restaurer une base de donnes de serveur en cas de dfaillance.

Pour restaurer la base :

Arrtez le service WINS,
Supprimez tous les fichiers de la base de donnes actuelle
Effectuez la restauration partir de la sauvegarde
Redmarrez le service.

Attention ! : La base de donnes restaurer doit tre dans le rpertoire de sauvegarde par dfaut.

7.4.2. Comment sauvegarder et restaurer une base de donnes WINS

Pour sauvegarder la base WINS, il faut au pralable spcifier le rpertoire de sauvegarde et faire une
premire sauvegarde manuelle.

Pour spcifier le rpertoire de sauvegarde, il faut
faire un clic droit sur le serveur WINS ( partir de la
console WINS) pour afficher les proprits de celui-
ci. Ensuite dans longlet Gnral, il faut entrer le
chemin de la sauvegarde dans la zone Chemin par
dfaut de la copie de sauvegarde. Lorsque le
service WINS sauvegarde la base de donnes du
serveur, il cre un dossier Wins_bak\New dans le
dossier de sauvegarde spcifi.

Pour initier la premire sauvegarde, il suffit de
cocher Effectuer une copie de sauvegarde de la
base de donnes lors de larrt du serveur si
ncessaire.



Vous pouvez faire une sauvegarde manuelle en faisant un clic droit sur le serveur WINS puis
Sauvegarder la base de donnes

7.4.3. Prsentation de la suppression simple et de la dsactivation
denregistrements

Il est possible de rcuprer de la place dans la base de donnes WINS en supprimant des
enregistrements obsoltes. Il existe pour cela plusieurs mthodes disponibles partir de la console
WINS :
Suppression simple denregistrements : Il suffit de supprimer des enregistrements que
ladministrateur trouve obsoltes sur le serveur. Si vous possdez plusieurs serveurs, il faut
veiller supprimer les enregistrements obsoltes sur les autres serveurs, auquel cas les
enregistrements seront de nouveau rpliqus.

Implmentation dune infrastructure rseau Microsoft Windows 2003 65 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Dsactivation denregistrement : Le serveur WINS modifie ltat de lenregistrement en le
mettant dsactiv. Une fois un enregistrement dsactiv, le serveur WINS ne peut plus le
rsoudre lors de requtes clientes. Ensuite lors de la rplication, le serveur va indiquer aux
autres serveurs le nouvel tat de lenregistrement qui va ensuite expirer et tre supprim.

7.4.4. Comment supprimer un enregistrement WINS

Il y a donc 2 possibilits de suppression dun enregistrement : la suppression simple et la
dsactivation.

Pour choisir lun des deux lors de la suppression dun enregistrement, il faut faire un clic droit sur
lenregistrement en question puis supprimer.

Une bote de dialogue apparat alors :




7.4.5. Prsentation du compactage dynamique et du compactage hors
connexion

Le compactage permet de rorganiser la base de donnes afin de rcuprer la place des
enregistrements supprims.

Dans Windows Server 2003, le service WINS effectue un compactage Jet dynamique de la base de
donnes WINS pendant que le serveur est en ligne. De ce fait, le compactage manuel est beaucoup
plus rapide.

Mme si le serveur utilise le compactage Jet dynamique, le compactage manuel (jetpack.exe) permet
une meilleure rcupration despace et doit tre fait rgulirement. Lors dun compactage manuel, il
suffit de noter la taille du fichier de la base WINS (%systemroot%\System32\Wins\Wins.mdb)
avant et aprs le compactage afin de dterminer lintrt du compactage manuel et de dfinir la
frquence dutilisation de ce procd.

7.4.6. Comment compacter une base de donnes WINS

Donc par dfaut la base est automatiquement compacte en ligne mais vous pouvez la compacte
manuellement en mode hors connexion.

Pour compacter la base de donnes WINS hors connexion :

1. Arrtez le service WINS en utilisant la commande net. linvite de commandes, tapez
net stop wins.
Implmentation dune infrastructure rseau Microsoft Windows 2003 66 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
2. partir du rpertoire %systemroot%\System32\, excutez lutilitaire de ligne de
commande jetpack.exe laide de la syntaxe de commande suivante : jetpack
%systemroot%\System32\Wins\Wins.mdb Nom_Temporaire.mdb (o Nom_Temporaire
est le nom que vous attribuez au fichier). Cette procdure compacte le contenu du fichier
Wins.mdb dans Nom_Temporaire.mdb, copiez le fichier temporaire dans Wins.mdb et
supprimez le fichier temporaire.

3. Redmarrez le service WINS en utilisant la commande net. linvite de commandes,
tapez net start wins.

7.4.7. Comment fonctionne le nettoyage

Le nettoyage est le processus consistant supprimer des entres de base de donnes WINS qui ont
expires.

Le nettoyage permet de maintenir des informations dtat correctes dans la base de donnes en
contrlant chaque enregistrement appartenant au serveur WINS, en comparant le datage de
lenregistrement avec lheure actuelle, puis en modifiant ltat des enregistrements qui ont expirs. Par
exemple, le nettoyage modifie ltat dun enregistrement de ltat actif ltat libr .

Le processus de nettoyage intervient automatiquement des intervalles dfinis par la relation entre les
configurations dintervalle de renouvellement et dextinction. Configurez les proprits suivantes pour
dfinir cette relation.

Le nettoyage est effectu conformment une planification dfinie comme suit :

1. Le minuteur de nettoyage est activ au dmarrage du serveur et correspond la moiti
de lintervalle de renouvellement.

2. Les noms actifs appartenant au serveur WINS et pour lesquels lintervalle de
renouvellement a expir sont marqus comme tant librs.

3. Les noms librs appartenant au serveur WINS et pour lesquels lintervalle
dextinction a expir sont marqus pour suppression.

4. Les noms marqus pour suppression et pour lesquels le dlai dextinction a expir
sont supprims de la base de donnes.

5. Les noms marqus pour suppression, rpliqus partir dautres serveurs et pour
lesquels le dlai dextinction a expir sont supprims de la base de donnes.

6. Les noms actifs rpliqus partir dautres serveurs et pour lesquels lintervalle de
vrification a expir sont revalids.

7. Les noms marqus pour suppression rpliqus partir dautres serveurs sont
supprims de la base de donnes.







Implmentation dune infrastructure rseau Microsoft Windows 2003 67 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
7.4.8. Comment nettoyer la base de donnes WINS

Pour configurer les intervalles, il faut aller dans longlet intervalles des proprits du serveur WINS :

Intervalles Description de lintervalle
Intervalle de
renouvellement
Frquence laquelle un client WINS renouvelle son inscription de nom
auprs du serveur WINS. La valeur par dfaut est de six jours.
Intervalle dextinction
Intervalle entre lheure laquelle une entre est marque comme libre
(plus inscrite) et lheure laquelle elle est marque comme teinte. La
valeur par dfaut est de quatre jours.
Dlai dextinction
Intervalle entre lheure laquelle une entre est marque comme teinte
et lheure laquelle elle est effectivement supprime de la base de
donnes WINS. La valeur par dfaut est la mme que celle de lintervalle
de renouvellement et ne peut pas tre infrieure 24 heures.
Intervalle de vrification
Intervalle aprs lequel le serveur WINS vrifie que les noms dont il nest
pas propritaire (noms dupliqus partir dautres serveurs WINS) sont
encore actifs. La valeur minimale est de 24 jours.





Enfin pour nettoyer la base de donnes WINS, il suffit de faire un clic droit sur le serveur WINS puis
Nettoyer la base de donnes.


Implmentation dune infrastructure rseau Microsoft Windows 2003 68 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
7.4.9. Prsentation de la vrification de la cohrence dune base de
donnes WINS

La vrification de la cohrence dune base de donnes permet dobtenir une garantie des informations
contenues dans la base auprs des propritaires et auprs des autres serveurs WINS.
Ce processus permet de garantir lintgrit des donnes.

7.4.10. Comment vrifier la cohrence dune base de donnes WINS

Vrifier la cohrence est une opration qui peut tre effectue rgulirement pour assurer la cohrence
mais il faut noter que ce processus influe beaucoup sur la charge rseau. Il faut donc veiller effectuer
cette opration pendant les heures creuses de lactivit de votre rseau.

Voici longlet Vrification de la base de
donnes des proprits du serveur qui va
permettre de spcifier lhoraire, la frquence
de rplication, le nombre denregistrements
maximum et avec qui :

Serveur propritaire : Vrifie
par rapport au serveur qui
contient lenregistrement
(propritaire).

Partenaires slectionns
alatoirement : Vrifie par
rapport un partenaire de
rplication choisi alatoirement.


Il est possible de lancer une vrification de la cohrence manuellement. Pour ce faire, il suffit de faire
un clic droit sur le serveur WINS puis choisir entre Vrifier la cohrence de la base de donnes et
Vrifier la cohrence des numros de versions

7.4.11. Instructions concernant le retrait dun serveur WINS

Vous pouvez retirer (supprimer) un serveur WINS pour rduire ou supprimer lutilisation du service
WINS au sein de votre rseau.

Avant de retirer un serveur WINS de votre rseau, vous devez vous assurer que les clients de ce
serveur peuvent interroger un autre serveur WINS afin deffectuer de la rsolution de noms.

Si vous souhaitez retirer tous les serveurs WINS de votre rseau, il faut installer et configurer le
service DNS comme tant votre service de rsolution de noms principal et configurer tous les clients
pour quils lutilisent.

Implmentation dune infrastructure rseau Microsoft Windows 2003 69 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
7.4.12. Comment dsinstaller un serveur WINS dune infrastructure
rseau

Procdure pour dsinstaller un serveur WINS dune infrastructure rseau :

1. Dans larborescence de la console WINS, clic droit sur Inscriptions actives.

2. Cliquez sur Supprimer le propritaire.

3. Dans la bote de dialogue Suppression dun propritaire, cliquez sur ladresse IP du
serveur WINS que vous souhaitez retirer.

4. Slectionnez Rpliquer la suppression sur les autres serveurs WINS (dsactiver) et
cliquez sur OK.

5. Dans larborescence de la console, clic droit sur Partenaires de rplication.

6. Cliquez sur Rpliquer maintenant.

7. Aprs avoir vrifi que les enregistrements dsactivs lors de ltape 4 ont bien t
rpliqus vers dautres serveurs partenaires, arrtez le service WINS et supprimez-le du
serveur retir.
Implmentation dune infrastructure rseau Microsoft Windows 2003 70 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
8. Protection du trafic rseau laide
de la scurit IPSec et de certificats

8.1. Implmentation de la scurit IPSec

Pour vous aider dans la comprhension de ce module, nous vous invitons consulter larticle de
Sammy POPOTTE sur le site du laboratoire SUPINFO des technologies Microsoft ladresse
suivante : http://www.laboratoire-microsoft.org/articles/network/ipsec/

8.1.1. Quest-ce que la scurit IPSec ?

Le protocole IPSec est une surcouche rseau qui permet dauthentifier, vrifier ou crypter tout trafic
transitant sur le rseau.

La scurit IPSec permet de protger les donnes qui transitent sur le rseau en respectant la stratgie
IPSec. Ladministrateur dfinit un ensemble de rgles qui dfinissent si un paquet doit tre crypt
et/ou sign numriquement.
Ce processus est transparent pour les utilisateurs et indpendant du type de donnes acheminer sauf
pour les donnes de type diffusion, multi-diffusions et paquets Kerberos qui ne peuvent tre crypts.

La scurit IPSec prsente les avantages suivants :

Authentification mutuelle avant et pendant les communications.
Confidentialit grce au cryptage du trafic IP et lauthentification numrique des paquets.
Intgrit du trafic IP en rejetant tout trafic modifi (anti-rejeu).
Protection contre les attaques de relecture.

8.1.2. De quelle manire la scurit IPSec protge-t-elle le trafic ?

Comment fonctionne la scurit IPSec dune communication entre 2 postes :

1. La configuration IPSec est dfinie par une stratgie locale ou une stratgie de groupe dans
lActive Directory qui est transmise aux postes clients. Ces stratgies dfinissent quelles sont
les associations de protocole de cryptage et de mthode dauthentification qui vont tre
utilises par le client.

2. Le module IKE vrifie lassociation de scurit ngocie grce au protocole ISAKMP
(Internet Security Association and Key Management Protocol) et au protocole Oakley Key
Determination Protocol.
Le module IKE ne peut pas tablir dassociation de scurit si les 2 entits utilisent des
mthodes dauthentification diffrentes (Certification et Kerberos par exemple).

3. Une fois lassociation tablie, le pilote IPSec crypte ou signe, suivant la stratgie employe, le
trafic voulu.


Implmentation dune infrastructure rseau Microsoft Windows 2003 71 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
8.1.3. Quest-ce quune stratgie de scurit IPSec ?

La stratgie IPSec dfinit le comportement de la scurit IPSec. Une stratgie est fonde sur
lapplication dune ou plusieurs rgles. Cependant, seule une stratgie peut sappliquer un poste.

Une rgle est compose des lments suivants :

Un filtre : Spcifie le type de trafic (ex : http ou FTP)
Une action de filtrage : Spcifie laction excuter sur le trafic rencontr par le filtre (ex :
Bloquer, crypter)
Une mthode dauthentification : Kerberos, certificats ou cl pr-partage.

Stratgie par dfaut disponible depuis Windows 2000 :

Client (en rponse seule) : Lordinateur utilisera IPSec uniquement si lordinateur distant lui en fait
la demande.

Serveur (demandez la scurit) : Lordinateur tentera dimposer IPSec, mais si lordinateur distant
ne supporte pas IPSec, alors la communication se fera normalement.

Scuriser le serveur (ncessite la scurit) : Lordinateur utilisera toujours IPSec. Si lordinateur
distant ne peut pas utiliser IPSec, la communication ne se fera pas.


8.1.4. Fonctionnement conjoint des stratgies IPSec

Une stratgie nest pas considrer comme une entit seule lors de communications avec dautres
postes. Pour que deux postes ngocient une association de scurit, il faut quils possdent des
stratgies complmentaires comme lindique le tableau ci-dessous :

Complmentarit pour 2 clients rseau dans un environnement IPSec


Aucune Stratgie
attribue
Client (en
rponse seule)
Serveur
(demandez la
scurit)
Scuriser le
serveur
(ncessite la
scurit)
Aucune
Stratgie
attribue
Scurit IPSec
inexistante
Scurit IPSec
inexistante
Scurit IPSec
inexistante
Communication
inexistante
Client (en
rponse seule)
Scurit IPSec
inexistante
Scurit IPSec
inexistante
Scurit IPSec Scurit IPSec
Serveur
(demandez la
scurit)
Scurit IPSec
inexistante
Scurit IPSec Scurit IPSec Scurit IPSec
Scuriser le
serveur
(ncessite la
scurit)
Communication
inexistante
Scurit IPSec Scurit IPSec Scurit IPSec





Implmentation dune infrastructure rseau Microsoft Windows 2003 72 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
8.2. Implmentation de la scurit IPSec avec des
certificats

8.2.1. Quest-ce quun certificat ?

Le certificat numrique (X.509) est une identification lectronique permettant lauthentification et la
protection des donnes sur des rseaux privs ou publiques. Le certificat associe de manire scurise
une cl publique une entit dtenant la cl prive.

La cl publique : Elle transite sur le segment de rseau non scuris (Internet) et permet au
destinataire de vrifier la signature des donnes transmises.

La cl prive : Elle est confidentielle et permet lmetteur de signer le message transmettre.

Lmetteur du certificat est appel autorit de certification. Il signe numriquement les certificats pour
un utilisateur, un ordinateur ou mme un service (IPSec).

Lautorit de certification fournit et affecte les cls de cryptage, de dcryptage et dauthentification.
Ces cls sont distribues via des certificats qui font correspondre les cls publiques des informations
comme le nom ou ladresse e-mail.

Un certificat contient les informations suivantes :

la cl cryptographique publique de la paire de cls publiques et prives du sujet du certificat
des informations sur le sujet qui fait la demande de certificat
le nom unique X.500 de lutilisateur ou de lordinateur
ladresse de messagerie du propritaire du certificat
des dtails sur lAutorit de certification
les dates dexpiration
le hachage du contenu du certificat pour garantir lauthenticit (signature numrique).

8.2.2. Utilisations courantes des certificats

Utilisations des certificats Description
Signature numrique Utilise la cl publique dans un certificat pour vrifier que les
donnes ont t signes avec la cl prive correspondante.
Systme de fichiers EFS (Encrypting
File System)
Utilise la cl publique dans un certificat pour crypter les cls
de cryptage des fichiers.
Authentification Internet Vrifie lidentit dun serveur Web pour les clients Web. Les
serveurs Web peuvent aussi utiliser des certificats pour
vrifier lidentit des clients Web.
Scurit IP (IPSec) Vrifie lidentit des ordinateurs et crypte les donnes
lorsquelles sont transmises sur le rseau.
Messagerie scurise Vrifie les messages lectroniques signs et dcrypte les
messages lectroniques.
Ouverture de session par carte puce Vrifie lidentit dun utilisateur louverture de session par
carte puce. Protocole EAP-TLS
Signature du code logiciel Vrifie lidentit dun diteur de logiciels.

Implmentation dune infrastructure rseau Microsoft Windows 2003 73 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
8.2.3. Pourquoi utiliser des certificats avec la scurit IPSec pour
protger le trafic rseau ?

Les certificats lis la scurit IPSec permettent une entreprise de communiquer avec une autre
organisation approuvant la mme autorit de certification. Il est utilis lorsquune entreprise ncessite
un niveau de scurit suprieur au protocole Kerberos ou mthode par cls pr-partages.
Il reste encore un intrt qui permet dassurer la scurit avec des htes ne faisant pas partie de
lannuaire Active Directory ou ne supportant pas Kerberos.

Les deux autres mthodes permettant dauthentifier deux htes IPSec sont les suivantes :

- Le protocole Kerberos : Assure la faon la plus simple dauthentification pour le trafic
entre deux htes dune mme fort.

- Cl pr-partage : une cl pr-partage est une chane de caractres alatoires qui sert de
mot de passe entre deux htes IPSec. Les cls pr-partages noffrent pas le mme niveau
de scurit que le protocole Kerberos ou les certificats car elles sont stockes en texte clair
dans la stratgie IPSec.

8.3. Analyse de la scurit IPSec

8.3.1. Moniteur de scurit IP

Le composant logiciel enfichable Moniteur de scurit IP vous permet dafficher des dtails sur les
stratgies IPSec locales et les stratgies attribues au domaine.

Les informations disponibles sont par exemple, les dtails de la stratgie IPSec active, notamment le
nom, la description, la date de la dernire modification, le magasin, le chemin, lunit dorganisation et
le nom de lobjet Stratgie de groupe. Il y a les filtres avec les filtres gnriques du mode principal et
du mode rapide, les filtres spcifiques, les statistiques et les associations de scurit.

8.3.2. Comment arrter et dmarrer les services IPSec

Arrter et dmarrer les services IPSec laide de linvite de commandes :

Service routage et accs
distant
Service IPSec
Dmarrage net start remoteaccess net start policyagent
Arrt net stop remoteaccess net stop policyagent

Implmentation dune infrastructure rseau Microsoft Windows 2003 74 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
9. Configuration de laccs rseau
9.1. Introduction linfrastructure daccs rseau
9.1.1. Composants dune infrastructure daccs rseau

Une infrastructure daccs rseau est compose de :

Serveurs daccs rseau
Clients daccs rseau
Service dauthentification
Service dannuaire Active Directory

Un serveur daccs rseau est un serveur excutant le service Routage et accs distant de Microsoft.
Celui-ci permet aux utilisateurs distants (tltravailleurs, par exemple) de sauthentifier, puis de se
connecter au rseau comme sils y taient physiquement connects.

Un client daccs rseau permet un utilisateur dutiliser distance toutes les ressources du rseau
auquel il se connecte.

Dans une infrastructure daccs distant utilisant plusieurs serveurs daccs, luniformisation de
lauthentification des clients ncessite un Service dAuthentification Internet (IAS). Ce service utilise
le protocole RADIUS reconnu par un grand nombre de serveurs daccs, matriels et logiciels.

Active Directory stocke les informations dauthentification dun utilisateur ainsi que les proprits
daccs distance ncessaires son authentification. Une fois authentifi, lutilisateur bnficie des
mmes fonctionnalits quActive Directory offre en environnement de rseau local.
9.1.2. Configuration requise pour un serveur daccs rseau

Aprs installation du service Routage et accs distant sur un serveur, lAssistant Installation du serveur
de routage et daccs distant apparat. Les informations suivantes devront tre connues afin de le
remplir correctement :

Le serveur sera-t-il routeur et/ou serveur daccs distant ?
Quelles mthodes dauthentification seront utilises ?
Un client rseau a-t-il accs uniquement ce serveur ou lensemble du rseau ?
Comment les adresses IP (Internet Protocol) doivent-elles tre fournies aux clients ?
Quelles options de configuration PPP (Point-to-Point Protocol) doivent tre utilises ?
Quelle est la politique en matire denregistrement des vnements ?
9.1.3. Quest-ce quun client daccs rseau ?

Il existe trois types de clients daccs rseau :

Un client VPN se connecte au serveur au travers dun rseau public non sr (comme Internet).
Un client daccs distance se connecte au serveur au moyen dun rseau de communication,
tels RTC ou RNIS, pour crer un lien physique un port sur le serveur.
Un client sans fil se connecte sur le serveur en utilisant les technologies infrarouges (IR) ou
radiofrquences (RF).
Implmentation dune infrastructure rseau Microsoft Windows 2003 75 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
9.1.4. Quentend-on par autorisation et authentification de laccs rseau
?

Lauthentification consiste valider des informations fournies par le client lors de la tentative de
connexion (login et mot de passe, par exemple). Ces informations sont transmises par le serveur
daccs un contrleur de domaine pour validation.

Lautorisation consiste vrifier que lutilisateur en question a effectivement le droit de se connecter,
suivant les informations du compte utilisateur et les stratgies daccs distant.
9.1.5. Mthodes dauthentification disponibles
Diffrents protocoles permettent dauthentifier les utilisateurs lors des accs distants avec plus ou
moins de scurit :

PAP
(Password Authentification
Protocol)
Protocole utilisant des logins et des mots de passe en clair.
SPAP
(Shiva Password
Authentification Protocol)
Dpendant du constructeur matriel Shiva. Les mots de passe sont
protgs par un cryptage rversible.
CHAP
(Challenge Handshake
Authentification Protocol)
Aussi connu sous le nom MD5-CHAP, il permet dobtenir un niveau
de cryptage plus lev.
MS-CHAP
(Microsoft Challenge
Handshake
Authentification Protocol)
Protocole dauthentification propritaire Microsoft permettant
dauthentifier les clients utilisant Windows et utilisant le principe de
CHAP. Il supporte le MPPE qui permet de crypter lensemble des
donnes qui transitent entre le serveur et le client. Tous les OS
Microsoft depuis Windows 95 supportent le MS-CHAP.
MS-CHAP v2
(Microsoft Challenge
Handshake
Authentification Protocol
Version 2)
Nouvelle version de MS-CHAP utilisant des cls de cryptage plus
robustes ainsi que lauthentification mutuelle. Les ordinateurs sous
Windows 95 et antrieur ne supportent pas ce protocole
dauthentification (Windows 98 et ultrieur le supportent)
EAP
(Extensible
Authentification Protocol)
Le client et le serveur ngocient la mthode dauthentification qui sera
utilise. Le protocole MD5-CHAP, TLS et des mthodes propritaires
de fournisseurs tiers peuvent tre utiliss. Ce protocole garantit la prise
en charge des futures mthodes dauthentification.
TLS
(Transport Layer Security)
Est utilis principalement avec des systmes dauthentification laide
de cartes puce (SmartCard).
PEAP (Protected
Extensible Authentication
Protocol)
Ce protocole est utilis par les rseaux 802.1x afin de scuriser les
connexions cbles et sans fil.










Implmentation dune infrastructure rseau Microsoft Windows 2003 76 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
9.2. Configuration dune connexion VPN
9.2.1. Fonctionnement dune connexion VPN

Un rseau priv virtuel (VPN) permet un client de se connecter de manire scurise son rseau au
travers dun rseau non scuris (tel Internet). Cette technique mule un mode point point entre les
deux machines et assure la confidentialit des donnes par chiffrement.

Les avantages des tunnels VPN sont :

Rduction des cots. Le rseau VPN nutilise pas de ligne tlphonique ni RNIS et ncessite
un minimum de matriel.
Scurit accrue. Les donnes sont incomprhensibles pour les utilisateurs non autoriss, mais
les utilisateurs autoriss peuvent y accder grce la connexion.
Prise en charge des protocoles rseau. Vous pouvez utiliser distance une application qui
dpend des protocoles rseau les plus rpandus, dont TCP/IP (Transmission Control
Protocol/Internet Protocol).
Scurit des adresses IP. Les informations envoyes sur un rseau priv virtuel tant chiffres,
les adresses que vous spcifiez sont protges et seule ladresse IP externe est visible depuis
Internet. Aucun frais nest li la modification des adresses IP pour laccs distant sur
Internet.
9.2.2. Protocoles de cryptage pour une connexion VPN

Le chiffrement de donnes va permettre de protger les donnes en chiffrant lensemble des donnes
qui vont transiter entre le client et le serveur. Lutilisation des protocoles de chiffrement de donnes
est possible uniquement si le protocole dauthentification est MS-CHAP, MS-CHAP v2 ou TLS.
Deux protocoles de cryptage sont disponibles avec Windows 2003 :

MPPE : MPPE permet de protger les donnes sur une connexion PPTP avec 3 niveaux
dencodage (128 bits, 56 bits et 40 bits).

IPSec : IPSec permet de scuriser les transferts du rseau en cryptant directement les
trames IP.
9.2.3. Configuration requise pour un serveur VPN

Apres linstallation du service Routage et Accs distant, lAssistant Installation de laccs distant et de
routage vous aide configurer votre serveur VPN. Vous devez connatre les lments suivants avant
de vous lancer :

Quelle interface rseau assure la connectivit interne et laquelle assure la connectivit
externe ?
Les clients vont ils recevoir leur adresse IP grce un serveur DHCP ou grce au serveur
VPN ?
Les clients vont-ils tre authentifis par un serveur RADIUS ou par le serveur VPN ?







Implmentation dune infrastructure rseau Microsoft Windows 2003 77 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs


CONNEXION VPN ENTRE 2 CLIENTS


9.3. Configuration dune connexion daccs distance
9.3.1. Comment fonctionne laccs rseau distance ?

Un accs rseau distance est une connexion temporaire un port physique du serveur daccs, via
des technologies daccs distant, telles RTC, RNIS ou X25.

Ltablissement dune connexion distante comprend 4 tapes :

1. Le client appelle le serveur distant.
2. Le serveur rceptionne la requte du client et collecte ses informations dauthentification.
3. Le serveur authentifie et autorise le client.
4. Si la connexion est autorise, le serveur daccs distant fournit au client la connectivit vers le
rseau local auquel il est connect, jouant le rle de passerelle.
9.3.2. Configuration requise pour un serveur daccs distant

Pour configurer un serveur daccs distant, vous devez connatre les informations suivantes :

Les clients vont-ils recevoir leur adresse IP grce un serveur DHCP ou grce au serveur
VPN ?
Les clients vont-ils tre authentifis par un serveur RADIUS ou par le serveur VPN ?
Vrifier que tous les utilisateurs disposent dun compte configur pour autoriser laccs
distance.
9.4. Configuration dune connexion sans fil
9.4.1. Vue densemble de laccs rseau sans fil

Les rseaux sans fil permettent plusieurs priphriques de communiquer entre eux sans connectivit
physique, au moyen dondes lectromagntiques. Ces rseaux sont particulirement intressants pour
crer des rseaux temporaires, publics ou dans des locaux o installer une connectivit filaire serait
trop onreuse ou encombrante.



Implmentation dune infrastructure rseau Microsoft Windows 2003 78 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Un rseau sans fil (WLAN) peut fonctionner selon deux modes diffrents, dfinis par la norme IEEE
802.11x :

Infrastructure. Les clients peuvent communiquer entre eux, ainsi quavec un rseau filaire,
disponible au travers dun point daccs WLAN.
Ad Hoc. Les clients peuvent uniquement communiquer entre eux, sans connectivit filaire.
9.4.2. Normes sans fil

La norme IEEE originale concernant les rseaux WLAN, est la 802.11 (aussi connue sous le nom de
Wi-Fi). Elle dfinit la couche physique (frquences de fonctionnement, types de modulation) ainsi que
la sous-couche MAC du modle OSI.

La norme IEEE 802.11b permet des dbits plus levs que la norme originale (5,5 et 11 Mbit/s). Elle
admet une porte apprciable, mais est sensible aux interfrences. Cest actuellement la norme la plus
rpandue, car la meilleure march.

La norme IEEE 802.11a permet, au prix dune rduction de la porte, daugmenter le dbit maximum
dun WLAN 54Mbit/s. Ce standard a linconvnient de ne pas tre compatible avec les autres
normes IEEE 802.11, car oprant dans une bande de frquences diffrente.

La norme IEEE 802.11g cumule les avantages du 802.11b et du 802.11a : il autorise des dbits allant
jusqu 54 Mbit/s, tout en tant compatible avec le 802.11b et en tant moins sensible aux
interfrences.

La norme IEEE 802.1x dfinit des protocoles dauthentification pour laccs la connectivit sans fil.
Cette norme a t dveloppe dans le but daugmenter la scurit des rseaux WLAN, mais peut tre
implmente sur les rseaux filaires.
9.4.3. Mthodes dauthentification disponibles pour les rseaux sans fil

Le standard 802.11 dfinit la confidentialit des donnes utilisateur sous le terme de Wired
Equivalent Privacy (WEP). Il rgit le type de chiffrement des donnes mais pas la manire dont les
cls sont changes. 802.1x apporte une rponse cette lacune.

Les protocoles dauthentification disponibles dans 802.1x sont :

EAP-TLS : effectue une authentification mutuelle et constitue la solution la plus puissante
dauthentification et de dtermination des cls. EAP-TLS est bas sur des certificats pour le
client et le serveur.
EAP-MS-CHAP v2 : effectue une authentification mutuelle base sur un certificat pour le
serveur et un mot de passe pour le client.
PEAP (Protected EAP) : assure une scurit supplmentaire au protocole EAP en chiffrant
les paquets de ngociation initiaux. TLS et MS-CHAP v2 sont utilisables avec PEAP.









Implmentation dune infrastructure rseau Microsoft Windows 2003 79 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
9.4.4. Configuration requise pour un client Windows XP Professionnel en
vue dun accs rseau sans fil

Windows XP a introduit le service de Configuration Automatique Sans Fil. Ce service inclus dans
Windows 2003 permet lutilisateur de pr-configurer ses rseaux sans fil prfrs sous forme de
liste. Si plusieurs rseaux sans fil sont disponibles, cest le premier apparatre dans la liste qui sera
choisi (une cl WEP peut tre paramtre lavance). Si aucun des rseaux disponibles ne figure dans
la liste, lutilisateur en est inform et peut choisir parmi les rseaux sa disposition.

9.5. Contrle de laccs utilisateur au rseau

9.5.1. Autorisations dappel entrant du compte de lutilisateur

Dans la version Windows 2003 Server, les autorisations de connexion daccs distant sont
dpendantes des stratgies daccs distant. Le service Routage et accs distant et le service
dauthentification Internet y ont recours pour accepter ou refuser les tentatives de connexion. Les
stratgies daccs distant regroupent plusieurs proprits ncessaires lexamen dune tentative de
connexion pour son acceptation ou son refus.
Des autorisations dappel entrant sont disponibles dans la boite de dialogue Proprits dun
utilisateur dans la console Active Directory ou Utilisateurs et groupes locaux . Les proprits
sont les suivantes :

Autorisation daccs distant (Accs distance ou VPN). Cette proprit autorise ou refuse
expressment laccs distant lutilisateur. Cette autorisation peut galement dpendre du fait
quil y ait des rgles de stratgie daccs distant.
Vrifier lidentit de lappelant. Cette proprit vrifie le numro de tlphone de lappelant,
dans le cas dune connexion par modem. Si le numro rel et le numro inscrit dans cette
proprit diffrent, la connexion choue.
Options de rappel (callback). Cette proprit permet un serveur daccs de rappeler le
client ( un numro configur par ladministrateur, ou le client). Fonctionnalit utile pour les
utilisateurs itinrants ayant des besoins de connexions leur structure.
Attribution dune adresse IP statique. Permet dattribuer une adresse IP statique
lutilisateur ds ltablissement de la connexion.
Appliquer les itinraires statiques. Permet le routage la demande. Une route configure ici
sera ajoute la table de routage du serveur une fois le client connect.
9.5.2. Quest-ce quune stratgie daccs distant ?

Une stratgie daccs distant est un ensemble de rgles dfinissant les paramtres respecter pour
quun utilisateur dsign ou membre dun groupe dsign puisse tablir une connexion daccs
distance. Chaque rgle contient une ou plusieurs conditions, une autorisation daccs distant, et un
profil :

Les conditions. Elles peuvent se baser sur ladresse IP ou le numro de tlphone de
lutilisateur, son appartenance un groupe ou lheure de lappel. Les conditions de
lutilisateur sont compares celles du serveur, dans lordre. La premire rgle correspondant
ces paramtres est utilise par le serveur pour valider lappel. Si aucune rgle ne respecte les
conditions de lappel, celui-ci est refus.
Lautorisation. Dfinit si lappel entrant est accept ou refus.
Le profil. Il comprend plusieurs paramtres appliquer la connexion, tels que les protocoles
dauthentification et de cryptage.
Implmentation dune infrastructure rseau Microsoft Windows 2003 80 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
9.5.3. Quest-ce quun profil de stratgie daccs distant ?

Le profil de stratgie daccs distant est un ensemble de paramtres appliquer une connexion, une
fois que celle-ci a t accepte.

Ces paramtres sont :

Contraintes pour les appels entrants. Dfinissent le dlai dattente avant dconnexion, la
dure maximum de la session, les jours, les heures, les numros de tlphone et les types de
supports (RNIS, VPN, etc.) autoriss.
Proprits IP. Configurent lattribution dadresses IP statiques et le filtrage des paquets
TCP/IP. Vous pouvez dfinir des filtres distincts pour les paquets entrants ou sortants.
Liaisons multiples. Permet dagrger plusieurs liaisons physiques sous forme dune seule
liaison logique.
Authentification. Dfinit les protocoles dauthentification utiliser parmi les protocoles
supports par Windows 2003. MS-CHAP et MS-CHAP v2 sont activs par dfaut.
Cryptage. Dtermine les chiffrements requis, permis ou interdits.
Paramtres avancs. Permet dindiquer des paramtres supplmentaires passer au serveur
RADIUS.
9.5.4. Traitement des stratgies daccs distant

Le processus mis en uvre pour accepter les connexions distance commence par la comparaison des
conditions de la stratgie daccs distance avec celle de la tentative de connexion courante. La
premire stratgie dont les conditions correspondent est utilise pour dterminer laccs.
Si aucune stratgie ne correspond, laccs est refus.
Ensuite, le serveur vrifie si lutilisateur est, de manire explicite, autoris ou non se connecter (ce
paramtre se trouve dans son compte utilisateur) ou si cette tche est laisse lapprciation de la
stratgie daccs distant.
Enfin, le service Routage et accs distant applique le profil de la stratgie la connexion entrante.

9.6. Centralisation de lauthentification de laccs rseau et
de la gestion des stratgies en utilisant IAS

9.6.1. Que signifie RADIUS ?

RADIUS (Remote Authentication Dial-In User Service) est un protocole trs rpandu destin
lauthentification, lautorisation et la comptabilisation centralise de laccs rseau. Il repose sur le
modle client/serveur et peut valider des connexions daccs distance, VPN ou sans fil.
9.6.2. Que signifie IAS ?

Le service IAS (Internet Authentification Service) est limplmentation du serveur RADIUS
incluse dans Windows 2003. Il permet une gestion centralise des autorisations daccs au rseau,
lintgration totale avec lenvironnement Windows 2003, et la compatibilit avec tous les
priphriques daccs compatibles RADIUS.



Implmentation dune infrastructure rseau Microsoft Windows 2003 81 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
9.6.3. Fonctionnement de lauthentification centralise

La procdure de connexion au rseau faisant appel un serveur dauthentification RADIUS se droule
comme suit :

Un utilisateur se connecte un serveur daccs rseau (excutant le service Routage et accs
distant) en utilisant une connexion daccs distance, VPN ou sans fil.
Le serveur daccs rseau transfre la demande dautorisation un serveur RADIUS (IAS), le
serveur daccs se comporte alors comme un client RADIUS.
Le serveur RADIUS (IAS) fait appel un contrleur de domaine pour accder aux
informations dauthentification de lutilisateur. Le serveur vrifie les informations
dauthentification de laccs distance.
Si les informations didentification de lutilisateur sont authentifies, le serveur IAS examine
la tentative de connexion par rapport aux stratgies daccs distant configures localement. Le
traitement des stratgies se comporte comme sil tait fait par un service Routage et accs
distance. Si la demande de connexion correspond une stratgie autorise, le serveur IAS
rpond un message dacceptation au serveur daccs rseau, et un message de rejet dans le
cas contraire.

Implmentation dune infrastructure rseau Microsoft Windows 2003 82 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
10. Gestion et analyse de laccs rseau

10.1. Gestion des services daccs rseau

10.1.1. Instructions relatives la gestion des services daccs rseau

Parfois, il est invitable de devoir arrter le serveur daccs distant. Pour cela, il faut respecter les
points suivant pour minimiser limpact de cet arrt :

Prvoir un serveur de remplacement
Planifier larrt du serveur au moment o il y a le moins dactivit.
Prvenir les utilisateurs du rseau dune perturbation possible du service.
Dconnecter les ventuels clients du service.

10.2. Configuration de lenregistrement sur un serveur
daccs rseau

10.2.1. Types denregistrements du service Routage et accs distant

Un serveur excutant le service routage et accs distant prend en charge trois types denregistrements :

- lenregistrement des vnements : Permet denregistrer dans le journal dvnements
systme les erreurs et les avertissements. Une fois lenregistrement des vnements activ,
lordinateur crer des fichiers journaux dans %systemroot%\Tracing.

- lenregistrement de lauthentification locale et de la gestion des comptes : Surveille et
enregistre les tentatives de connexion avec la stratgie qui a accepte ou refuse
lauthentification.

- lenregistrement de lauthentification et de la gestion des comptes RADIUS : Ce type
denregistrement est utilis par le service daccs distant pour faire le suivi des
connexions.

10.2.2. Enregistrement de lauthentification et de la gestion des comptes

Ce type de processus enregistre les informations dtailles sur les requtes de connexion au service
daccs distant. Ce type dinformation est utile pour :

Effectuer un suivi de lutilisation et des tentatives de connexions pour laccs distant.
Conserver les enregistrements afin dtablir des facturations.
Localiser un problme quelconque.



Implmentation dune infrastructure rseau Microsoft Windows 2003 83 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs

Il est possible de spcifier les lments ci-dessous lors de la configuration de lenregistrement :

les requtes enregistrer
le format du fichier journal
la frquence de cration de nouveaux journaux
la dtection automatique du journal le plus ancien lorsque le disque est plein
lemplacement des fichiers journaux (par dfaut : %systemroot%\System32\LogFiles)
les informations contenues dans les enregistrements du fichier journal.

Par dfaut, les types denregistrement de requtes sont dsactivs.

10.2.3. Fichiers journaux pour des connexions spcifiques

Il existe dautres fonctions denregistrements dinformations lies au fonctionnement du service
daccs distant :

- PPP : journal PPP, recense les informations lies au fonctionnement PPP (srie de
fonctions et messages de contrle)

- L2TP/IPSec :

Journal daudit, accessible depuis la console observateur dvnements, il
enregistre les vnements lis la scurit IPSec.

Journal Oakley : recense les dtails sur le processus dassociation de scurit.
Ce journal doit tre activ dans le registre (mettre 1 la cl de registre
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgen
t\Oakley\EnableLogging) .Ce journal est stock dans %systemroot%\Debug.

10.3. Collecte et analyse des donnes daccs rseau

10.3.1. Pourquoi collecter des donnes de performance ?

Pour maintenir un niveau correct de fonctionnement, il est ncessaire danalyser les performances du
systme en valuant la charge de travail sur le serveur et en observant ces changements et ces
tendances. Cette collecte dinformations apporte un support pour prvoir les futures volutions, permet
danticiper des dfaillances et fait ressortir les diffrences lors de modifications de configurations ou
de rglages.











Implmentation dune infrastructure rseau Microsoft Windows 2003 84 / 84

hffp://WWW.1aboafo1e-m1cosoff.og
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
10.3.2. Outils de collecte des donnes daccs rseau

Windows Server 2003 inclut les outils permettant la collecte de ses donnes afin de prvoir et
identifier les problmes lis aux accs rseaux.



Moniteur systme
Cet outil permet dafficher les donnes des performances des composants slectionns en temps rel.

Journaux et alertes de performances
Cet outil permet de faire des captures de donnes dans des fichiers pendant une priode. Vous pouvez
dfinir des alertes permettant de dclencher un envoi de message, le dmarrage de programme ou
lexcution de script, etc

Moniteur sans fil
Le service Configuration sans fil enregistre des informations dans le Moniteur sans fil.
Vous pouvez utiliser les informations du journal pour isoler les problmes que vous rencontrez avec
votre service sans fil.