6734A-TrainerManual_01

Liste de préparation de l'instructeur au cours 6734A : Mise à jour de vos compétences en matière d'infrastructure réseau et de technologie Active Directory® dans Windows Server® 2008

Liste de préparation de l'instructeur au cours 6734A : Mise à jour de vos compétences en matière… 1

Cours ou ateliers Nous vous conseillons vivement d'assister aux cours ou aux ateliers suivants :

• 5934 : E-Learning - Introducing Microsoft Windows Server® 2008 (Beta 3) (en anglais)

• 5936 : E-Learning - Introducing Security and Policy Management in Microsoft Windows Server® 2008 (Beta 3) (en anglais)

• 6404 : First Look: Getting Started with High Availability in Windows Server® 2008 (en anglais)

• 6410 : First Look: Getting Started with Server Virtualization in Windows Server® 2008 (en anglais)

• 6734A : Mise à jour de vos compétences en matière d'infrastructure réseau et de technologie Active Directory® dans Windows Server® 2008

• 6735A : Mise à jour de vos compétences en matière d'infrastructure d'applications dans Windows Server® 2008

Examens Pour évaluer vos compétences techniques par rapport au contenu de ce cours pratique, nous vous recommandons vivement d'être reçu aux examens suivants :

• Examen 70-297 : Conception d'une infrastructure réseau et Active Directory avec Microsoft Windows Server 2003

• Examen 70-291 : Mise en oeuvre, administration et maintenance d'une infrastructure réseau Microsoft Windows Server 2003

• Examen 70-290 : Administration et maintenance d'un environnement Microsoft Windows Server 2003

• Examen 70-293 : Planification et maintenance d'une infrastructure réseau Microsoft Windows Server 2003

• Examen 70-294 : Planification, mise en oeuvre et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

2 Liste de préparation de l'instructeur au cours 6734A : Mise à jour de vos compétences en matière…

Préparation technique Nous vous conseillons vivement de réaliser les étapes suivantes de préparation technique :

• Exercez-vous à utiliser les produits et les outils Microsoft associés à ce cours. • Exercez-vous à mettre en place la classe en vous conformant aux instructions

du guide de configuration de la classe avec Microsoft Virtual Server ou le Guide de création d’ordinateurs virtuels.

• Prenez connaissance des dernières informations sur le site Web de Microsoft Windows Server 2008 à l'adresse http://www.microsoft.com/france/windowsserver2008/default.mspx.

Liste de préparation de l'instructeur au cours 6734A : Mise à jour de vos compétences en matière… 3

Préparation pédagogique Nous vous conseillons vivement de réaliser également les étapes suivantes de préparation pédagogique :

Activités de préparation

....... Lisez le module d'introduction au début du cours 6734A : Mise à jour de vos compétences en matière d'infrastructure réseau et de technologie Active Directory® dans Windows Server® 2008.

....... Lisez les notes de l'instructeur.

....... Exercez-vous à présenter chaque démonstration.

....... Exercez-vous à présenter chaque session.

....... Anticipez les questions des stagiaires.

....... Déterminez les points clés pour chaque section et chaque démonstration.

....... Identifiez dans quelle mesure chaque démonstration vient compléter les sections de la session et renforcer ses objectifs.

....... Identifiez les exemples, analogies, démonstrations et conseils pédagogiques supplémentaires pouvant aider à clarifier les sujets traités dans les modules.

....... Notez tous les problèmes éventuellement rencontrés au cours d'une démonstration et réfléchissez à une stratégie pour les résoudre en classe.

....... Imaginez des moyens d'améliorer une démonstration en fonction d'un public spécifique afin de rendre la formation plus efficace.

....... Personnalisez et imprimez vos Notes de l'instructeur.

....... Consultez le Centre de la communauté MCT afin d'obtenir des conseils supplémentaires et des stratégies d'enseignement de ce cours pratique, publiés par vos collègues MCT.

....... Consultez les informations mises à jour relatives au Programme de certification Microsoft sur le site Web Formation et Certification Microsoft.

6734A : Mise à jour de vos compétences en matière d'infrastructure réseau et de technologie Active Directory® dans Windows Server® 2008

Les informations contenues dans ce document, y compris les références à des adresses URL et à d'autres sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et événements réels est purement fortuite et involontaire. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre) sans la permission expresse et écrite de Microsoft Corporation.

Les noms de fabricants, de produits ou les URL sont fournis uniquement à titre indicatif et Microsoft ne fait aucune déclaration et exclut toute garantie légale, expresse ou implicite, concernant ces fabricants ou l'utilisation des produits avec toutes les technologies Microsoft. L'inclusion d'un fabricant ou d'un produit n'implique pas l'approbation par Microsoft du fabricant ou du produit. Des liens vers des sites Web tiers sont fournis. Ces sites ne sont pas sous le contrôle de Microsoft et Microsoft n'est pas responsable de leur contenu ni des liens qu'ils sont susceptibles de contenir, ni des modifications ou mises à jour de ces sites. Microsoft n'est pas responsable du Webcasting ou de toute autre forme de transmission reçue d'un site connexe. Microsoft fournit ces liens dans un but pratique et l'insertion de n'importe quel lien n'implique pas l'approbation du site en question ou des produits qu'il contient par Microsoft.

Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.

© 2008 Microsoft Corporation. Tous droits réservés.

Microsoft, Microsoft Press, Active Directory, ActiveSync, ActiveX, BitLocker, BizTalk, ForeFront, Hyper-V, Internet Explorer, MSDN, Outlook, PowerPoint, SharePoint, SQL Server, Visual Studio, Windows, Windows Media, Windows Mobile, Windows NT, Windows PowerShell, Windows Server, Windows Vista et WinFX sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.

Les noms de sociétés et de produits réels mentionnés dans le présent document sont des marques de leurs propriétaires respectifs.

Numéro de produit : 6734AT

Réf. n° : X15-01056

Édité le : 08/2008

TERMES DU CONTRAT DE LICENCE MICROSOFT PRODUITS OFFICIELS DE FORMATION MICROSOFT – ÉDITION INSTRUCTEUR – Versions précommerciales et finales Les présents termes ont valeur de contrat entre Microsoft Corporation et vous. Lisez-les attentivement. Ils portent sur le Contenu sous licence visé ci-dessus, y compris le support sur lequel vous l’avez reçu, le cas échéant. Ce contrat porte également sur les produits Microsoft suivants :

• les mises à jour,

• les suppléments,

• les services Internet et

• les services d’assistance

de ce Contenu sous licence à moins que d’autres termes n’accompagnent ces produits, auquel cas ces derniers prévalent.

En utilisant le Contenu sous licence, vous acceptez ces termes. Si vous êtes en désaccord avec ces termes, n’utilisez pas le Contenu sous licence.

Si vous vous conformez aux présents termes du contrat de licence, vous disposez des droits stipulés ci-dessous.

1. DÉFINITIONS.

a. La « Documentation de formation » signifie la documentation imprimée ou sous forme électronique, comme les manuels, cahiers d’exercice, livres blancs, communiqués de presse, feuilles de données et forums aux questions, qui peut être incluse dans le Contenu sous licence.

b. Un « Centre de formation agréé » signifie un centre partenaire Microsoft Certified Partner approuvé MLSC (Microsoft Learning Solutions Competency), un centre IT Academy, ou toute autre entité désignée occasionnellement par Microsoft.

c. Une « Session de formation agréée » signifie une session de formation agréée par Microsoft et organisée dans ou par un Centre d’apprentissage agréé, dirigée par un formateur qui dispense une formation à des Stagiaires exclusivement sur les Produits officiels de formation Microsoft (« Official Microsoft Learning Products », anciennement appelés cours officiels Microsoft ou MOC, « Microsoft Official Curriculum ») et les produits Microsoft Dynamics (anciennement appelés cours Microsoft Business Solutions). Chaque Session de formation agréée dispensera une formation sur l’objet d’un (1) Cours.

d. Un « Cours » signifie l’un des cours utilisant un Contenu sous licence proposés par un Centre de formation agréé dans le cadre d’une Session de formation agréée, chacune dispensant une formation sur un domaine particulier lié à une technologie Microsoft.

e. Un « Dispositif » signifie un ordinateur, un périphérique, une station de travail, un terminal ou tout autre dispositif électronique numérique ou analogique.

f. Le « Contenu sous licence » signifie les supports qui accompagnent les présents termes du contrat de licence. Le Contenu sous licence peut inclure, notamment, les éléments suivants : (i) Le Contenu du formateur, (ii) le Contenu du stagiaire, (iii) le guide d’installation de la classe et (iv) le Logiciel. Les composants du Contenu sous licence sont différents et distincts pour chaque Cours.

g. Le « Logiciel » signifie les Machines virtuelles et les Disques durs virtuels ou toute autre application logicielle pouvant être incluse dans le Contenu sous licence.

h. Un « Stagiaire » signifie un stagiaire dûment inscrit à une Session de formation agréée dans votre centre.

i. Le « Contenu du stagiaire » signifie les supports de formation accompagnant les présents termes du contrat de licence qui sont utilisés par les Stagiaires et les Formateurs durant une Session de formation agréée. Le Contenu du stagiaire peut inclure des ateliers, des simulations et des fichiers spécifiques à chaque Cours.

j. Un « Formateur » signifie a) une personne dûment certifiée par Microsoft en tant que formateur MCT (Microsoft Certified Trainer) et b) toute autre personne autorisée officiellement par Microsoft et qui a été chargée par un Centre d’apprentissage agréé de dispenser une Session de formation agréée à des Stagiaires pour son compte.

k. Le « Contenu du formateur » signifie les supports de formation accompagnant les présents termes du contrat de licence qui sont utilisés par les Formateurs et les Stagiaires, selon le cas, uniquement durant une Session de formation agréée. Le Contenu du formateur peut inclure les Machines virtuelles, les Disques durs virtuels, les fichiers Microsoft PowerPoint, les notes de l’instructeur ainsi que les guides de démonstration et les fichiers script requis pour chaque Cours.

l. Les « Disques durs virtuels » signifient le Logiciel Microsoft constitué des disques durs virtuels (comme un disque dur virtuel de base ou des disques différents) pour une Machine virtuelle qui peut être chargé sur un seul ordinateur ou tout autre dispositif afin de permettre aux utilisateurs finals d’exécuter plusieurs systèmes d’exploitation simultanément. Dans le cadre du présent contrat de licence, les disques durs virtuels devront être traités en tant que « Contenu du formateur ».

m. La « Machine virtuelle » signifie une expérience informatique virtuelle, obtenue à l’aide du logiciel Microsoft® Virtual PC ou Microsoft® Virtual Server qui se compose d’un environnement matériel virtuel, d’un ou de plusieurs disques durs virtuels ainsi que d’un fichier de configuration définissant les paramètres de l’environnement matériel virtuel (par exemple, la RAM). Dans le cadre du présent contrat de licence, les disques durs virtuels devront être traités en tant que « Contenu du formateur ».

n. Le terme « vous » signifie le Centre de formation agréé ou le Formateur, selon le cas, qui a accepté les présents termes du contrat de licence.

2. PRÉSENTATION.

Contenu sous licence. Le Contenu sous licence inclut le Logiciel, la Documentation de formation (en ligne et sous forme électronique), le Contenu du formateur, le Contenu du stagiaire, le guide d’installation de la classe et les supports associés.

Modèle de licence. Le Contenu sous licence est concédé sous licence en vertu d’une licence par Centre de formation agréé ou par Formateur.

3. INSTALLATION ET DROITS D’UTILISATION.

a. Centres de formation agréés et Formateurs : Pour chaque Session de formation agréée, vous êtes autorisé à :

i. soit installer, sur les Dispositifs de la classe, des copies individuelles du Contenu sous licence correspondant qui seront utilisées uniquement par les Stagiaires dûment inscrits à la Session de formation agréée et par le Formateur dispensant cette formation, sous réserve que le nombre de copies utilisées ne dépasse pas le nombre de Stagiaires inscrits à la Session de formation agréée et le Formateur dispensant cette formation ; SOIT

ii. installer une copie du Contenu sous licence correspondant sur un serveur réseau qui sera accessible uniquement par les Dispositifs de la classe et qui sera utilisée uniquement par les Stagiaires dûment inscrits à la Session de formation agréée et par le Formateur dispensant cette formation, sous réserve que le nombre de Dispositifs qui accèdent au Contenu sous licence sur le serveur ne dépasse pas le nombre de Stagiaires inscrits à la Session de formation agréée et le Formateur dispensant cette formation.

iii. autoriser les Stagiaires dûment inscrits à la Session de formation agréée et le Formateur dispensant cette formation à utiliser le Contenu sous licence que vous installez selon (i) ou (ii) ci-dessus durant une Session de formation agréée, conformément aux présents termes du contrat de licence.

iv. Dissociation de composants. Les composants du Contenu sous licence sont concédés sous licence en tant qu’unité unique. Vous n’êtes pas autorisé à dissocier les composants et à les installer sur différents Dispositifs.

v. Programmes de tiers. Le Contenu sous licence peut également contenir des programmes tiers. L’utilisation de ces programmes tiers sera régie par les présents termes du contrat de licence, à moins que d’autres termes n’accompagnent ces programmes.

b. Formateurs :

i. Les Formateurs sont autorisés à utiliser le Contenu sous licence que vous installez ou qui est installé par un Centre de formation agréé sur un Dispositif de la classe dans le cadre d’une Session de formation agréée.

ii. Les Formateurs sont également autorisés à utiliser une copie du Contenu sous licence, comme indiqué ci-après :

A. Dispositif concédé sous licence. Le Dispositif concédé sous licence est celui sur lequel vous utilisez le Contenu sous licence. Vous êtes autorisé à installer et à utiliser une copie du Contenu sous licence sur le Dispositif sous licence uniquement pour les besoins de votre formation personnelle et pour préparer une Session de formation agréée.

B. Dispositif portable. Vous êtes autorisé à installer une autre copie du Contenu sous licence sur un dispositif portable uniquement pour les besoins de votre formation personnelle et pour préparer une Session de formation agréée.

4. VERSIONS PRÉCOMMERCIALES. Si le Contenu sous licence est une version précommerciale (« version bêta »), les présents termes s’appliquent en plus des termes de ce contrat :

a. Contenu sous licence en version précommerciale. Ce Contenu sous licence est une version précommerciale. Il peut ne pas contenir les mêmes informations et/ou ne pas fonctionner comme une version finale du Contenu sous licence. Nous sommes autorisés à le changer pour la version commerciale finale. Nous sommes également autorisés à ne pas éditer de version commerciale. Vous devez informer clairement et de façon visible les Stagiaires qui participent à chaque Session de formation agréée de ce qui précède ; et vous ou Microsoft n’avez aucune obligation de leur fournir un contenu supplémentaire, notamment, de manière non limitative, la version finale du Contenu sous licence du Cours.

b. Commentaires. Si vous acceptez de faire part à Microsoft de vos commentaires concernant le Contenu sous licence, vous concédez à Microsoft, gratuitement, le droit d’utiliser, de partager et de commercialiser vos commentaires de quelque manière et à quelque fin que ce soit. Vous concédez également à des tiers, gratuitement, les droits de brevet nécessaires pour que leurs produits, technologies et services puissent être utilisés ou servir d’interface avec toute partie spécifique d’un logiciel, Contenu sous licence ou service Microsoft qui inclut ces commentaires. Vous ne fournirez pas de commentaires faisant l’objet d’une licence qui impose à Microsoft de concéder sous licence son logiciel ou sa documentation à des tiers parce que nous y incluons vos commentaires. Ces droits survivent au présent contrat.

c. Informations confidentielles. Le Contenu sous licence, y compris la visionneuse, l’interface utilisateur, les fonctionnalités et la documentation pouvant être incluses dans le Contenu sous licence, est confidentiel et la propriété de Microsoft et de ses fournisseurs.

i. Utilisation. Pendant cinq ans après l’installation du Contenu sous licence ou de sa commercialisation, selon la date la plus proche, vous n’êtes pas autorisé à divulguer des informations confidentielles à des tiers. Vous êtes autorisé à divulguer des informations confidentielles uniquement à vos employés et consultants qui en ont besoin. Vous devez avoir conclu avec eux des accords écrits qui protègent les informations confidentielles au moins autant que le présent contrat.

ii. Maintien en vigueur de certaines clauses. Votre obligation de protection des informations confidentielles survit au présent contrat.

iii. Exclusions. Vous êtes autorisé à divulguer des informations confidentielles conformément à une ordonnance judiciaire ou gouvernementale. Vous devez en informer par avance Microsoft afin de lui permettre de demander une ordonnance protectrice ou de trouver un autre moyen de protéger ces informations. Les informations confidentielles n’incluent pas les informations

• qui ont été portées à la connaissance du public sans qu’il y ait eu violation de l’obligation de confidentialité ;

• que vous avez reçues d’un tiers qui n’a pas violé ses obligations de confidentialité à l’égard de Microsoft ou de ses fournisseurs ; ou

• que vous avez développées en toute indépendance.

d. Durée. Le présent contrat pour les versions précommerciales est applicable jusqu’à (i) la date d’expiration qui vous est communiquée par Microsoft pour l’utilisation de la version bêta, ou (ii) la commercialisation du Contenu sous licence, selon la date la plus proche (la « durée de la bêta »).

e. Utilisation. Dès l’expiration ou la résiliation de la durée de la bêta, vous devrez cesser d’utiliser les copies de la version bêta et détruire toutes les copies en votre possession ou sous votre contrôle et/ou en possession ou sous le contrôle d’un Instructeur qui a reçu des copies de la version précommerciale.

f. Copies. Microsoft informera les Centres de formation agréés s’ils sont autorisés à effectuer des copies de la version bêta (version imprimée et/ou sur CD) et à les distribuer aux Stagiaires et/ou Instructeurs. Si Microsoft autorise cette distribution, vous devrez vous conformer aux termes supplémentaires fournis par Microsoft concernant lesdites copies et distribution.

5. CONDITIONS DE LICENCE ET/OU DROITS D’UTILISATION SUPPLÉMENTAIRES.

a. Centres de formation agréés et Formateurs :

i. Logiciel.

Disques durs virtuels. Le Contenu sous licence peut inclure des versions de Microsoft XP, Microsoft Windows Vista, Windows Server 2003, Windows Server 2008 et Windows 2000 Advanced Server et/ou d’autres produits Microsoft qui sont fournis dans les Disques durs virtuels.

A. Si les Disques durs virtuels et les ateliers sont lancés avec le lanceur d’ateliers Microsoft Learning Lab Launcher, ces termes s’appliquent :

Logiciel temporaire. Si le Logiciel n’est pas réinitialisé, il cessera de fonctionner à l’issue de la durée indiquée lors de l’installation de Machines virtuelles (entre trente et cinq cents jours après son installation). Vous ne recevrez pas de notification avant l’arrêt du logiciel. Une fois que le logiciel ne fonctionnera plus, vous risquez de ne plus pouvoir accéder aux données utilisées ou aux informations enregistrées avec les Machines virtuelles et de devoir rétablir l’état d’origine de ces Machines virtuelles. Vous devez supprimer le Logiciel des Dispositifs à la fin de chaque Session de formation agréée, et le réinstaller et le lancer avant le début de chaque nouvelle Session de formation agréée.

B. Si les Disques durs virtuels nécessitent une clé de produit pour être lancés, ces termes s’appliquent :

Microsoft désactivera le système d’exploitation associé à chaque Disque dur virtuel. Pour installer un Disque dur virtuel sur des Dispositifs de la classe dans le cadre d’une Session de formation agréée, vous devrez au préalable activer le système d’exploitation du Disque dur virtuel en utilisant la clé de produit correspondante fournie par Microsoft.

C. Ces termes s’appliquent à l’ensemble des Machines virtuelles et des Disques durs virtuels :

Vous êtes autorisé à utiliser les Machines virtuelles et les Disques durs virtuels uniquement si vous vous conformez aux termes et conditions du présent contrat de licence ainsi qu’aux conditions de sécurité suivantes :

o Vous ne pouvez pas installer des Machines virtuelles et des Disques durs virtuels sur des Dispositifs portables ou des Dispositifs qui sont accessibles via d’autres réseaux.

o Vous devez supprimer les Machines virtuelles et les Disques durs virtuels des Dispositifs de la classe à la fin de chacune des Sessions de formation agréées, à l’exception de celles dispensées dans les centres Microsoft Certified Partner approuvés MLSC.

o Vous devez supprimer les différentes portions de disque des Disques durs virtuels de tous les Dispositifs de la classe à la fin de chaque Session de formation agréée dispensée dans les centres Microsoft Certified Partner approuvés MLSC.

o Vous devez vous assurer que les Machines virtuelles et les Disques durs virtuels ne sont pas copiés ou téléchargés à partir de Dispositifs sur lesquels ils ont été installés.

o Vous devez respecter strictement toutes les instructions Microsoft relatives à l’installation, à l’utilisation, à l’activation et la désactivation, et à la sécurité des Machines virtuelles et des Disques durs virtuels.

o Vous n’êtes pas autorisé à modifier les Machines virtuelles et les Disques durs virtuels ou le contenu y figurant.

o Vous n’êtes pas autorisé à reproduire ou à redistribuer les Machines virtuelles ou les Disques durs virtuels.

ii. Guide d’installation de la classe. Vous devez vous assurer que le Contenu sous licence qui sera utilisé durant une Session de formation agréée est installé conformément au guide d’installation de la classe associé au Cours.

iii. Éléments multimédias et modèles. Vous pouvez autoriser les Formateurs et les Stagiaires à utiliser des photographies, images clip art, animations, sons, musiques, formes, clips vidéo et modèles inclus avec le Contenu sous licence uniquement dans le cadre d’une Session de formation agréée. Les Formateurs qui possèdent leur propre copie du Contenu sous licence sont autorisés à se servir des éléments multimédias aux seules fins de leur formation personnelle.

iv. Logiciel d’évaluation. Tout Logiciel inclus dans le Contenu du stagiaire et désigné comme « Logiciel d’évaluation » peut être utilisé par les Stagiaires uniquement pour les besoins de leur formation personnelle en dehors de la Session de formation agréée.

b. Formateurs uniquement :

i. Utilisation des modèles de diapositives PowerPoint. Le Contenu du formateur peut comprendre des diapositives Microsoft PowerPoint. Le Formateur est autorisé à utiliser, copier et modifier les diapositives PowerPoint dans le seul but de dispenser une Session de formation agréée. Si vous choisissez d’exercer les droits précités, vous vous engagez ou vous garantissez que le Formateur s’engage : (a) à ce que la modification des diapositives ne constitue pas la création d’œuvres obscènes ou diffamatoires, telles qu’elles sont définies par la législation fédérale au moment de leur création ; et (b) à respecter l’ensemble des termes et conditions du présent contrat de licence.

ii. Utilisation des Composants de formation inclus dans le Contenu du formateur. Pour chaque Session de formation agréée, les Formateurs sont autorisés à personnaliser et à reproduire, conformément aux termes du contrat MCT, les composants du Contenu sous licence qui sont associés logiquement à la Session de formation agréée. Si vous choisissez d’exercer les droits précités, vous vous engagez ou vous garantissez que le Formateur s’engage : (a) à ce que les personnalisations ou les reproductions ne soient utilisées qu’aux seules fins de dispenser une Session de formation agréée et (b) à respecter l’ensemble des termes et conditions du présent contrat de licence.

iii. Documentation de formation. Si le Contenu sous licence inclut une Documentation de formation, vous êtes autorisé à copier et à utiliser cette Documentation. Vous n’êtes pas autorisé à modifier la Documentation de formation ni à imprimer un ouvrage (version électronique ou imprimée) dans son intégralité. Si vous reproduisez une Documentation de formation, vous acceptez ces termes :

• Vous pouvez utiliser la Documentation de formation aux seules fins de votre utilisation ou formation personnelle.

• Vous ne pouvez pas rééditer ni publier la Documentation de formation sur un ordinateur du réseau, ni la diffuser sur un support.

• Vous devez ajouter la mention de droits d’auteur d’origine de la Documentation de formation ou celle de Microsoft sous la forme ci-dessous :

Forme de mention :

© 2008 Réimprimé avec l’autorisation de Microsoft Corporation pour usage personnel uniquement. Tous droits réservés.

Microsoft, Windows et Windows Server sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation aux États-Unis d’Amérique et/ou dans d’autres pays. Les autres noms de produits et de sociétés mentionnés dans les présentes sont des marques de leurs propriétaires respectifs.

6. Services INTERNET. Microsoft peut fournir des services Internet avec le Contenu sous licence. Ils peuvent être modifiés ou interrompus à tout moment. Vous n’êtes pas autorisé à utiliser ces services de quelque manière que ce soit qui pourrait leur porter atteinte ou perturber leur utilisation par un autre utilisateur. Vous n’êtes pas autorisé à tenter d’accéder de façon non autorisée aux services, données, comptes ou réseaux de toute autre manière.

7. PORTEE DE LA LICENCE. Le Contenu sous licence n’est pas vendu, mais concédé sous licence. Le présent contrat vous confère certains droits d’utilisation du Contenu sous licence. Microsoft se réserve tous les autres droits. Sauf si la loi en vigueur vous confère d’autres droits, nonobstant la présente limitation, vous n’êtes autorisé à utiliser le Contenu sous licence qu’en conformité avec les termes du présent contrat. À cette fin, vous devez vous conformer aux restrictions techniques contenues dans le Contenu sous licence qui vous permettent de l’utiliser d’une certaine façon. Vous n’êtes pas autorisé à :

• installer, sur des Dispositifs de la classe, plus de copies du Contenu sous licence que le nombre de Stagiaires plus le Formateur présents dans la Session de formation agréée ;

• permettre l’accès au Contenu sous licence sur le serveur réseau, le cas échéant, par davantage de Dispositifs de la classe que le nombre de Stagiaires dûment inscrits à la Session de formation agréée plus le Formateur dispensant cette formation.

• copier ou reproduire le Contenu sous licence sur un autre serveur ou site en vue d’une nouvelle reproduction ou redistribution ;

• révéler à des tiers les résultats des tests d’évaluation du Contenu sous licence sans l’accord écrit préalable de Microsoft ;

• contourner les restrictions techniques figurant dans le Contenu sous licence ;

• reconstituer la logique du Contenu sous licence, le décompiler ou le désassembler, sauf dans la mesure où ces opérations seraient expressément permises par la réglementation applicable nonobstant la présente limitation ;

• effectuer plus de copies du Contenu sous licence que ce qui n’est autorisé dans le présent contrat ou par la réglementation applicable, nonobstant la présente limitation ;

• publier le Contenu sous licence en vue d’une reproduction par autrui ;

• transférer le Contenu sous licence, en totalité ou en partie, à un tiers ;

• accéder ou utiliser un Contenu sous licence pour lequel vous (i) ne dispensez pas de Cours et/ou (ii) n’avez pas obtenu l’autorisation de Microsoft ;

• louer ou prêter le Contenu sous licence ; ou

• utiliser le Contenu sous licence pour des services d’hébergement commercial ou pour des besoins d’ordre général.

• Les droits d’accès au logiciel serveur pouvant être inclus avec le Contenu sous licence, y compris les Disques durs virtuels, ne vous autorisent pas à exploiter des brevets appartenant à Microsoft ou tous autres droits de propriété intellectuelle de Microsoft sur le logiciel ou tous dispositifs qui peuvent accéder au serveur.

8. RESTRICTIONS À L’EXPORTATION. Le Contenu sous licence est soumis à la réglementation américaine en matière d’exportation. Vous devez vous conformer à toutes les réglementations nationales et internationales en matière d’exportation concernant le logiciel. Ces réglementations comprennent des restrictions sur les pays destinataires, les utilisateurs finaux et les utilisations finales. Des informations supplémentaires sont disponibles sur le site Internet www.microsoft.com/exporting.

9. LOGICIEL/CONTENU SOUS LICENCE EN REVENTE INTERDITE (« NOT FOR RESALE » OU « NFR »). Vous n’êtes pas autorisé à vendre un logiciel ou un Contenu sous licence portant la mention de revente interdite (« Not for Resale » ou « NFR »).

10. VERSION ÉDUCATION. Pour utiliser un Contenu sous licence portant la mention de Version Éducation (« Academic Edition » ou « AE »), vous devez avoir la qualité d’« Utilisateur Éducation Autorisé » (Qualified Educational User). Pour savoir si vous avez cette qualité, rendez-vous sur le site http://www.microsoft.com/france/licences/education ou contactez l’affilié Microsoft qui dessert votre pays.

11. RÉSILIATION. Sans préjudice de tous autres droits, Microsoft pourra résilier le présent contrat de licence si vous n’en respectez pas les termes et conditions. Si votre statut de Centre de formation agréé ou de Formateur a) expire, b) est volontairement résilié par vous-même et/ou c) est résilié par Microsoft, ce contrat expirera automatiquement. Après résiliation du présent contrat, vous devrez détruire tous les exemplaires du Contenu sous licence et tous ses composants.

12. INTÉGRALITÉ DES ACCORDS. Le présent contrat ainsi que les termes concernant les suppléments, les mises à jour, les services Internet et d’assistance technique que vous utilisez constituent l’intégralité des accords en ce qui concerne le Contenu sous licence et les services d’assistance technique.

13. DROIT APPLICABLE.

a. États-Unis. Si vous avez acquis le Contenu sous licence aux États-Unis, les lois de l’État de Washington, États-Unis d’Amérique, régissent l’interprétation de ce contrat et s’appliquent en cas de réclamation pour rupture dudit contrat, sans donner d’effet aux dispositions régissant les conflits de lois. Les lois du pays dans lequel vous vivez régissent toutes les autres réclamations, notamment les réclamations fondées sur les lois fédérales en matière de protection des consommateurs, de concurrence déloyale et de délits.

b. En dehors des États-Unis. Si vous avez acquis le Contenu sous licence dans un autre pays, les lois de ce pays s’appliquent.

14. EFFET JURIDIQUE. Le présent contrat décrit certains droits légaux. Vous pouvez bénéficier d’autres droits prévus par les lois de votre État ou pays. Vous pouvez également bénéficier de certains droits à l’égard de la partie auprès de laquelle vous avez acquis le Contrat sous licence. Le présent contrat ne modifie pas les droits que vous confèrent les lois de votre État ou pays si celles-ci ne le permettent pas.

15. EXCLUSIONS DE GARANTIE. Le Contenu sous licence est concédé sous licence « en l’état ». Vous assumez tous les risques liés à son utilisation. Microsoft n’accorde aucune garantie ou condition expresse. Vous pouvez bénéficier de droits des consommateurs supplémentaires dans le cadre du droit local, que ce contrat ne peut modifier. Lorsque cela est autorisé par le droit local, Microsoft exclut les garanties implicites de qualité, d’adéquation à un usage particulier et d’absence de contrefaçon.

16. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR DE MICROSOFT ET DE SES FOURNISSEURS UNE INDEMNISATION EN CAS DE DOMMAGES DIRECTS LIMITÉE À 5,00 $ U.S. VOUS NE POUVEZ PRÉTENDRE À AUCUNE INDEMNISATION POUR LES AUTRES DOMMAGES, Y COMPRIS LES DOMMAGES INDIRECTS, DE PERTES DE BÉNÉFICES, SPÉCIAUX OU ACCESSOIRES.

Cette limitation concerne :

• toute affaire liée au Contenu sous licence, au logiciel, aux services ou au contenu (y compris le code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et

• les réclamations pour rupture de contrat ou violation de garantie, les réclamations en cas de responsabilité sans faute, de négligence ou autre délit dans la limite autorisée par la loi en vigueur.

Elle s’applique également même si Microsoft connaissait l'éventualité d'un tel dommage. La limitation ou exclusion ci-dessus peut également ne pas vous être applicable, car votre pays n’autorise pas l’exclusion ou la limitation de responsabilité pour les dommages indirects, accessoires ou de quelque nature que ce soit.

6734A : Mise à jour de vos compétences en matière d'infrastructure réseau et de… xiii

Table des matières Introduction Introduction ........................................................................................................................................ i Documents de cours......................................................................................................................... ii Types de produits de formation Microsoft ....................................................................................... iv Types de produits de formation Microsoft (suite) ............................................................................ vi Formation Microsoft ........................................................................................................................ vii Programme MCP........................................................................................................................... viii Logistique ....................................................................................................................................... xii À propos de ce cours..................................................................................................................... xiii Connaissances préalables ............................................................................................................. xv Plan du cours................................................................................................................................. xvi Plan du cours (suite).....................................................................................................................xviii Environnement de l'ordinateur virtuel ............................................................................................. xx Démonstration : Utilisation de Microsoft Virtual Server ................................................................ xxii

Module 1 : Installation et configuration de Windows Server 2008 Vue d'ensemble du module .......................................................................................................... 1-1 Leçon 1 : Rôles du Gestionnaire de serveur ................................................................................ 1-2 Leçon 2 : Fonctionnalités de Windows Server 2008 .................................................................. 1-19 Leçon 3 : Améliorations apportées à Active Directory................................................................ 1-33 Atelier pratique 1 : Configuration de Windows Server 2008 ...................................................... 1-44

Module 2 : Services de déploiement Windows Vue d'ensemble du module .......................................................................................................... 2-1 Leçon 1 : Présentation des services de déploiement Windows ................................................... 2-2 Leçon 2 : Composants des services WDS ................................................................................. 2-10 Atelier pratique 1 : Utilisation des services de déploiement Windows ....................................... 2-20

Module 3 : Installation minimale de Windows Server 2008 Vue d'ensemble du module .......................................................................................................... 3-1 Leçon 1 : Présentation de l'installation minimale de Windows Server ......................................... 3-2 Leçon 2 : Configuration et gestion d'une installation minimale .................................................. 3-10 Atelier pratique 1 : Installation minimale..................................................................................... 3-29

Module 4 : Sauvegarde Windows Vue d'ensemble du module .......................................................................................................... 4-1 Leçon 1 : Infrastructure de sauvegarde........................................................................................ 4-2 Leçon 2 : Supports optiques....................................................................................................... 4-14 Leçon 3 : Utilitaires de restauration............................................................................................ 4-22 Atelier pratique 1 : Sauvegarde et restauration des données système...................................... 4-25

xiv 6734A : Mise à jour de vos compétences en matière d'infrastructure réseau et de…

Module 5 : Mises à jour de Windows Server 2008 en matière de réseau Vue d'ensemble du module .......................................................................................................... 5-1 Leçon 1 : Réseaux et Windows Server 2008 ............................................................................... 5-2 Leçon 2 : Nouvelles fonctionnalités réseau................................................................................ 5-13 Leçon 3 : Service DNS et Windows Server 2008....................................................................... 5-27 Leçon 4 : Configuration du routage ............................................................................................ 5-37 Leçon 5 : Configuration de paramètres sans fil dans Windows Server 2008 ............................ 5-53 Atelier pratique 1 : Examen des valeurs et paramètres réseau par défaut................................ 5-63 Discussion relative à l'atelier pratique ........................................................................................ 5-68 Atelier pratique 2 : Paramètres de gestion DNS ........................................................................ 5-69

Module 6 : Stratégies réseau et protection d'accès réseau Vue d'ensemble du module .......................................................................................................... 6-1 Leçon 1 : Protection d'accès réseau ............................................................................................ 6-2 Leçon 2 : Options de contrainte de mise en conformité............................................................. 6-14 Leçon 3 : Scénarios de protection d'accès réseau..................................................................... 6-22 Leçon 4 : Routage et accès distant (RRAS)............................................................................... 6-27 Atelier pratique 1 : Configuration de la protection d'accès réseau............................................. 6-39

Module 7 : Hyper-V Vue d'ensemble du module .......................................................................................................... 7-1 Leçon 1 : Présentation d'Hyper-V................................................................................................. 7-2 Leçon 2 : Configuration d'Hyper-V ............................................................................................. 7-37 Atelier pratique 1 : Configuration d'Hyper-V............................................................................... 7-43

Module 8 : Planification des services Active Directory dans Windows Server 2008 Vue d'ensemble du module .......................................................................................................... 8-1 Leçon 1 : Planification du déploiement des services de domaine Active Directory ..................... 8-2 Leçon 2 : Éléments à prendre en compte lors de la mise à niveau ........................................... 8-16 Atelier pratique 1 : Installation d'une forêt Windows Server 2008.............................................. 8-27 Atelier pratique 2 : Installation de Windows Server 2008 dans une forêt existante ................... 8-29

Module 9 : Services de domaine Active Directory Vue d'ensemble du module .......................................................................................................... 9-1 Leçon 1 : Nouveautés des services de domaine Active Directory ............................................... 9-2 Leçon 2 : Facilité de gestion et fiabilité ........................................................................................ 9-8 Atelier pratique 1 : Exploration des services de domaine Active Directory................................ 9-20

6734A : Mise à jour de vos compétences en matière d'infrastructure réseau et de… xv

Module 10 : Services d'accès et d'identité Active Directory dans Windows Server 2008 Vue d'ensemble du module ........................................................................................................ 10-1 Leçon 1 : Services ADFS (Active Directory Federation Services) ............................................. 10-2 Leçon 2 : Services AD LDS (Active Directory Lightweight Directory Services) ....................... 10-10 Leçon 3 : Services AD RMS (Active Directory Rights Management Services)........................ 10-19 Atelier pratique 1 : Services ADFS (Active Directory Federation Services) ............................. 10-26 Atelier pratique 2 : Services AD RMS (Active Directory Rights Management Services) ......... 10-39

Module 11 : Contrôleurs de domaine en lecture seule Vue d'ensemble du module ........................................................................................................ 11-1 Leçon 1 : Contrôleur de domaine en lecture seule..................................................................... 11-2 Leçon 2 : Fonctionnement d'un contrôleur de domaine en lecture seule................................. 11-14 Atelier pratique 1 : Contrôleurs de domaine en lecture seule .................................................. 11-29

Module 12 : Modifications en matière d'audit des services de domaine Active Directory Vue d'ensemble du module ........................................................................................................ 12-1 Leçon 1 : Nouveautés de l'audit des services de domaine Active Directory.............................. 12-2 Leçon 2 : Mise en œuvre de l'audit des services de domaine Active Directory ......................... 12-6 Atelier pratique 1 : Modifications en matière d'audit des services de domaine Active Directory..................................................................................................... 12-17

Module 13 : PKI d'entreprise et services de certificats Active Directory Vue d'ensemble du module ........................................................................................................ 13-1 Leçon 1 : Autorité de certification ............................................................................................... 13-2 Atelier pratique 1 : Améliorations de PKI dans Windows Vista et Windows Server 2008........ 13-26

Module 14 : Fonctionnalités à haute disponibilité Vue d'ensemble du module ........................................................................................................ 14-1 Leçon 1 : Clustering avec basculement ..................................................................................... 14-2 Leçon 2 : Équilibrage de la charge réseau............................................................................... 14-23 Atelier pratique 1 : Fonctionnalités à haute disponibilité .......................................................... 14-31

Module 15 : Optimisation et analyse des performances Vue d'ensemble du module ........................................................................................................ 15-1 Leçon 1 : Analyseur de fiabilité et de performances Windows................................................... 15-3 Leçon 2 : Gestionnaire de ressources système Microsoft Windows........................................ 15-11 Leçon 3 : Analyse des événements.......................................................................................... 15-30 Atelier pratique 1 : Fonctionnalités d'optimisation et d'analyse des performances.................. 15-35

xvi 6734A : Mise à jour de vos compétences en matière d'infrastructure réseau et de…

Module 16 : Maintenance de logiciel à l'aide de services de mise à jour de Windows Server Vue d'ensemble du module ........................................................................................................ 16-1 Leçon 1 : Présentation des services WSUS............................................................................... 16-2 Leçon 2 : Installation et configuration des services WSUS...................................................... 16-12 Leçon 3 : Gestion des services WSUS .................................................................................... 16-21 Atelier pratique 1 : Maintenance de logiciels à l'aide des services WSUS .............................. 16-36 Évaluation du cours .................................................................................................................. 16-42

Index .............................................................................................................I1-I16

Module 0 : Introduction

Table des matières Introduction i Documents de cours ii Types de produits de formation Microsoft iv Types de produits de formation Microsoft (suite) vi Formation Microsoft vii Programme MCP viii Logistique xii À propos de ce cours xiii Connaissances préalables xv Plan du cours xvi Plan du cours (suite) xviii Environnement de l'ordinateur virtuel xx Démonstration : Utilisation de Microsoft Virtual Server xxii







Version 1.1

Module 0 : Introduction i

Introduction

L'instructeur vous demandera de vous présenter en fournissant les informations de la diapositive aux autres stagiaires de l'atelier.

ii Module 0 : Introduction

Documents de cours

Votre kit de cours contient les documents détaillés ci-dessous :

• Badge nominatif. Écrivez votre nom de chaque côté de la fiche. • Manuel du stagiaire. Le manuel du stagiaire contient les informations traitées

en classe. • CD-ROM du stagiaire. Ce CD-ROM contient une page Web destinée aux stagiaires.

Cette page comporte des liens renvoyant à des ressources ayant un rapport avec ce cours, notamment des lectures complémentaires, les réponses aux discussions, les présentations multimédias et les sites Web se rapportant au cours.

Remarque : Pour ouvrir la page Web, insérez le CD-ROM du stagiaire dans le lecteur, puis double-cliquez sur StartCD.exe dans le répertoire racine du CD-ROM.

• Évaluation du cours. À la fin du cours, vous aurez l'occasion de remplir une fiche d'évaluation en ligne pour émettre vos commentaires sur le cours, le centre de formation et l'instructeur.

Pour adresser d'autres commentaires ou remarques sur le cours, envoyez un message électronique à l'adresse [email protected]. Pour obtenir des informations sur le programme MCP (Microsoft Certification Program), envoyez un message électronique à l'adresse [email protected].

Module 0 : Introduction iii

Conventions des documents Les conventions suivantes sont utilisées dans les documents du cours afin de distinguer les différents éléments de texte :

Convention Utilisation

Gras Représente des commandes, options de commande et éléments de syntaxe qui doivent être tapés tels qu'ils sont présentés. Le style gras est également utilisé pour les commandes des menus et des boutons, les titres et les options des boîtes de dialogue, ainsi que les noms des icônes et des menus.

Italique Dans les syntaxes ou le texte descriptif, représente les noms d'argument ou les espaces réservés aux variables. Cette mise en forme est également utilisée pour introduire des termes nouveaux, citer des titres d'ouvrage et mettre en valeur des éléments du texte.

Majuscules initiales Indiquent les noms de domaine, d'utilisateur, d'ordinateur, de répertoire, de dossier et de fichier (sauf lorsqu'il s'agit de noms avec respect de la casse). Sauf indication contraire, vous pouvez taper les noms de répertoire ou de fichier en minuscules dans les boîtes de dialogue ou à l'invite.

MAJUSCULES Indiquent un nom de touche, une séquence de touches ou une combinaison de touches. Par exemple : ALT+espace.

Espacement fixe Représente les exemples de code ou les exemples de texte affichés à l'écran.

[ ] Dans les syntaxes, délimitent les éléments facultatifs. Par exemple, [nom_fichier] dans la syntaxe d'une commande indique que vous pouvez éventuellement spécifier un nom de fichier avec la commande. Tapez uniquement les informations indiquées entre crochets et non les crochets proprement dits.

{ } Dans les syntaxes, délimitent les éléments obligatoires. Tapez uniquement les informations indiquées entre accolades et non les accolades proprement dites.

| Dans les syntaxes, sépare les éléments mutuellement exclusifs d'un choix.

Indique une procédure composée d'étapes séquentielles.

... Dans les syntaxes, indiquent que l'élément précédent peut être répété.

.

.

.

Représente une partie omise dans un exemple de code.

iv Module 0 : Introduction

Types de produits de formation Microsoft

Microsoft propose les formations suivantes, animées par un instructeur. Chaque type de formation s'adresse à un public particulier et requiert un certain niveau d'expérience. Les différents types de produits répondent également à différents styles de formation. Ces types sont les suivants :

• Les cours sont destinés aux informaticiens et développeurs qui découvrent un nouveau produit ou une technologie, et aux personnes expérimentées qui préfèrent suivre une formation dans un environnement de classe traditionnelle. Les cours fournissent un apprentissage adapté et guidé qui associe un cours théorique et des applications pratiques afin de présenter en totalité un produit ou une technologie Microsoft. Ils sont conçus pour répondre aux besoins des stagiaires responsables de la planification, de la conception, de l'implémentation, de la gestion et du support d'une technologie tout au long de son cycle de vie. Ils fournissent des informations détaillées en se basant sur des concepts et des principes, du contenu de référence et des exercices réalisés pendant des ateliers pratiques afin d'assurer le transfert des connaissances. En règle générale, le contenu d'un cours a une large portée et traite des différentes tâches qui incombent à une fonction donnée.

• Les cours sont destinés aux informaticiens et aux développeurs expérimentés pour qui la pratique et l'analyse sont plus adaptées. Ils permettent une mise en pratique des participants par l'utilisation des produits Microsoft dans un environnement de collaboration sécurisé basé sur des scénarios concrets.

Module 0 : Introduction v

• Les cours iWorker (Information Worker) sont des formations basées sur des scénarios qui sont destinées au marché des applications bureautiques. Cette série de cours basés sur des scénarios répond aux besoins en formation sur les applications nécessaires à l'amélioration des performances acquises sur le tas à l'aide de solutions d'entreprise et de productivité (plutôt qu'une formation basée sur les fonctionnalités). L'objectif d'un cours iWorker est d'encourager le transfert de compétences/connaissances dans le contexte de scénarios d'entreprise afin de réaliser les objectifs de l'entreprise en travaillant de façon individuelle ou en collaboration pour trouver des réponses. Les cours iWorker s'adressent aux utilisateurs qui ont une connaissance pratique de la technologie et souhaitent appliquer cette connaissance à des scénarios d'entreprise spécifiques.

vi Module 0 : Introduction

Types de produits de formation Microsoft (suite)

• Les cours pratiques sont destinés aux informaticiens, aux développeurs et aux décideurs techniques. Ils se présentent sous forme de procédures « Comment… » détaillées décrivant les fonctionnalités de technologies ou de produits Microsoft nouveaux ou existants et proposant des démonstrations et des solutions relatives aux produits. Les cours pratiques traitent de la manière dont certaines fonctionnalités permettent de résoudre des problèmes d'entreprise.

• Les cours pratiques First look sont des produits conçus tout spécialement pour fournir du contenu préliminaire ou des informations critiques aux groupes produit ou autres clients internes et qui doivent être communiqués rapidement et largement. Les produits First Look fournissent des informations basées sur les connaissances (et non sur les compétences) à une audience identifiée comme étant des décideurs d'entreprise haut placés.

• Les ateliers pratiques fournissent aux informaticiens et aux développeurs une expérience pratique liée à une technologie ou un produit Microsoft nouveau ou existant. Ils proposent un environnement réel et sécurisé qui permet d'encourager le transfert des connaissances grâce à un apprentissage pratique. Les ateliers pratiques fournis sont entièrement normatifs, de sorte qu'aucun corrigé n'est nécessaire. À part l'introduction, le contexte et les corrigés, les ateliers pratiques ne contiennent que très peu de cours théorique ou de texte à lire.

Module 0 : Introduction vii

Formation Microsoft

Microsoft développe des produits officiels de formation Microsoft pour les informaticiens qui conçoivent, développent, assurent le support technique, implémentent ou gèrent des solutions au moyen de produits et de technologies Microsoft. Ces produits offrent une formation complète axée sur l'acquisition de compétences et se déclinent en deux formules : sessions animées par un instructeur ou sessions en ligne.

Produits de formation supplémentaires recommandés Chaque produit de formation se rapporte sur certains points à d'autres produits de formation. Un produit de formation apparenté peut être une connaissance préalable, un cours, un cours pratique ou un cours d'une série, ou bien un produit proposant une formation supplémentaire.

Après avoir suivi ce cours, vous pourrez utiliser le produit de formation suivant :

• 6735A - Mise à jour de vos compétences en matière d'infrastructure d'applications dans Windows Server® 2008 (3 jours)

D'autres produits de formation apparentés pourront être mis ultérieurement à disposition. Pour obtenir des informations à jour concernant les produits de formation, consultez le site Web Microsoft Formation et Certification.

Informations sur les formations Microsoft Pour plus d'informations, consultez le site Web Microsoft Formation et Certification à l'adresse http://www.microsoft.com/france/formation/.

viii Module 0 : Introduction

Programme MCP

Les formations Microsoft proposent diverses certifications pour les développeurs et les informaticiens. Le programme MCP (Microsoft Certification Program) est un programme de certification renommé qui valide votre expérience et vos connaissances pour assurer votre compétitivité sur un marché de l'emploi en pleine évolution.

Certifications MCP Le programme MCP comprend les certifications suivantes.

MCITP

La nouvelle certification MCITP (Microsoft Certified IT Professional) permet aux informaticiens de se prévaloir du titre d'experts dans leur domaine spécifique. Il est possible de passer directement de la certification MCDBA à la nouvelle certification MCITP. Les informaticiens peuvent actuellement bénéficier de trois certifications dans les domaines du développement de bases de données, de l'administration de bases de données et du décisionnel :

• Programme MCITP (Microsoft Certified IT Professional) : Développeur de bases de données

• Programme MCITP (Microsoft Certified IT Professional) : Administrateur de bases de données

• Programme MCITP (Microsoft Certified IT Professional) : Développeur du décisionnel

Module 0 : Introduction ix

MCPD

La certification MCPD (Microsoft Certified Professional Developer) met en avant le rôle des développeurs dans des domaines d'expertise spécifiques. Il est possible de passer directement des certifications MCAD et MCSD pour Microsoft .NET à la nouvelle certification MCPD. Il existe trois certifications MCPD dans le domaine du développement des applications Web, du développement Windows et du développement des applications en entreprise :

• Programme MCPD (Microsoft Certified Professional Developer) : Développeur Web • Programme MCPD (Microsoft Certified Professional Developer) :

Développeur Windows • Programme MCPD (Microsoft Certified Professional Developer) : Développeur

d'applications en entreprise

MCTS

La certification MCTS (Microsoft Certified Technology Specialist) permet aux professionnels de cibler des technologies spécifiques et de s'illustrer en tant qu'experts dans les technologiques qu'ils utilisent dans leur travail. Il existe actuellement cinq certifications MCTS :

• Programme MCTS (Microsoft Certified Technology Specialist) : Applications Web .NET Framework 2.0

• Programme MCTS (Microsoft Certified Technology Specialist) : Applications Windows .NET Framework 2.0

• Programme MCTS (Microsoft Certified Technology Specialist) : Applications distribuées .NET Framework 2.0

• Programme MCTS (Microsoft Certified Technology Specialist) : SQL Server™ 2005 • Programme MCTS (Microsoft Certified Technology Specialist) : BizTalk® Server

MCDST sur Microsoft Windows®

La certification MCDST (Microsoft Certified Desktop Support Technician) est conçue pour les professionnels qui d'une part offrent un support aux utilisateurs finaux et les éduquent, d'autre part résolvent les problèmes liés aux systèmes d'exploitation et aux applications sur les postes de travail qui exécutent un système d'exploitation Windows.

x Module 0 : Introduction

MCSA sur Microsoft Windows Server™ 2003

La certification MCSA (Microsoft Certified Systems Administrator) est destinée aux professionnels qui implémentent, gèrent et résolvent les problèmes des environnements réseau et système existants fondés sur la plateforme Windows Server 2003. Leurs tâches d'implémentation comprennent l'installation et la configuration de portions de systèmes. Leurs tâches de gestion incluent l'administration et le support technique de systèmes.

MCSE sur Microsoft Windows Server 2003

La certification MCSE (Microsoft Certified Systems Engineer) est la principale certification pour les professionnels dont le rôle consiste à analyser les besoins des entreprises pour ensuite concevoir et implémenter des infrastructures de solutions d'entreprise fondées sur la plateforme Windows Server 2003. Leurs tâches d'implémentation comprennent l'installation, la configuration et la résolution des problèmes de systèmes réseau.

MCAD pour Microsoft .NET

La certification MCAD (Microsoft Certified Application Developer) pour Microsoft .NET offre une distinction aux développeurs professionnels qui utilisent Microsoft Visual Studio® .NET et les services Web pour développer et gérer des applications au niveau de leur service, des composants, des clients Web ou de bureau, ou des services principaux de données, et qui travaillent dans des équipes de développement d'applications professionnelles. Elle couvre des tâches allant du développement et du déploiement à la maintenance de ces solutions.

MCSD pour Microsoft .NET

La certification MCSD (Microsoft Certified Solution Developer) pour Microsoft .NET est la certification de niveau supérieur pour les développeurs chevronnés qui conçoivent et développent des solutions d'entreprise de pointe à l'aide d'outils de développement et de technologies Microsoft, ainsi qu'à l'aide de Microsoft .NET Framework. Les tâches qu'ils assument vont de l'analyse des besoins de l'entreprise à la maintenance des solutions mises en œuvre.

MCDBA sur Microsoft SQL Server 2000

La certification MCDBA (Microsoft Certified Database Administrator) est la principale certification à l'intention des professionnels chargés de l'implémentation et de l'administration de bases de données SQL Server 2000. Cette certification valide les compétences dans les domaines suivants : mise à jour d'anciens modèles de bases de données physiques, développement de modèles de données logiques, création de bases de données physiques, création de services de données au moyen de Transact-SQL, gestion et maintenance de bases de données, configuration et gestion de la sécurité, surveillance et optimisation de bases de données, installation et configuration de SQL Server.

Module 0 : Introduction xi

MCP

La certification MCP (Microsoft Certified Professional) valide les compétences dans le domaine de l'implémentation d'un produit ou d'une technologie Microsoft intégrés à une solution d'entreprise au sein d'une organisation. Il est nécessaire de bénéficier d'une expérience pratique du produit pour obtenir cette certification.

MCT

La certification MCT (Microsoft Certified Trainers) valide les compétences pédagogiques et techniques permettant de fournir des produits officiels de formation Microsoft par l'intermédiaire d'un Partenaire Certifié local responsable des formations (CPLS).

Conditions requises pour l'obtention des certifications

Les conditions varient selon la catégorie de certification ; elles sont spécifiques aux produits et aux responsabilités professionnelles auxquels répond chacune de ces certifications. Pour obtenir une certification, vous devez être reçu à des examens de certification rigoureux qui permettent d'évaluer de manière précise et fiable vos compétences et vos connaissances techniques.

Informations supplémentaires : Consultez le site Web Microsoft Formation et Certification à l'adresse http://www.microsoft.com/france/formation. Vous pouvez aussi envoyer un message électronique à l'adresse [email protected] pour toute question concernant les certifications.

Acquisition des compétences validées par un examen MCP Les produits officiels de formation Microsoft peuvent vous aider à développer les compétences nécessaires pour remplir vos fonctions. Ils renforcent également l'expérience que vous avez acquise lors de l'utilisation des produits et technologies Microsoft. Cependant, il n'existe pas de corrélation directe entre les produits officiels de formation Microsoft et les examens MCP. Le seul suivi des cours ne garantit pas nécessairement la réussite aux examens MCP : de l'expérience et des connaissances pratiques sont également nécessaires.

Pour préparer les examens MCP, vous pouvez utiliser les guides de préparation disponibles pour chaque examen. Chaque guide de préparation contient des informations spécifiques à un examen, telles qu'une liste des sujets sur lesquels vous serez interrogé. Ces guides sont disponibles sur le site Web Microsoft Formation et Certification à l'adresse http://www.microsoft.com/france/formation/.

xii Module 0 : Introduction

Logistique

Module 0 : Introduction xiii

À propos de ce cours

Cette section décrit brièvement le cours, ses objectifs et le profil des stagiaires.

Description Ce cours vous permet d'acquérir les connaissances et les compétences nécessaires à l'utilisation des technologies des services d'infrastructure Windows et des services Active Directory dans Windows Server 2008. Il est destiné aux personnes qui disposent déjà d'une expérience pratique des services d'infrastructure Windows et d'Active Directory et qui souhaitent mettre leurs compétences à profit dans un environnement Windows Server 2008. Ce cours repose sur une version préliminaire de Windows Server 2008.

Objectifs À la fin de ce cours, vous serez à même d'effectuer les tâches suivantes :

• installer et configurer Windows Server 2008, utiliser les nouvelles fonctionnalités et les nouveaux rôles, y compris Windows PowerShell ;

• tirer parti des nouvelles fonctionnalités de Windows Server 2008, notamment l'isolation de serveur et de domaine, IPv6 et l'amélioration de DNS ;

• tirer parti des avantages et fonctionnalités clés d'une installation minimale, notamment l'ajout et la configuration de rôles ;

• gérer la nouvelle infrastructure de sauvegarde de Windows Server 2008, notamment le service de cliché instantané des volumes, les sauvegardes manuelle et planifiée, les supports, le format UDF (Universal Disk Format) et la restauration des données ;

• décrire et utiliser les stratégies réseau, la protection d'accès réseau (NAP) et identifier les options de contrainte de mise en conformité ;

xiv Module 0 : Introduction

• décrire et gérer les services de déploiement Windows, notamment la capture et la gestion d'images ;

• décrire et utiliser les nouvelles fonctionnalités d'Hyper-V pour consolider les serveurs, prévoir la récupération d'urgence et optimiser l'utilisation du serveur ;

• utiliser le clustering avec basculement et l'équilibrage de charge pour conserver un réseau à haut niveau de disponibilité ;

• analyser et optimiser les performances réseau à l'aide des outils inclus dans Windows Server 2008, par exemple le Gestionnaire de ressources système Windows ;

• décrire et configurer les rôles serveur avec les services Active Directory dans Windows Server 2008 ;

• planifier et déployer les services de domaine Active Directory (AD DS) ; • installer, configurer et gérer le rôle Server Core en tant que contrôleur de domaine ; • gérer les comptes, les sous-réseaux, les liens de sites, la stratégie de groupe et

la configuration DNS avec les services de domaine Active Directory (AD DS) ; • gérer les nouveaux services Active Directory, notamment les services ADFS

(Active Directory Federation Services), les services AD LDS (Active Directory Lightweight Directory Services) et les services AD RMS (Active Directory Rights Management Services) ;

• configurer et gérer les contrôleurs de domaine en lecture seule ; • utiliser les fonctionnalités d'audit des services de domaine Active Directory

(AD DS) ; • gérer les informations d'identification à l'aide des services de certificats

Active Directory, notamment les informations d'identification itinérantes.

Audience Ce cours s'adresse aux professionnels de l'informatique qui ont une expérience des technologies incluses dans Windows Server 2000 et Windows Server 2003 et sont titulaires d'une certification MCSE ou MCSA et/ou possèdent des connaissances équivalentes.

Module 0 : Introduction xv

Connaissances préalables

Pour suivre ce cours, vous devez disposer d'une ou de plusieurs connaissances préalables dans les domaines suivants :

• expérience pratique en matière de planification, d'implémentation, de gestion ou de prise en charge de Microsoft Windows 2000 Server ou Windows Server 2003, y compris l'infrastructure réseau et Active Directory ;

• expérience pratique en matière de gestion réseau, par exemple TCP/IP et DNS (Domain Name System) ;

• conception d'une infrastructure réseau et Active Directory dans Microsoft Windows Server 2003 ;

• conception d'une architecture de sécurité pour un réseau Microsoft Windows Server 2003 ;

• installation, configuration et administration de Microsoft Windows 2000, Windows XP Professionnel ou Windows Vista.

xvi Module 0 : Introduction

Plan du cours

• Module 1 : « Installation et configuration de Windows Server 2008 » fournit des informations sur l'installation et la configuration de Windows Server 2008. Il décrit également l'utilisation du Gestionnaire de serveur pour tirer parti des rôles, fonctionnalités et autres aspects liés à la configuration d'un serveur, par exemple les mises à jour automatiques.

• Module 2 : « Services de déploiement Windows » présente les avantages et les composants des services de déploiement Windows, notamment la capture et la gestion des images.

• Module 3 : « Installation minimale de Windows Server 2008 » présente les avantages et fonctionnalités clés d'une installation minimale, notamment l'ajout et la configuration de rôles.

• Module 4 : « Sauvegarde Windows » donne une vue d'ensemble de la nouvelle infrastructure de sauvegarde dans Windows Server 2008 et présente notamment le service de cliché instantané des volumes, les sauvegardes manuelle et planifiée, les supports, le format UDF (Universal Disk Format) et la restauration des données.

• Module 5 : « Mises à jour de Windows Server 2008 en matière de réseau » décrit l'utilisation des fonctionnalités réseau nouvelles et améliorées dans Windows Server 2008, notamment l'isolation de serveur et de domaine, IPv6 et DNS.

Module 0 : Introduction xvii

• Module 6 : « Stratégies réseau et protection d'accès réseau » explique comment utiliser la protection d'accès réseau (NAP) et les technologies associées pour appliquer des stratégies de sécurité et d'intégrité des clients.

• Module 7 : « Hyper-V » présente les nouvelles capacités et la nouvelle architecture d'Hyper-V, notamment les fonctions de gestion intégrées pour les environnements virtuels et physiques.

• Module 8 : « Planification des services Active Directory dans Windows Server 2008 » explique comment installer et configurer le rôle serveur des services de domaine Active Directory (AD DS) et l'administrer à l'aide du Gestionnaire de serveur. Il décrit également la planification du déploiement d'une infrastructure de services de domaine Active Directory.

xviii Module 0 : Introduction

Plan du cours (suite)

• Module 9 : « Services de domaine Active Directory » explique comment créer et gérer des comptes, des sous-réseaux, des liens de sites et une stratégie de groupe à l'aide des nouvelles fonctionnalités des services de domaine Active Directory (AD DS).

• Module 10 : « Services d'accès et d'identité Active Directory dans Windows Server 2008 » présente les nouveaux services Active Directory de Windows Server 2008 : • services ADFS (Active Directory Federation Services) pour une solution

d'accès aux identités ;

• services AD LDS (Active Directory Lightweight Directory Services), qui remplacent la gestion des comptes Active Directory dans Windows Server 2003 et offrent des services d'annuaire pour les applications ;

• services AD RMS (Active Directory Rights Management Services), qui permettent la création de solutions de protection des informations.

• Module 11 : « Contrôleurs de domaine en lecture seule » explique comment configurer et gérer un contrôleur de domaine en lecture seule.

• Module 12 : « Modifications en matière d'audit des services de domaine Active Directory » décrit les nouvelles fonctionnalités d'audit des services de domaine Active Directory, ainsi que la configuration et la gestion des événements d'audit.

Module 0 : Introduction xix

• Module 13 : « PKI d'entreprise et services de certificats Active Directory » explique comment configurer et gérer les services de certificats Active Directory à l'aide de PKIView.

• Module 14 : « Fonctionnalités à haute disponibilité » aborde le clustering avec basculement et l'équilibrage de la charge réseau.

• Module 15 : « Optimisation et analyse des performances » offre une vue d'ensemble de l'utilisation des outils d'analyse des performances de Windows Server 2008, notamment le Gestionnaire de ressources système Windows pour mettre en œuvre des contrôles de ressources de serveur.

• Module 16 : « Maintenance de logiciel à l'aide de services de mise à jour de Windows Server » présente l'utilisation des services WSUS (Windows Server Update Services) pour la gestion de la maintenance logicielle, notamment l'utilisation de plusieurs serveurs WSUS pour la distribution des mises à jour logicielles.

xx Module 0 : Introduction

Environnement de l'ordinateur virtuel

Cette section fournit les informations nécessaires pour configurer l'environnement de la classe afin de prendre en charge le scénario d'entreprise du cours.

Configuration de l'ordinateur virtuel Dans ce cours, vous utiliserez Microsoft Virtual Server 2005 pour exécuter les applications pratiques et les ateliers pratiques.

Dans ce cours, les ordinateurs virtuels sont démarrés, arrêtés et réinitialisés à l'aide du Lanceur d'ateliers pratiques Microsoft. Pour démarrer le Lanceur d'ateliers pratiques Microsoft, cliquez sur Démarrer, pointez sur Tous les programmes, pointez sur Formation Microsoft, puis cliquez sur 6734A. Le Lanceur d'ateliers pratiques démarre.

Important : à la fin de chaque atelier pratique, vous devez fermer l'ordinateur virtuel sans enregistrer les modifications. Pour fermer un ordinateur virtuel sans enregistrer les modifications, procédez comme suit : 1. Dans l'ordinateur virtuel, dans le menu Action, cliquez sur Fermer. 2. Dans la boîte de dialogue Fermer, dans la liste Que doit faire l'ordinateur virtuel ?, cliquez sur Éteindre et supprimer les modifications, puis cliquez sur OK.

Module 0 : Introduction xxi

Le tableau suivant montre le rôle de chaque ordinateur virtuel utilisé dans ce cours :

Ordinateur virtuel Rôle

6416B-NY-DC-01.vmc Contrôleur de domaine

6416B-NY-WEB-01.vmc Serveur Web

6416B-SEA-DC-01.vmc Contrôleur de domaine

6416B-SEA-DC-02.vmc Membre du domaine

6416B-SEA-DC-03.vmc Membre du domaine

6416B-SEA-SRV-01.vmc Ordinateur virtuel vide

6416B-SEA-SRV-02.vmc Installation de base de Windows Server 2008

6416B-SEA-SRV-03.vmc Installation minimale

6416B-SEA-SRV-04.vmc Membre du domaine

6416B-SEA-WSS-01.vmc Serveur de stockage Windows Server 2003 R2

6416B-SEA-NPS-001.vmc Serveur NPS (Network Policy Server)

6416B-SEA-NODE-01.vmc Membre du domaine

6416B-SEA-NODE-02.vmc Membre du domaine

6416B-SEA-WRK-001.vmc Station de travail Vista



6416B-TAC-RODC-01.vmc Membre du domaine

Configuration de la classe L'ordinateur virtuel sera configuré de la même façon sur tous les ordinateurs de la classe.

xxii Module 0 : Introduction

Démonstration : Utilisation de Microsoft Virtual Server

Démonstration de Virtual Server Dans cette démonstration, l'instructeur vous aidera à vous familiariser avec l'environnement Virtual Server dans lequel vous travaillerez pour effectuer les applications pratiques et ateliers pratiques de ce cours. Vous allez découvrir comment :

• se connecter au site Web d'administration de Virtual Server ; • configurer des ordinateurs virtuels à l'aide du site Web d'administration de

Virtual Server ; • se connecter à un ordinateur virtuel à l'aide du client VMRC (Virtual Machine

Remote Control) ; • arrêter un ordinateur virtuel sans enregistrer les modifications.

Raccourcis clavier Dans l'environnement de travail du client VMRC (Virtual Machine Remote Control), il peut être utile d'utiliser des raccourcis clavier. Tous les raccourcis Virtual Server comprennent une touche connue sous le nom de touche HÔTE. Par défaut, la touche HÔTE est la touche MAJ située à droite du clavier. Certains raccourcis utiles incluent :

• MAJ DROITE+SUPPR pour se connecter à Virtual PC. • MAJ DROITE+ENTRÉE pour basculer entre les modes Plein écran et Fenêtre.

Pour plus d'informations sur l'utilisation de Virtual Server, consultez l'aide.

Module 1 : Installation et configuration de Windows Server 2008

Table des matières Vue d'ensemble du module 1-1

Leçon 1 : Rôles du Gestionnaire de serveur 1-2 Leçon 2 : Fonctionnalités de Windows Server 2008 1-19 Leçon 3 : Améliorations apportées à Active Directory 1-33 Atelier pratique 1 : Configuration de Windows Server 2008 1-44







Version 1.2

Module 1 : Installation et configuration de Windows Server 2008 1-1

Vue d'ensemble du module

Le processus d'installation de Microsoft® Windows Server® 2008 a été rationalisé pour que seules les informations essentielles, comme la version du système d'exploitation à installer et la partition du disque sur laquelle procéder à l'installation, soient demandées. D'autres paramètres de configuration sont définis une fois le processus d'installation terminé. L'outil Gestionnaire de serveur amélioré offre un point d'accès unique pour l'administration et la configuration du système.

Les rôles et les fonctionnalités sont deux catégories de fonctions système. Les rôles définissent les fonctions majeures du serveur, tandis que les fonctionnalités, composants facultatifs, augmentent les fonctions de base du serveur. Les rôles et les fonctions sont ajoutés, supprimés et configurés via l'interface du Gestionnaire de serveur.

Ce module fournit des informations sur l'utilisation du Gestionnaire de serveur pour utiliser des rôles, des fonctionnalités et d'autres paramètres de configuration serveur tells que les mises à jour automatiques.

Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• décrire les rôles de Windows Server 2008 ; • décrire les fonctionnalités de Windows Server 2008 ; • décrire les améliorations apportées à Active Directory dans Windows Server 2008.

1-2 Module 1 : Installation et configuration de Windows Server 2008

Leçon 1 : Rôles du Gestionnaire de serveur

L'installation simplifiée de Windows Server 2008 permet aux administrateurs de déployer plus rapidement des serveurs. Avec Microsoft® Windows® Server 2003, le processus d'installation est souvent ralenti par des demandes d'informations de configuration requises. Dans Windows Server 2008, ces demandes d'informations font désormais partie de l'interface Tâches de configuration initiales qui s'affiche une fois l'installation terminée.

Cette leçon décrit la configuration initiale du serveur et l'interface utilisateur du Gestionnaire de serveur.

Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les principales modifications qui ont été apportées à l'interface utilisateur de Windows Server 2008 ;

• décrire les améliorations apportées à l'installation de Windows Server 2008 ; • effectuer la configuration initiale du serveur ; • décrire les fonctions du Gestionnaire de serveur ; • décrire les rôles serveur ; • dresser la liste des rôles de Windows Server 2008.


Différences entre l'interface utilisateur de Windows Server 2003 et celle de Windows Server 2008

L'interface utilisateur de Windows Server 2008 est différente de celle de Windows Server 2003. La plupart des éléments de l'interface utilisateur de Windows Server 2008 sont identiques à ceux de Windows Vista. Le tableau ci-après présente certains des éléments clés de l'interface utilisateur de Windows Server 2003 et décrit les modifications qui ont été apportées dans Windows Server 2008.

Élément de l'interface utilisateur de indows Server 2003

Élément correspondant de l'interface utilisateur de Windows Server 2008

Application Réseau du Panneau de configuration

Centre Réseau et partage

Outil Rechercher et commande Exécuter du menu Démarrer

Commande Exécuter/Rechercher combinée

Installation de services Le Gestionnaire de serveur constitue la seule méthode pour ajouter des services, appelés rôles et fonctionnalités

Gestion des services Le Gestionnaire de serveur constitue la méthode préférée, excepté pour certains outils qui n'y sont pas intégrés


Élément de l'interface utilisateur de Windows Server 2003

Élément correspondant de l'interface utilisateur de Windows Server 2008

La fonctionnalité Mises à jour de sécurité post-installation, qui a été ajoutée à Windows Server 2003 Service Pack 1 (SP1), propose certaines des fonctions de la fenêtre Tâches de configurations initiales

Tâches de configuration initiales

La Configuration de sécurité renforcée d'Internet Explorer est accessible à partir de l'option Ajouter ou supprimer des composants Windows

La Configuration de sécurité renforcée d'Internet Explorer est accessible à partir de la page d'accueil du Gestionnaire de server

Ajout/Suppression de programmes L'élément d'interface utilisateur Ajout/Suppression de programmes a été renommé Programmes et fonctionnalités


Améliorations du programme d'installation de Windows Server 2008 par rapport à celui de Windows Server 2003

L'installation de Windows Server 2008 est beaucoup plus simple que ne l'était celle de Windows Server 2003. Le processus d'installation d'un serveur Windows Server 2008 ne comporte plus que trois phases :

• la phase d'installation du système d'exploitation, comprenant l'activation de la clé du produit ;

• la phase d'exécution des Tâches de configuration initiales, permettant de modifier facilement l'ensemble des paramètres par défaut du serveur au cours de l'installation ;

• la phase d'exécution du Gestionnaire de serveur, permettant de sélectionner facilement les rôles nécessaires pour le serveur.

Les rôles serveur sont un composant clé de Windows Server 2008. L'ajout de rôles serveur permet de guider l'utilisateur tout au long des tâches nécessaires pour terminer l'installation et déployer le serveur.

Windows Server 2008 propose un type d'installation spécialisé, appelé installation minimale. L'installation minimale installe uniquement les fichiers, les services et les DLL nécessaires à la prise en charge des principaux rôles d'infrastructure réseau. Ce type d'installation est traité en détail dans le module 3 de ce cours.


Dans Windows Server 2003, le déploiement d'un serveur impliquait l'installation, la sécurisation et la gestion de nombreux rôles serveur qui étaient répartis dans plusieurs outils et interfaces, notamment le programme d'installation de Windows Server 2003, Mises à jour de sécurité post-installation, Gérer votre serveur, l'Assistant Configurer votre serveur, Ajouter/Supprimer des composants Windows et Gestion de l'ordinateur. Dans Windows Server 2008, les rôles serveur sont configurés par défaut avec les paramètres de sécurité recommandés. Il n'est donc plus nécessaire d'exécuter l'Assistant Configuration de la sécurité.

Le tableau ci-après présente certains paramètres par défaut qui sont configurés par le processus d'installation de Windows Server 2008. Vous pouvez les modifier à l'aide des commandes disponibles dans la fenêtre Tâches de configuration initiales.

Paramètre Configuration par défaut

Mot de passe Administrateur Par défaut, le mot de passe du compte Administrateur est vide.

Nom de l'ordinateur Le nom de l'ordinateur est affecté de façon aléatoire pendant l'installation. Vous pouvez le modifier à l'aide des commandes de la fenêtre Tâches de configuration initiales.

Appartenance au domaine Par défaut, l'ordinateur n'est pas ajouté à un domaine ; il est ajouté à un groupe de travail appelé WORKGROUP.

Windows Update Windows Update est désactivé par défaut.

Connexions réseau Toutes les connexions réseau sont configurées pour obtenir les adresses IP automatiquement à l'aide du protocole DHCP.

Pare-feu Windows Le Pare-feu Windows est activé par défaut.

Rôles installés Le serveur de fichiers est installé par défaut.


Vue d'ensemble de la fenêtre Tâches de configuration initiales

La fenêtre Tâches de configuration initiales, nouvelle fonctionnalité de Windows Server 2008, s'ouvre automatiquement une fois l'installation du système d'exploitation terminée et aide les administrateurs à terminer l'installation et la configuration initiale d'un nouveau serveur. Elle permet d'effectuer plusieurs tâches liées à la sécurité, comme par exemple définir le mot de passe Administrateur, modifier le nom du compte Administrateur, exécuter Windows Update et configurer le Pare-feu Windows. Les options Ajouter des rôles et Ajouter des fonctionnalités de la fenêtre Tâches de configuration initiales vous permettent de commencer immédiatement à ajouter des roles et des fonctionnalités à votre serveur.

• Un rôle serveur définit la fonction principale du serveur. Les administrateurs peuvent choisir de dédier un serveur tout entier à un seul rôle serveur ou d'installer plusieurs rôles serveur sur un même ordinateur. Chaque rôle peut inclure un ou plusieurs services de rôle, qui correspondent à des éléments installables facultatifs du rôle. Par exemple, le rôle Serveur DNS peut être ajouté pour permettre à un serveur d'héberger des zones DNS.

• En règle générale, une fonctionnalité ne définit la fonction principale du serveur. Elle fournit une fonction auxiliaire ou secondaire au serveur. Les administrateurs installent généralement une fonctionnalité pour augmenter les capacités d'un rôle installé, et non pas en tant que fonction principale du serveur. Par exemple, le clustering avec basculement est une fonctionnalité que les administrateurs peuvent installer après l'installation de certains rôles spécifiques, tels que Serveur de fichiers, pour ajouter de la redondance au rôle Serveur de fichiers.


Les commandes de la fenêtre Tâches de configuration initiales vous permettent de modifier plusieurs paramètres par défaut qui sont configurés lors du processus d'installation du serveur. Par exemple, le mot de passe du compte d'administrateur se voit attribué par défaut un mot de passe vide. Cette configuration doit évidemment être modifiée avant tout déploiement. Toutes les connexions réseau sont configurées pour obtenir les adresses IP automatiquement via le protocole DHCP. Comme les serveurs sont généralement déployés avec des adresses IP statiques, il est par consequent important de modifier aussi cette configuration. Par défaut, l'ordinateur n'est pas ajouté à un domaine ; il est membre du groupe de travail commun appelé WORKGROUP. La fenêtre Tâches de configuration initiales vous offre la possibilité d'ajouter le serveur à un domaine existant. Le nom de l'ordinateur est affecté de façon aléatoire pendant l'installation. La fenêtre Tâches de configuration initiales vous offre également la possibilité de télécharger des mises à jour et/ou de configurer les mises à jour automatiques Windows. Le Pare-feu Windows est activé par défaut.

La fenêtre Tâches de configuration initiales permet d'installer des serveurs avec moins d'interruptions pendant l'installation. Auparavant, le programme d'installation du système d'exploitation Windows® Server® s'interrompait pour demander aux administrateurs de spécifier les informations de compte Administrateur, de domaine et de réseau. La fenêtre Tâches de configuration initiales permet désormais de reporter ces tâches jusqu'à la fin de l'installation, réduisant ainsi le nombre d'interruptions pendant l'installation et le temps nécessaire au déploiement d'un serveur.


Vue d'ensemble du Gestionnaire de serveur

La nouvelle console Gestionnaire de serveur simplifie la gestion et la protection des rôles serveur dans Windows Server 2008. Elle contient des outils qui permettent d'effectuer les tâches suivantes :

• gérer l'identité d'un serveur ; • afficher l'état actuel du serveur ; • identifier les problèmes liés aux configurations des rôles serveur ; • gérer tous les rôles désignés du serveur.

En résumé, la console Gestionnaire de serveur constitue une source unique pour gérer un serveur.

La console Gestionnaire de serveur utilise les Assistants intégrés pour guider l'utilisateur tout au long du processus d'ajout de rôles serveur. Plusieurs rôles peuvent simultanément être ajoutés à l'aide de la console, même si ceux-ci ne sont pas liés. Par exemple, il est possible d'ajouter en une seule fois les rôles Serveur DNS, Serveur DHCP et Server d'impression à un serveur déployé dans une succursale. Les Assistants du Gestionnaire de serveur effectuent toutes les vérifications de dépendance nécessaires et procèdent à la résolution des conflits afin que le serveur soit stable, fiable et sécurisé. La console Gestionnaire de serveur remplace l'outil Gestion de l'ordinateur de Windows Server 2003.


Le Gestionnaire de serveur peut également servir de portail pour les tâches de gestion régulières des serveurs. Il signale l'état du serveur, affiche les tâches de gestion essentielles et donne accès aux administrateurs à des outils de gestion avancés. Les pages d'accueil des rôles serveur constituent un composant clé du Gestionnaire de serveur. Elles offrent une vue des rôles serveur, notamment de leur état et de leurs configurations actuels. Certaines de ces consoles contiennent un observateur d'événements filtré qui affichent les événements récents associés à un rôle spécifique. Les pages d'accueil des rôles serveur proposent des contrôles dans lesquels vous pouvez diagnostiquer des problèmes en arrêtant et démarrant de façon sélective des services de rôle. Ces résumés propres aux rôles attirent l'attention sur les problèmes éventuels et offrent des outils de dépannage appropriés.

Remarque : l'outil en ligne de commande ServerManagerCmd.exe permet aux administrateurs d'exécuter certaines tâches du Gestionnaire de serveur en dehors de l'interface utilisateur graphique de Windows®, comme par exemple installer ou supprimer des rôles, des services de rôle et des fonctionnalités, valider des commandes et demander l'état actuel de l'ordinateur. ServerManagerCmd.exe offre en outre la possibilité d'installer ou de supprimer plusieurs rôles, services de rôle ou fonctionnalités dans une seule instance de commande à l'aide de fichiers de réponses XML. Un ensemble d'arguments de ligne de commande permet de mieux contrôler l'exécution du fichier de réponses. Un utilisateur peut par exemple spécifier si l'ordinateur doit être automatiquement redémarré une fois les commandes du fichier de réponses exécutées, si ce redémarrage est requis par le logiciel en cours d'installation ou de suppression.

Utilisation de ServerManagerCmd.exe :

-query [<fichier_requête.xml>] Affiche la liste des rôles, des services de rôle et des fonctionnalités disponibles et indique ceux qui sont installés sur l'ordinateur. (Forme courte : -q)

-inputPath <fichier_réponses.xml> Installe ou supprime les rôles, les services de rôle et les fonctionnalités spécifiés dans un fichier de réponses XML.

-install <nom> Installe le rôle, le service de rôle ou la fonctionnalité, spécifiés par le paramètre <nom>, sur l'ordinateur. (Forme courte : -i)

-setting <nom_paramètre>=<valeur_paramètre> Est utilisé avec le paramètre -install pour spécifier les paramètres requis pour l'installation. (Forme courte : -s)

-allSubFeatures Est utilisé avec le paramètre -install pour installer tous les services de rôle et les fonctionnalités subordonnés, ainsi que le rôle, le service de rôle ou la fonctionnalité spécifiés avec le paramètre -install. (Forme courte : -a)

-remove <nom> Supprime le rôle, le service de rôle ou la fonctionnalité, spécifiés par le paramètre <nom>, de l'ordinateur. (Forme courte : -r)


Utilisation de ServerManagerCmd.exe :

-resultPath <fichier_résultats.xml> Enregistre le résultat de l'opération de ServerManagerCmd.exe dans un <fichier_résultats.xml>, au format XML. (Forme courte : -rp)

-restart Redémarre automatiquement l'ordinateur, si un redémarrage est nécessaire pour terminer l'opération.

-whatIf Affiche les opérations à effectuer sur l'ordinateur actuel, spécifiées dans le fichier answer.xml. (Forme courte : -w)

-logPath <fichier_journal.txt> Spécifie l'emplacement, autre que l'emplacement par défaut, du fichier journal. (Forme courte : -l)

-help Affiche des informations d'aide. (Forme courte : -?)

-version Affiche la version de la commande du Gestionnaire de serveur en cours d'exécution, les informations de marque Microsoft et le système d'exploitation. (Forme courte : -v)

Exemples : ServerManagerCmd.exe -query ServerManagerCmd.exe -install Web-Server -resultPath installResult.xml ServerManagerCmd.exe -inputPath install.xml -whatIf


Démonstration : Utilisation du Gestionnaire de serveur

Dans cette démonstration, vous allez apprendre à :

• utiliser le Gestionnaire de serveur pour ajouter un rôle ; • utiliser le Gestionnaire de serveur pour surveiller les rôles serveur ; • utiliser le Gestionnaire de serveur pour ajouter une fonctionnalité.

Points clés Voici les points clés de la démonstration :

• Le Gestionnaire de serveur est une interface unifiée pour la configuration et l'administration des serveurs.

• Les rôles sont ajoutés et supprimés via l'interface du Gestionnaire de serveur.


Vue d'ensemble des fonctions des rôles

Un rôle serveur définit la fonction principale du serveur. Les administrateurs peuvent choisir de dédier un serveur tout entier à un seul rôle, de regrouper plusieurs serveurs partageant un même rôle ou d'installer plusieurs rôles serveur sur un même ordinateur.

Chaque rôle serveur comporte également un ou plusieurs services de rôle, pouvant être décrits comme des composants d'un rôle. Certains rôles proposent plusieurs services de rôle, tandis que d'autres n'en proposent qu'un seul. Dans cet exemple, un rôle Serveur Web IIS peut contenir plusieurs services de rôle différents, selon ses fonctions principales et le type de contenu hébergé. Le tableau ci-après répertorie plusieurs rôles et les services de rôle par défaut associés.

Rôle Services de rôle par défaut

Serveur Web (IIS) • Contenu statique • Document par défaut • Exploration de répertoire • Erreurs HTTP • Journalisation HTTP • Observateur de demandes • Filtrage des demandes • Compression de contenu statique • Console de gestion d'IIS

Serveur DNS • Service DNS

Windows SharePoint Services • Windows SharePoint Services

Services de domaine Active Directory • Contrôleur de domaine Active Directory


La désignation de rôles serveur permet de déployer Windows Server 2008 avec des profils de sécurité plus restreints. Comme les rôles sont configurés par défaut avec les paramètres de sécurité recommandés, il n'est plus nécessaire d'exécuter l'Assistant Configuration de la sécurité pour renforcer la sécurité par défaut des rôles une fois qu'ils ont été installés, sauf si souhaitez la modifier.


Rôles disponibles dans Windows Server 2008

Nom du rôle Description

Services de certificats Active Directory® Les services de certificats Active Directory permettent la création et la gestion de certificats numériques pour les utilisateurs, ordinateurs et organisations dans le cadre d'une infrastructure à clé publique.

Services de domaine Active Directory Les services de domaine Active Directory (AD DS) stocke des informations sur les objets sur le réseau et les met à disposition des utilisateurs et des administrateurs réseau. Ces services utilisent des contrôleurs de domaine pour donner accès aux ressources autorisées aux utilisateurs du réseau n'importe où sur le réseau.

Services ADFS (Active Directory Federation Services)

Les services ADFS (Active Directory Federation Services) permettent la fédération sécurisée et simplifiée des identités chiffrées et l'authentification unique (SSO) via le Web.

Services AD LDS (Active Directory Lightweight Directory Services)

Les services AD LDS (Active Directory Lightweight Directory Services) fournissent un magasin pour les données spécifiques de l'application.



Services AD RMS (Active Directory Rights Management Services)

Les services AD RMS (Active Directory Right Management Services) permettent de protéger les informations contre toute utilisation non autorisée. Les services AD RMS sont une technologie de protection des informations qui fonctionne avec des applications AD RMS pour protéger les informations numériques contre toute utilisation non autorisée. Les propriétaires du contenu peuvent définir exactement comment un destinataire peut utiliser les informations, par exemple qui peut ouvrir, modifier, imprimer, transférer et/ou effectuer d'autres opérations sur les informations. Les organisations peuvent créer des modèles de droits d'utilisation personnalisés, tels que « Confidentiel – Lecture seule », qui peuvent être appliqués directement à des informations telles que des rapports financiers, des spécifications de produits, des données clients et des messages électroniques.

Serveur d'applications Le serveur d'applications permet la gestion centralisée et l'hébergement d'applications de gestion distribuées à hautes performances, telles que celles créées à l'aide des services d'entreprise et de .Net Framework 3.0.

Serveur DHCP Le serveur DHCP (Dynamic Host Configuration Protocol) permet le déploiement, la configuration et la gestion centralisés des adresses IP temporaires et des informations associées pour les ordinateurs clients.

Serveur DNS Le serveur DNS traduit les noms DNS de domaines et d'ordinateurs en adresses IP. Lorsqu'il est installé sur le même serveur que celui des services de domaine Active Directory, le serveur DNS est plus simple à administrer.

Serveur de télécopie Le serveur de télécopie envoie et reçoit des télécopies et permet aux utilisateurs de gérer les ressources de télécopie, telles que les travaux, les paramètres, les rapports et les périphériques de télécopie sur cet ordinateur ou sur le réseau.

Services de fichiers Les services de fichiers fournissent des technologies pour la gestion du stockage, la réplication des fichiers, la gestion distribuée des espaces de noms, la recherche rapide de fichiers et l'accès client simplifié aux fichiers.



Services de stratégie et d'accès réseau Les services de stratégie et d'accès réseau prennent en charge le routage du trafic réseau WAN et LAN, la création et l'application de stratégies d'accès réseau et l'accès aux ressources réseau via des connexions d'accès à distance ou VPN. Remarque : ce rôle combine les fonctionnalités précédemment disponibles dans le service Routage et accès distant et le service d'authentification Internet de Windows Server 2003. Il ajoute également de nouvelles fonctionnalités.

Services d'impression Les services d'impression fournissent et gèrent l'accès aux imprimantes réseau et aux pilotes d'imprimante.

Services Terminal Server Les services Terminal Server fournissent des technologies qui permettent d'accéder aux programmes Windows exécutés sur un serveur ou au Bureau Windows lui-même. Les utilisateurs peuvent se connecter à un serveur Terminal Server pour exécuter des programmes, enregistrer des fichiers et utiliser des ressources réseau sur ce serveur.

Services UDDI Les services UDDI (Universal Description, Discovery, and Integration) permettent d'organiser et de cataloguer des services Web et d'autres ressources programmées. Un site des services UDDI est constitué d'une application Web UDDI connectée à une base de données UDDI.

Serveur Web Le serveur Web fournit une infrastructure d'applications Web fiable, évolutive et d'une gestion aisée.

Services de déploiement Windows Les services de déploiement Windows (WDS, Windows Deployment Services) offre un moyen simple et sécurisé pour déployer rapidement des systèmes d'exploitation Windows sur des ordinateurs du réseau sans que l'administrateur ait besoin d'intervenir directement sur chaque ordinateur et sans effectuer l'installation des composants Windows à partir de supports physiques (CD ou DVD). Remarque : ce rôle remplace les services d'installation à distance (RIS) de Windows Server 2003.

Services Windows Media Les services Windows Media transmettent un flux continu de contenu vidéo et audio numérique aux clients sur un réseau.



Windows® SharePoint® Services Windows SharePoint Services permet d'augmenter la productivité au sein des organisations, grâce à la création de sites Web où les utilisateurs peuvent travailler en équipe sur des documents, des tâches et des événements, et partager facilement des contacts et d'autres informations.

Hyper-V Hyper-V offre une plateforme de virtualisation fiable et une gestion intégrée qui permettent aux clients de virtualiser leur infrastructure et réduire leurs coûts. Hyper-V possède de nombreux atouts : il est disponible sous forme de fonctionnalité dans Windows Server 2008 et il s'intègre facilement à l'infrastructure informatique des clients qui peuvent exploiter leurs outils de gestion existants et les compétences du service informatique grâce au support de Microsoft et de ses partenaires.


Leçon 2 : Fonctionnalités de Windows Server 2008

Les fonctionnalités, telles que Sauvegarde Windows Server, sont des composants facultatifs qui augmentent les capacités initiales d'un serveur. Elles sont également ajoutées via l'interface du Gestionnaire de serveur, ce qui permet de s'assurer que les paramètres de sécurité recommandés et les dépendances de service sont appliqués lors de l'installation des fonctionnalités.


• décrire les fonctionnalités de Windows Server 2008 ; • dresser la liste des nouvelles fonctionnalités de Windows Server 2008 ; • dresser la liste d'autres fonctionnalités de Windows Server 2008 ; • activer des fonctionnalités à l'aide des Assistants du Gestionnaire de serveur ; • utiliser Windows PowerShell ; • utiliser les pipelines d'objets Powershell.


Fonctionnalités de Windows Server 2008

En règle générale, les fonctionnalités fournissent des fonctions auxiliaires ou secondaires aux serveurs. Les administrateurs ajoutent généralement des fonctionnalités pour augmenter les capacités des rôles installés, comme l'illustrent les trois exemples ci-après.

Les administrateurs peuvent par exemple installer les clusters de basculement de Windows Server 2008 (auparavant appelés clusters de serveurs) après avoir désigné certains rôles serveur. pour ajouter de la redondance et réduire la durée d'une éventuelle récupération d'urgence.

Les systèmes de sauvegarde sont essentiels pour sécuriser les déploiements de serveurs. La fonctionnalité Sauvegarde Windows a été conçue pour améliorer l'installation d'un serveur Windows Server 2008. Bien que cette fonctionnalité ne soit pas généralement désignée comme rôle principal d'un serveur, elle est indispensable aux serveurs et aux entreprises.

L'Assistance à distance offre la possibilité aux utilisateurs distants de se connecter à un serveur et de résoudre tout problème rencontré à l'aide d'un ordinateur client. Le serveur Telnet permet aux administrateurs distants d'effectuer des tâches d'administration à partir de la ligne de commande et d'exécuter des programmes à l'aide d'un client Telnet. (Ces deux fonctionnalités peuvent être utilisées par des clients Windows et UNIX). Ces fonctionnalités utiles fournissent généralement des fonctions secondaires à un serveur sur lequel est installé un ou plusieurs rôles principaux.


Nouvelles fonctionnalités de Windows Server 2008

Fonctionnalité Description

Extensions du serveur BITS Les extensions du serveur BITS permettent à un serveur de recevoir des fichiers téléchargés par des clients à l'aide du Service de transfert intelligent en arrière-plan (BITS, Background Intelligent Transfer Service). Le Service de transfert intelligent en arrière-plan permet aux ordinateurs clients de transférer des fichiers au premier plan ou en arrière-plan de façon asynchrone, de préserver la réactivité d'autres applications réseau et de reprendre des transferts après des pannes de réseau et des redémarrages d'ordinateur.

Chiffrement de lecteur BitLocker Le chiffrement de lecteur BitLocker permet de protéger les données sur des ordinateurs perdus, volés ou mis hors service en chiffrant la totalité du volume et en vérifiant l'intégrité des composants de la séquence de démarrage. Les données sont déchiffrées uniquement si ces composants ont été vérifiés avec succès et que le lecteur chiffré se trouve sur l'ordinateur d'origine. La vérification de l'intégrité nécessite un module de plateforme sécurisée (TPM) compatible.

MPIO (Multipath I/O) Microsoft MPIO (Multipath I/O), associé au module MDS (Device Specific Module) de Microsoft ou à un module DMS tiers, prend en charge l'utilisation de plusieurs chemins d'accès aux données pour accéder à un périphérique de stockage sous Microsoft Windows.



Gestionnaire de stockage pour réseau SAN Le Gestionnaire de stockage pour réseau SAN (Storage Area Network) vous aide à créer et à gérer des numéros d'unité logique dans les sous-systèmes de lecteurs de disque Fibre Channel et iSCSI prenant en charge le service VDS dans votre réseau SAN.

Service d'activation des processus Windows Le service d'activation des processus Windows généralise le modèle de processus IIS, en éliminant la dépendance sur HTTP. Toutes les fonctionnalités d'IIS qui étaient précédemment disponibles uniquement pour les applications HTTP sont désormais disponibles pour les applications hébergeant des services WCF (Windows Communication Foundation), utilisant des protocoles non-HTTP. IIS 7.0 utilise également le service d'activation des processus Windows pour l'activation basée sur des messages sur HTTP.

Service de réseau local sans fil Le service de réseau local sans fil configure et démarre le service de configuration automatique WLAN (Wireless LAN), que l'ordinateur dispose ou non d'adaptateurs sans fil. Le service de configuration automatique WLAN énumère les adaptateurs sans fil et gère les connexions sans fil et les profils sans fil qui contiennent les paramètres requis pour configurer un client sans fil en vue d'une connexion à un réseau sans fil.


Fonctionnalités de Windows Server 2008


Fonctionnalités Microsoft .NET Framework 3.0

Microsoft .NET Framework 3.0 associe la puissance des API du .NET Framework 2.0 aux nouvelles technologies pour créer des applications dotées d'une interface utilisateur efficace, protéger les informations d'identité personnelles des clients, communiquer simplement en toute sécurité et permettre la modélisation d'un grand nombre de processus métiers.

Kit d'administration de Connection Manager

Le Kit d'administration de Connection Manager (CMAK) génère des profils Connection Manager.

Expérience utilisateur

L'expérience utilisateur inclut les fonctionnalités de Windows Vista®, telles que le Lecteur Windows Media, les thèmes du Bureau et la gestion de photos. L'expérience utilisateur n'active aucune des fonctionnalités de Windows Vista par défaut ; vous devez les activer manuellement.

Gestion des stratégies de groupe

La gestion des stratégies de groupe facilite la compréhension, le déploiement, la gestion et la résolution des problèmes liés à la mise en place des stratégies de groupe. L'outil standard est la console Gestion de stratégie de groupe, composant logiciel enfichable MMC (Microsoft Management Console) scriptable qui offre un outil d'administration unique pour gérer la stratégie de groupe dans toute l'entreprise.

Client d'impression Internet

Le client d'impression Internet permet aux clients d'utiliser le protocole IPP (Internet Printing Protocol) pour se connecter à des imprimantes sur le réseau ou sur Internet, et pour imprimer sur ces imprimantes.

Serveur iSNS (Internet Storage Name Server)

Le serveur iSNS fournit des services de découverte pour les réseaux de stockage iSCSI (Internet Small Computer System Interface). Il traite les demandes d'inscription, les demandes de désinscription et les requêtes des clients iSNS.



Moniteur de port LPR

Le moniteur de port LPR (Line Printer Remote) permet à l'ordinateur d'imprimer sur des imprimantes partagées à l'aide du service LPD (Line Printer Daemon). (Le service LPD est couramment utilisé par les ordinateurs UNIX et les périphériques de partage d'imprimantes.)

Message Queuing Message Queuing assure la remise des messages, la sécurité, un routage efficace et des services de messagerie basés sur la priorité entre les applications. Message Queuing permet également la remise des messages entre des applications qui s'exécutent sur différents système d'exploitation, utilisent des infrastructures réseau distinctes, sont temporairement hors connexion ou s'exécutent à des heures différentes.

Protocole PNRP (Peer Name Resolution Protocol)

Le protocole PNRP permet aux applications de s'inscrire et de résoudre des noms sur votre ordinateur, de façon à ce que d'autres ordinateurs puissent communiquer avec ces applications.

qWave qWave (Quality Windows Audio Video Experience) est une plateforme réseau destinée aux applications de flux AV (audio vidéo) sur des réseaux domestiques IP. qWave améliore les performances et la fiabilité des flux AV en assurant la qualité de service (QoS) sur le réseau des applications AV. Il fournit des mécanismes concernant le contrôle d'admission, l'analyse et la mise en œuvre du temps d'exécution, la rétroaction des applications et la définition des priorités du trafic. Sur les plateformes Windows Server, qWave propose uniquement des services de taux de flux et de définition de priorités.

Assistance à distance

Avec l'Assistance à distance, vous (ou une personne chargée du support technique) pouvez fournir une assistance aux utilisateurs qui ont des problèmes ou des questions concernant leur ordinateur. L'Assistance à distance vous permet d'afficher le Bureau de l'utilisateur et d'en partager le contrôle afin de dépanner et de corriger les problèmes. Les utilisateurs peuvent également demander de l'aide à leurs proches ou collègues.

Outils d'administration de serveur distant

Les Outils d'administration de serveur distant permettent d'administrer Windows Server 2003 et Windows Server 2008 à distance à partir d'un ordinateur exécutant Windows Server 2008, en vous autorisant à exécuter certains des outils de gestion pour les rôles, les services de rôle et les fonctionnalités sur un ordinateur distant.

Gestionnaire de stockage amovible

Le Gestionnaire de stockage amovible (RSM) gère et catalogue les médias amovibles et fait fonctionner les médias amovibles automatisés.

Compression différentielle à distance

La fonctionnalité Compression différentielle à distance (RDC) est un ensemble d'interfaces de programmation d'applications (API) dont les applications peuvent se servir pour déterminer si un ensemble de fichiers a été modifié et, le cas échéant, détecter les parties des fichiers ayant subi des modifications.

Proxy RPC sur HTTP

Le proxy RPC sur HTTP est un proxy qui est utilisé par les objets qui reçoivent des appels de procédure distante sur HTTP (Hypertext Transfer Protocol). Il permet aux clients de détecter ces objets même s'ils sont déplacés entre des serveurs ou s'ils existent à des emplacements spécifiques du réseau, généralement pour des raisons de sécurité.



Services pour NFS Les services pour NFS (Network File System) sont un protocole qui agit comme un système de fichiers DFS, permettant à un ordinateur d'accéder à des fichiers à travers un réseau aussi aisément que s'ils se trouvaient sur ses disques locaux. Cette fonctionnalité peut uniquement être installée sur les versions 64 bits de Windows Server 2008 ; dans les autres versions de Windows Server 2008, les services pour NFS sont disponibles sous forme de service de rôle du rôle Services de fichiers.

Serveur SMTP Le serveur SMTP prend en charge le transfert des messages électroniques entre les systèmes de messagerie.

Services TCP/IP simples

Les services TCP/IP simples prennent en charge les services TCP/IP suivants : Générateur de caractères, Heure du jour, Ignorer, Écho et Citation du jour. Les services TCP/IP simples sont fournis à des fins de compatibilité descendante et ne doivent être installés qu'en cas de besoin.

Services SNMP Le protocole SNMP (Simple Network Management Protocol) constitue le protocole Internet standard pour l'échange d'informations de gestion entre des applications de console de gestion, telles que HP Openview, Novell NMS, IBM NetView ou Sun Net Manager, et des entités gérées. Les entités gérées peuvent inclure des hôtes, des routeurs, des passerelles et des concentrateurs.

Sous-système pour les applications UNIX

Le sous-système pour les applications UNIX (SUA), associé à un package d'utilitaires de support qui peut être téléchargé sur le site Web de Microsoft, vous permet d'exécuter des programmes UNIX, et de compiler et d'exécuter des applications UNIX personnalisées dans l'environnement Windows.

Client Telnet Le client Telnet utilise le protocole Telnet pour se connecter à un serveur Telnet distant et exécuter des applications sur ce serveur.

Serveur Telnet Le serveur Telnet permet aux utilisateurs distants, y compris à ceux qui exécutent des systèmes d'exploitation UNIX, d'effectuer des tâches d'administration à partir de la ligne de commande et d'exécuter des programmes à l'aide d'un client Telnet.

Client TFTP (Trivial File Transfer Protocol)

Le client TFTP sert à lire ou à écrire des fichiers sur un serveur TFTP distant. Le protocole TFTP est principalement utilisé par des périphériques ou des systèmes incorporés qui récupèrent des microprogrammes, des informations de configuration ou une image système au cours du processus de démarrage d'un serveur TFTP.

Clustering avec basculement

Le clustering avec basculement permet à plusieurs serveurs de fonctionner conjointement pour fournir une haute disponibilité de services et d'applications. Cette fonction est souvent utilisée pour les services de fichiers et d'impression, ainsi que pour des applications de base de données et de messagerie.

Équilibrage de la charge réseau

L'équilibrage de la charge réseau répartit le trafic sur plusieurs serveurs à l'aide du protocole TCP/IP. Il se révèle particulièrement utile pour garantir que les applications sans état, telles qu'un serveur Web exécutant les services IIS (Internet Information Services), sont évolutives en ajoutant des serveurs supplémentaires à mesure que la charge augmente.

Sauvegarde Windows Server

La fonctionnalité Sauvegarde Windows Server vous permet de sauvegarder et de récupérer votre système d'exploitation, vos applications et vos données. Vous pouvez panifier des sauvegardes quotidiennes ou plus fréquentes et protéger la totalité du serveur ou des volumes spécifiques.



Gestionnaire de ressources système Windows

Le Gestionnaire de ressources Windows (WSRM) est un outil d'administration du système d'exploitation Windows Server qui peut gérer l'allocation des ressources processeur et mémoire. La gestion de l'allocation des ressources améliore les performances du système et réduit les risques d'interférence entre applications, services ou processus susceptibles de porter atteinte à l'efficacité du serveur et au temps de réponse du système.

Service WINS (Windows Internet Name Service)

Le service WINS fournit une base de données distribuée pour l'enregistrement et l'interrogation de mappages dynamiques de noms NetBIOS pour les ordinateurs et les groupes utilisés sur votre réseau. Le service WINS mappe des noms NetBIOS à des adresses IP et résout les problèmes liés à la résolution de noms NetBIOS dans des environnements routés.

Base de données interne de Windows

La base de données interne de Windows est un magasin de données relationnelles qui ne peut être utilisé que par les rôles et fonctionnalités Windows, tels que les services UDDI, les services AD RMS (Active Directory Rights Management Services), les services WSUS (Windows Server Update Services) et le Gestionnaire de resources système and Windows.

Windows PowerShell Windows PowerShell est un interpréteur de ligne de commande et un langage de script qui améliore la productivité des professionnels de l'informatique. Il fournit un nouveau langage de script destiné aux administrateurs et plus de 130 outils standard en ligne de commande pour une administration système simplifiée et une automatisation accélérée.


Assistants du Gestionnaire de serveur

Les Assistants intégrés de Windows Server 2008 simplifient le déploiement des serveurs dans votre entreprise, car ils permettent d'installer, de configurer ou de supprimer plus rapidement des fonctionnalités, des rôles ou des services de rôle. Plus important encore, Windows Server 2008 effectue des vérifications de dépendance à mesure que les administrateurs réalisent les étapes des Assistants, afin de s'assurer que tous les services de rôle et composants nécessaires sont installés.

Dans les versions antérieures de Windows Server, les administrateurs devaient utiliser des outils tels que Configurer votre serveur ou Gérer votre serveur pour apporter des modifications. Les vérifications de dépendance étaient souvent limitées et les administrateurs ne pouvaient installer qu'un rôle à la fois avec les outils disponibles. Avant d'ajouter d'autres rôles, l'installation de chaque rôle devait être terminée.

Le Gestionnaire de serveur contient un ensemble d'Assistants qui permet aux administrateurs d'ajouter, de supprimer ou d'étendre plusieurs rôles en une seule session. Les rôles sont configurés par défaut avec les paramètres de sécurité recommandés. Les rôles sont installés et opérationnels dès la fin de l'exécution de l'Assistant Ajout de rôles. Toutes les configurations exposées dans l'Assistant Ajout de rôles sont sécurisées par défaut et possèdent des paramètres par défaut intelligents (optimisés pour les informaticiens généralistes). L'Assistant Ajout de roles vérifie automatiquement les dépendances entre les rôles et s'assure que tous les composants nécessaires sont installés. Pour certains rôles, comme Services de certificats Active Directory, l'Assistant Ajout de rôles propose également des pages de configuration qui permettent à l'utilisateur de spécifier la façon dont le rôle doit être configuré.


Windows PowerShell

Windows PowerShell est le nouvel environnement de ligne de commande et le nouveau langage de script de Microsoft. Actuellement disponible sous forme de programme d'installation autonome, Windows PowerShell fonctionne sur les systèmes d'exploitation Windows clients et serveur. Ses applets de commande puissantes (set-location, get-process et get-wmiobject, par exemple) constituent sa fonctionnalité principale. Windows PowerShell, conçu spécifiquement pour être facile à maîtriser, vous permet d'utiliser des alias familiers pour les applets de commande. Il repose sur le .NET Framework et sa puissance tient dans le fait qu'il est possible d'utiliser les objets de sortie d'une applet de commande en tant qu'entrées d'une autre applet de commande. Windows PowerShell est très extensible et offre notamment la possibilité d'écrire des applets de commande personnalisées, d'appeler des fonctions COM classiques et d'utiliser les méthodes du .NET Framework.

Powershell facilite la découverte de ses fonctionnalités grâce à une aide en ligne exhaustive. La commande Get-Help permet d'obtenir de l'aide sur une commande ou une rubrique spécifique.

Exemple : Get-Help Get-Member

Get-Command affiche une liste de commandes.

Exemple : Get-Command

Powershell utilise les fournisseurs pour présenter les données sous forme de systèmes de fichiers. Les fournisseurs facilitent la découverte et simplifient l'utilisation. Ils permettent également l'exploration courante des structures de données à l'aide d'alias.


Exemple d'utilisation de la commande Get-PSDrive :

PS C:\Users\Administrator> Get-PSDrive Name Provider Root CurrentLocation ---- -------- ---- --------------- A FileSystem A:\ Alias Alias C FileSystem C:\ Users\Administrator cert Certificate \ D FileSystem D:\ Env Environment Function Function HKCU Registry HKEY_CURRENT_USER HKLM Registry HKEY_LOCAL_MACHINE Variable Variable

L'exemple ci-après illustre comment le fournisseur HKLM peut être utilisé pour parcourir le Registre système via PowerShell.

Remarque : la commande sl est un alias de la commande Set-Location qui indique l'emplacement de travail actuel au paramètre spécifié. La commande ls est un alias de la commande Get-ChildItem qui répertorie les éléments enfants de l'emplacement actuel.

PS C:\Users\Administrator> sl hklm: PS HKLM:\> cd HKLM:\SYSTEM\CurrentControlSet\Services PS HKLM:\SYSTEM\CurrentControlSet\Services> ls Hive: Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services SKC VC Name Property --- -- ---- -------- 2 0 .NET CLR Data {} 2 0 .NET CLR Networking {} 2 0 .NET Data Provider for Oracle {} 2 0 .NET Data Provider for SqlS... {} 1 0 .NETFramework {} 1 5 1-driver-vmsrvc {Type, Start, ErrorControl, ImagePath...} 0 9 1-vmsrvc {Type, Start, ErrorControl, ImagePath...} 1 7 ACPI {Tag, DisplayName, Group, ImagePath...} 1 5 adp94xx {Group, ImagePath, ErrorControl, Start...} 1 5 adpahci {Group, ImagePath, ErrorControl, Start...} 1 5 adpu160m {Group, ImagePath, ErrorControl, Start...} 1 5 adpu320 {Group, ImagePath, ErrorControl, Start...} 2 0 adsi {} 1 9 AeLookupSvc {DisplayName, ImagePath, Description, ObjectName...} 2 7 AFD {DisplayName, Group, ImagePath, Description...} 1 6 agp440 {DisplayName, Group, ImagePath, ErrorControl...} 1 5 aic78xx {Group, ImagePath, ErrorControl, Start...}


Utilisation de PowerShell • Comme dans tout langage de programmation, l'utilisation de commandes cohérentes

est importante dans Windows PowerShell. Les commandes dans PowerShell suivent le modèle verbe-subsantif

• Get-Service • Stop-Process • New-PSDrive

• Vous trouverez ci-dessous la liste des verbes courants dans PowerShell • Get • Stop • New

• Les applets de commande peuvent être utilisées avec des paramètres pour modifier leur fonction. Les paramètres des applets de commande peuvent être Positional ou Named

Type de paramètre Exemple

Positional Get-Something Position0Value Position1Value

Named Get-Something –ParameterName value


Pipelines d'objets PowerShell

La possibilité d'utiliser facilement des objets dans le pipeline constitue l'une des plus importantes fonctionnalités de Windows PowerShell. Un utilisateur de PowerShell peut ainsi combiner plusieurs applets de commande. En règle générale, vous utilisez la sortie d'une applet de commande en tant qu'entrée d'une autre. Le signe | sert à séparer plusieurs applets de commande dans une même ligne PowerShell.

L'exemple ci-dessous illustre l'utilisation de la sortie d'une applet de commande en tant qu'entrée d'une autre.

PS C:\Users\Administrator> Get-Process| Where-Object {$_.handles -gt 500}| Sort-Object handles| Format-Table name,handles Name Handles ---- ------- MSASCui 517 svchost 528 powershell 531 lsass 543 svchost 551 SearchIndexer 628 explorer 630 svchost 1285


Dans l'exemple précédent, l'applet de commande Get-Process crée la liste des processus en cours d'exécution sur le système. La liste est envoyée à l'applet de commande Where-Object qui crée un filtre contrôlant les objets qui seront passés dans le pipeline. L'applet de commande Sort-Object trie ensuite les objets selon les valeurs des propriétés. Enfin, l'applet de commande Format-Table met en forme la sortie et la présente sous forme de tableau.

Comme vous pouvez le voir, la ligne de commande est interprétée de la gauche vers la droite, et la sortie de la première commande est envoyée à celle située à sa droite, etc.

Remarque : lors de la mise en pipeline des objets PowerShell, les objets de sortie doivent être compatibles avec les paramètres d'entrée.

Exemple : Get-Process | Stop-Service – ne fonctionnera pas

Exemple : Get-Process | Stop-Process – fonctionnera


Leçon 3 : Améliorations apportées à Active Directory

Une fois le processus d'installation et les tâches de configuration initiales de Windows Server 2008 terminées, les rôles serveur peuvent être ajoutés. Selon la function principale du serveur, plusieurs rôles Active Directory peuvent être ajoutés à l'aide de la console Gestionnaire de serveur.


• dresser la liste des améliorations apportées aux rôles Active Directory ; • décrire les nouvelles fonctionnalités Active Directory.


Rôles serveur des services Active Directory

Windows Server 2008 utilise les rôles pour définir les composants individuels des fonctions serveur. Plusieurs rôles serveur fournissent des fonctions associées aux services Active Directory.

Rôle serveur Fonction

Services de certificats Active Directory (AD CS) Les services de certificats Active Directory permettent la création et la gestion de certificats numériques pour les utilisateurs, ordinateurs et organisations dans le cadre d'une infrastructure à clé publique.

Services d'annuaire Active Directory (AD DS) Les services de domaines Active Directory de Windows Server 2003 sont réutilisés dans Windows Server 2008 et incluent un Assistant Installation amélioré.

Services ADFS (Active Directory Federation Services)

Les services ADFS (Active Directory Federation Services) permettent la fédération sécurisée et simplifiée des identités chiffrées et l'authentification unique (SSO) via le Web.

Services AD LDS (Active Directory Lightweight Directory Services)

Le rôle serveur Services AD LDS (Active Directory® Lightweight Directory Services) est un service d'annuaire LDAP (Lightweight Directory Access Protocol). Il assure le stockage et la récupération de données pour les applications d'annuaire, sans les dépendances requises pour les services de domaine Active Directory.


Rôle serveur Fonction

Services AD RMS (Active Directory Rights Management Services)

Les services AD RMS sont une technologie de protection des informations qui fonctionne avec des applications AD RMS pour protéger les informations numériques contre toute utilisation non autorisée.

DNS (Domain Name System) DNS est requis pour fournir des services de résolution de noms à Active Directory.

Service WINS (Windows Internet Name Service)

Le service WINS peut être utilisé dans certains environnements pour fournir des services de résolution de noms aux clients antérieurs ou lorsqu'un espace de noms simple et plat est adéquat. Remarque : le nouveau type de zone GlobalName de DNS dans Windows Server 2008 peut permettre à certaines organisations de supprimer le service WINS.

Protocole DHCP (Dynamic Host Configuration Protocol)

Le protocole DHCP est utilisé dans de nombreux environnements pour l'affectation des adresses IP.


Nouvelles fonctionnalités Active Directory

DNS (Domain Name System) DNS fournit les services de résolution de noms requis par Active Directory. Le serveur DNS dans Windows Server 2008 est conforme à l'ensemble des spécifications RFC (Request for Comments) relatives à la définition et à la normalisation du protocole DNS. Étant donné que le service Serveur DNS est conforme aux spécifications RFC et qu'il est capable d'utiliser des formats de fichiers de données et d'enregistrements de ressources DNS standard, il peut fonctionner avec la plupart des autres implémentations de serveurs DNS, comme celles qui utilisent le logiciel BIND (Berkeley Internet Name Domain).

Le service Serveur DNS de Windows Server 2008 offre de nombreuses fonctionnalités nouvelles et améliorées par rapport à celui des systèmes d'exploitation Microsoft Windows NT® Server, Windows® 2000 Server et Windows Server® 2003.

Nouvelle fonctionnalité DNS Description

Chargement de zones en arrière-plan Un serveur DNS qui exécute Windows Server 2008 charge désormais en arrière-plan les données de zone à partir des services de domaine Active Directory lorsqu'il redémarre, de sorte qu'il puisse répondre aux demandes de données d'autres zones. Étant donné que la tâche de chargement des zones est effectuée par des threads distincts, le serveur DNS est en mesure de répondre aux requêtes pendant que le chargement des zones est en cours.


Nouvelle fonctionnalité DNS Description

Prise en charge des adresses IPv6 Les serveurs DNS qui exécutent Windows Server 2008 prennent à présent en charge les adresses IPv6 de manière aussi complète qu'ils prennent en charge les adresses IPv4. Par exemple, dès qu'une adresse IP est entrée ou affichée dans le composant logiciel enfichage DNS, celle-ci peut se présenter sous la forme d'une adresse IPv4 ou IPv6. L'outil en ligne de commande dnscmd accepte également les adresses dans les deux formats. Les serveurs DNS peuvent désormais envoyer des requêtes récursives aux serveurs IPv6 et la liste de redirection du serveur peut contenir des adresses IPv4 et IPv6. Les clients DHCP peuvent également enregistrer des adresses IPv6 en plus des adresses IPv4. Enfin, les serveurs DNS prennent à présent en charge l'espace de noms de domaine ip6.arpa pour le mappage inverse.

Prise en charge des contrôleurs de domaine en lecture seule

Windows Server 2008 contient un nouveau type de contrôleur de domaine, appelé contrôleur de domaine en lecture seule. Pour prendre en charge des contrôleurs de domaine en lecture seule, un serveur DNS qui exécute Windows Server 2008 prend en charge un nouveau type de zone, appelé zone en lecture seule principale (également décrite comme la zone de succursale).

Zone GlobalNames Afin que les organisations puissent rapidement supprimer le service WINS pour migrer vers un environnement uniquement DNS (ou pour offrir aux réseaux uniquement DNS les avantages que représentent les noms globaux en une partie), le service Serveur DNS dans Windows Server 2008 prend désormais en charge une nouvelle zone, appelée GlobalNames, pour contenir ces noms. En règle générale, l'étendue de réplication de cette zone est la forêt entière, ce qui garantit que la zone fournit bien des noms uniques en une partie dans toute la forêt.

Services de certificats Active Directory Les services de certificats Active Directory permettent la création et la gestion de certificats numériques pour les utilisateurs, ordinateurs et organisations dans le cadre d'une infrastructure à clé publique.


Services de domaine Active Directory (utilisés également pour les contrôleurs de domaine en lecture seule) Afin d'améliorer l'installation et la gestion des services de domaine Active Directory, Windows Server 2008 contient un Assistant Installation des services de domaine Active Directory mis à jour. Il comporte également des modifications au niveau des fonctions du composant logiciel enfichable MMC (Microsoft Management Console) qui servent à gérer les services de domaine Active Directory.

L'interface utilisateur améliorée des services de domaine Active Directory propose de nouvelles options d'installation pour les contrôleurs de domaine. Par ailleurs, l'Assistant Installation des services de domaine Active Directory mis à jour rationalise et simplifie l'installation des services de domaine Active Directory.

L'interface utilisateur améliorée des services de domaine Active Directory offre également de nouvelles options de gestion pour certaines fonctionnalités des services de domaine Active Directory, telles que les contrôleurs de domaine en lecture seule. D'autres modifications apportées aux outils de gestion améliorent la recherche des contrôleurs de domaine dans toute l'entreprise. Des contrôles importants ont été également ajoutés pour de nouvelles fonctionnalités telles que la stratégie de réplication de mot de passe pour les contrôleurs de domaine en lecture seule.

Les améliorations de l'interface utilisateur des services de domaine Active Directory ne requièrent aucune considération spéciale. Les options améliorées de l'Assistant Installation des services de domaine Active Directory sont toutes disponibles par défaut. Toutefois, certaines pages de l'Assistant ne s'affichent que si la case à cocher Utiliser l'installation en mode avancé est activée dans la page Bienvenue de l'Assistant. Vous devez utiliser cette option avancée si vous souhaitez par exemple identifier le contrôleur de domaine source pour la réplication des services de domaine Active Directory.

L'installation en mode avancé permet aux utilisateurs expérimentés de mieux contrôler le processus d'installation, sans pour autant désorienter les nouveaux utilisateurs par des options de configuration qu'ils ne connaissent peut-être pas. Pour les utilisateurs qui n'activent pas la case à cocher Utiliser l'installation en mode avancé, l'Assistant emploie les options par défaut qui s'appliquent à la plupart des configurations.

Remarque : bien qu'il ne s'agisse pas d'une amélioration de l'interface utilisateur, de nouvelles options pour exécuter les installations sans assistance des services de domaine Active Directory sont disponibles dans Windows Server 2008. Contrairement à l'installation sans assistance de Microsoft Windows Server 2003, l'installation sans assistance dans Windows Server 2008 ne nécessite pas de répondre à une demande de l'interface utilisateur, telle qu'une demande de redémarrage du contrôleur de domaine. Cela est nécessaire pour installer les services de domaine Active Directory sur une installation Server Core de Windows Server 2008, nouvelle option d'installation de Windows Server 2008 qui ne fournit pas d'options d'interface utilisateur, telles que l'Assistant Installation des services de domaine Active Directory interactif.


Services ADFS (Active Directory Federation Services) Les services ADFS (Active Directory Federation Services), fonctionnalité du système d'exploitation Windows Server 2008, sont une solution d'accès aux identités qui offre aux clients de navigateur (appartenant ou non à votre réseau) un accès via l'authentification unique à des applications Internet protégées, même lorsque les comptes d'utilisateurs et les applications ne se trouvent pas du tout sur le même réseau ou dans la même organisation.

Services AD LDS (Active Directory Lightweight Directory Services) Le rôle serveur Services AD LDS est un service d'annuaire LDAP (Lightweight Directory Access Protocol) qui assure le stockage et la récupération de données pour les applications utilisant un annuaire, sans les dépendances requises pour les services de domaine Active Directory.

Les services AD LDS de Windows Server 2008 englobe les fonctionnalités qui étaient offertes par Active Directory en mode application (ADAM, Active Directory Application Mode), disponible dans Microsoft® Windows® XP Professionnel et les systèmes d'exploitation Windows Server 2003.

Les services AD LDS offre une prise en charge flexible des applications d'annuaire. Une application d'annuaire utilise un annuaire, plutôt qu'une base de données, un fichier plat ou une autre structure de stockage des données, pour stocker ses données. Les services d'annuaire (tels que les services AD LDS) et les bases de données relationnelles assurent le stockage et la récupération de données, mais différent quant à leur optimisation. Les services d'annuaire sont optimisés pour un traitement des lectures, alors que les bases de données le sont pour le traitement des transactions. De nombreuses applications standard, ainsi que de nombreuses applications personnalisées font appel à une conception utilisant un annuaire. Quelques exemples :

• Applications CRM (Customer Relationship Management) • Applications de gestion des ressources humaines • Applications de carnet d'adresses global

Les services AD LDS sont très similaires aux services de domaine Active Directory en termes de fonctionnalités (ces services reposent en fait sur la même base de code). Cependant, ils ne requièrent pas le déploiement de domaines ou de contrôleurs de domaine.

Vous pouvez exécuter simultanément plusieurs instances des services AD LDS sur un même ordinateur, avec un schéma géré indépendamment pour chaque instance des services AD LDS instance ou un jeu de configuration (si l'instance fait partie d'un jeu de configuration). Les serveurs membres, les contrôleurs de domaine et les serveurs autonomes peuvent être configurés pour exécuter le rôle Serveur A LDS.


La principale différence entre les services AD LDS et les services de domaine Active Directory réside dans le fait que les services AD LDS ne stockent pas les entités de sécurité Windows. Bien que les services AD LDS puissent utiliser les entités de sécurité Windows, telles que les utilisateurs du domaine, dans les listes de contrôle d'accès (ACL, Access Control List) qui contrôlent l'accès à ses objets, Windows ne peut pas authentifier les utilisateurs stockés dans les services AD LDS ou avoir recours aux utilisateurs AD LDS dans ses listes de contrôle d'accès. Les services AD LDS ne prennent pas en charge les domaines et les forêts, la stratégie de groupe et les catalogues globaux.

Les applications conçues pour fonctionner avec Active Directory en mode application (ADAM, Active Directory Application Mode) ne requièrent aucune modification pour fonctionner avec les services AD LDS.

Services AD RMS (Active Directory Rights Management Services) Les services AD RMS (Active Directory Right Management Services) permettent de protéger les informations contre toute utilisation non autorisée. Les services AD RMS sont une technologie de protection des informations qui fonctionne avec des applications AD RMS pour protéger les informations numériques contre toute utilisation non autorisée. Les propriétaires du contenu peuvent définir exactement comment un destinataire peut utiliser les informations, par exemple qui peut ouvrir, modifier, imprimer, transférer ou effectuer d'autres opérations sur les informations. Les organisations peuvent créer des modèles de droits d'utilisation personnalisés, tels que « Confidentiel – Lecture seule », qui peuvent être appliqués directement à des informations telles que des rapports financiers, des spécifications de produits, des données clients et des messages électroniques.

Contrôleur de domaine en lecture seule Un contrôleur de domaine en lecture seule est un nouveau type de contrôleur de domaine dans le système d'exploitation Windows Server 2008. Il permet aux organisations de déployer facilement un contrôleur de domaine dans des sites où la sécurité physique ne peut pas être garantie. Il héberge un réplica en lecture seule de la base de données des services de domaine Active Directory pour un domaine donné. Le contrôleur de domaine en lecture seule peut également exécuter le rôle de atalogue global.

À l'aide de Windows Server 2008, une organisation peut commencer à déployer un contrôleur de domaine en lecture seule dans des sites présentant les caractéristiques suivantes : une bande passante limitée et une sécurité physique insuffisante pour les ordinateurs. Ainsi, les utilisateurs qui se trouvent dans ces sites peuvent bénéficier des avantages suivants :

• Sécurité améliorée • Accélération du processus d'ouverture de session • Amélioration de l'accès aux ressources du réseau


Fonctionnalités du contrôleur de domaine en lecture seule Explication

Base de données Active Directory en lecture seule

À l'exception des mots de passe de compte, un contrôleur de domaine en lecture seule contient tous les objets et attributs Active Directory que détient un contrôleur de domaine accessible en écriture. Toutefois, aucune modification ne peut être apportée au réplica stocké sur le contrôleur de domaine en lecture seule. Les modifications doivent être effectuées sur un contrôleur de domaine accessible en écriture et répliquées vers le contrôleur de domaine en lecture seule.

Réplication unidirectionnelle Étant donné qu'aucune modification n'est écrite directement sur le contrôleur de domaine en lecture seule et n'a par conséquent pas une origine locale, les contrôleurs de domaine accessibles en écriture, qui font office de partenaires de réplication, n'ont pas à récupérer les modifications du contrôleur de domaine en lecture seule. Cela permet de réduire la charge de travail des serveurs tête de pont dans le site concentrateur et les efforts nécessaires pour surveiller la réplication.

Mise en cache des Informations d'identification

La mise en cache des informations d'identification correspond au stockage des informations d'identification de l'utilisateur ou de l'ordinateur. Les informations d'identification sont constituées d'un petit ensemble d'environ 10 mots de passe associés aux entités de sécurité. Par défaut, un contrôleur de domaine en lecture seule ne stocke pas les informations d'identification des utilisateurs ou des ordinateurs, à l'exception de celles de son propre compte d'ordinateur et d'un compte krbtgt (///compte du Centre de distribution de clés Kerberos) spécial pour ce contrôleur de domaine en lecture seule. Vous devez autoriser explicitement la mise en cache de toute autre information d'identification sur un contrôleur de domaine en lecture seule.

Séparation des rôles d'administrateur Vous pouvez déléguer le rôle d'administrateur local d'un contrôleur de domaine en lecture seule à tout utilisateur du domaine sans lui accorder des droits sur le contrôleur du domaine ou d'autres domaines. Ainsi, un utilisateur d'une succursale peut ouvrir une session sur un contrôleur de domaine en lecture seule pour effectuer des tâches de maintenance sur le serveur, comme par exemple mettre à niveau un pilote. Par contre, cet utilisateur ne serait pas autorisé à ouvrir une session sur un autre contrôleur de domaine ou à exécuter d'autres tâches d'administration dans le domaine.

Sytème DNS en lecture seule Vous pouvez installer le service Serveur DNS (Domain Name System) sur un contrôleur de domaine en lecture seule. Un contrôleur de domaine en lecture seule peut répliquer toutes les partitions d'annuaire d'applications utilisées par le serveur DNS, y compris ForestDNSZones et DomainDNSZones. Si le serveur DNS est installé sur un contrôleur de domaine en lecture seule, les clients peuvent l'interroger pour la résolution de noms comme ils interrogeraient n'importe quel autre serveur DNS.


Conditions préalables au déploiement d'un contrôleur de domaine en lecture seule Les conditions préalables au déploiement d'un contrôleur de domaine sont les suivantes :

• Le contrôleur de domaine qui détient le rôle de maître d'émulateur de contrôleur de domaine principal pour le domaine doit exécuter Windows Server 2008. Cette condition est nécessaire pour que le compte krbtgt puisse être créé pour le contrôleur de domaine en lecture seule et les opérations en cours.

• Le contrôleur de domaine en lecture doit transférer les demandes d'authentification à un serveur de catalogue global exécutant Windows Server 2008 situé dans le site plus proche de celui dans lequel se trouve le contrôleur de domaine en lecture seule. La stratégie de réplication de mot de passe est définie sur ce contrôleur de domaine pour déterminer si les informations d'authentification doivent être répliquées dans la succursale pour une demande transférée à partir du contrôleur de domaine en lecture seule.

• Le niveau fonctionnel du domaine doit être Windows Server 2003 afin de prendre en charge la délégation Kerberos contrainte. La délégation contrainte prend en charge les appels de sécurité qui doivent être représentés sous le contexte de l'appelant.

• Le niveau fonctionnel de la forêt doit être Windows Server 2003 afin de prendre en charge la réplication de valeurs liées. Cette configuration augmente le niveau de cohérence de la réplication.

• Vous devez exécuter une fois la commande adprep /rodcprep dans la forêt pour mettre à jour les autorisations sur toutes les partitions de l'annuaire d'applications DNS de la forêt. De cette manière, les contrôleurs de domaine qui sont aussi des serveurs DNS peuvent répliquer les autorisations.

• Il n'est pas possible d'avoir plusieurs contrôleurs de domaine en lecture seule pour le même domaine dans le même site parce que les contrôleurs de domaine en lecture seule d'un même site ne partagent pas les informations entre eux. Par conséquent, le déploiement de plusieurs contrôleurs de domaine en lecture seule pour le même domaine dans le même site peut conduire les utilisateurs à des ouvertures de session incohérentes si les contrôleurs de domaine accessibles en écriture ne peuvent pas être atteints sur le réseau.


Audit des services de domaine Active Directory Dans Windows Server 2008, vous pouvez désormais sélectionner une nouvelle sous-catégorie de stratégie d'audit (Modification du service d'annuaire) pour l'audit des services de domaine Active Directory (AD DS) afin d'enregistrer les anciennes et les nouvelles valeurs lorsque des modifications sont apportées aux objets AD DS et à leurs attributs.

Remarque : cette nouvelle fonctionnalité d'audit s'applique également aux services AD LDS (Active Directory Lightweight Directory Services). Cette section ne concerne toutefois que les services de domaine Active Directory.

La stratégie d'audit globale Auditer l'accès au service d'annuaire contrôle l'activation et la désactivation de l'audit des événements liés au service d'annuaire. Ce paramètre de sécurité détermine si les événements doivent être enregistrés dans le journal de sécurité lorsque certaines opérations sont effectuées sur les objets de l'annuaire. Vous pouvez contrôler les opérations à auditer en modifiant la liste de contrôle d'accès système (SACL, System Access Control List) d'un objet. Dans Windows Server 2008, cette stratégie est activée par défaut.

Si vous définissez ce paramètre de stratégie (en modifiant la stratégie des contrôleurs de domaine par défaut), vous pouvez spécifier s'il faut auditer les réussites, auditer les échecs ou ne rien auditer du tout. Les audits de réussite génèrent une entrée d'audit lorsque l'utilisateur réussit à accéder à un objet AD DS pour lequel une liste SACL a été spécifiée. Les audits des échecs génèrent une entrée d'audit lorsque l'utilisateur essaie sans succès d'accéder à un objet AD DS pour lequel une liste SACL a été spécifiée.

Vous pouvez définir une liste SACL pour un objet AD DS sous l'onglet Sécurité de la boîte de dialogue des propriétés de cet objet. La stratégie Auditer l'accès au service d'annuaire est appliquée de la même manière que la stratégie Auditer l'accès aux objets ; par contre, elle ne concerne que les objets AD DS et ne s'applique ni aux objets du système de fichiers, ni aux objets du Registre. Auparavant, l'audit des services de domaine Active Directory n'enregistrait que le nom de l'attribut qui était modifié, et non ses valeurs précédentes et actuelles.


Atelier pratique 1 : Configuration de Windows Server 2008

À la fin de cet atelier pratique, vous serez à même d'effectuer les tâches suivantes :

• exécuter les tâches de configuration initiales ; • naviguer dans la console Gestionnaire de serveur ; • utiliser les Assistants du Gestionnaire de serveur pour ajouter des rôles et

des fonctionnalités ; • utiliser Windows PowerShell pour exécuter des tâches d'administration de base.

Durée approximative de cet atelier pratique : 60 minutes

Configuration de l'atelier pratique Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateurs virtuels disponible. Avant de débuter l'atelier pratique :

• Sachez que le mot de passe à utiliser pour les images est Pa$$w0rd. • Démarrez SEA-DC-01. • Démarrez SEA-SRV-02. • Démarrez SEA-SRV-01.

• Vous aurez besoin d'une copie de Windows Server 2008 pour pouvoir effectuer la première étape de l'atelier pratique.

• Vous aurez besoin d'une clé de produit Windows Server 2008.


Exercice 1 : Tâches de configuration initiales Dans cet exercice, vous allez installer Windows Server 2008 et effectuer des tâches de configurations initiales ainsi que des tâches de personnalisation serveur avancée.

Les principales tâches de cet exercice sont les suivantes :

• installer Windows Server 2008 • utiliser la fenêtre Tâches de configuration initiales pour effectuer la configuration

initiale du serveur • effectuer des tâches de personnalisation avancée

Tâches Informations

Remarque : effectuez ces étapes sur SEA-SRV-01.

1. Installer Windows Server 2008

• Installez Windows Server 2008 sur SEA-SRV-01.

Remarque : le support d'installation de Windows Server 2008 se trouve dans un fichier d'image ISO situé dans C:\Eval. Capturez l'image ISO via le site Web d'administration de Virtual Server pour commencer le processus d'installation de Windows Server 2008.

Q Notez la configuration maximale requise pour Windows Server 2008 :

Q RAM : _________________________________ Q Processeur : _____________________________ Q Espace disque : __________________________ R >= 2 Go, processeur : >= 3 GHz,

espace disque : >= 80 Go • Examinez les Options de lecteurs (avancées) pendant

l'installation du système d'exploitation.

Q À quoi sert l'option Nouveau ? R A créer une partition.

Remarque : effectuez cette procédure sur SEA-SRV-02.


(suite)


2. Utiliser la fenêtre Tâches de configuration initiales pour effectuer la configuration initiale du serveur

• Examinez la première section de la console Tâches de configuration initiales.

Q Quelles sont les caractéristiques d'un mot de passé administrateur fort ?

R >= doivent comporter 7 caractères, contenir des lettres, des chiffres et des symboles, être très différents des mots de passe précédents et ne doivent pas contenir le nom ou le nom d'utilisateur de l'administrateur, ni un mot courant ou facile à deviner

• Configurez ce serveur avec l'adresse IP 192.168.16.4. Utilisez le masque de sous-réseau 255.255.240.0.

• Configurez ce serveur de sorte qu'il utilise un serveur DNS préféré avec l'adresse 192.168.16.2 et un serveur DNS secondaire avec l'adresse 192.168.16.4.

• Remplacez le nom de l'ordinateur par SEA-DC-02. • Continuez à examiner la console Tâches de configuration

initiales.

Q Pour quelles raisons éviteriez-vous d'utiliser des caractères non standard dans un nom d'ordinateur Windows Server 2008 ?

R L'utilisation de caractères non standard peut avoir une incidence sur le fonctionnement des logiciels non Microsoft sur le réseau.

Q Quel est le paramètre par défaut des mises à jour automatiques de Windows ?

R Rechercher des mises à jour mais me laisser choisir s'il convient de les télécharger ou de les installer.

3. Effectuer des tâches de personnalisation avancée

• Ajoutez le rôle Services de domaine Active Directory. • Ajoutez le rôle Serveur DNS. • Examinez les options de configuration avancées.


Exercice 2 : Console Gestionnaire de serveur Dans cet exercice, vous allez examiner le contenu de la console Gestionnaire de serveur.

La principale tâche de cet exercice est la suivante :

• utiliser la console Gestionnaire de serveur


Remarque : effectuez ces étapes sur SEA-DC-01.

1. Utiliser la console Gestionnaire de serveur

• Ouvrez une session sur SEA-DC-01 en tant que Administrateur.

• Explorer le Gestionnaire de serveur.

Q À quel domaine appartient SEA-DC-01 ? R Contoso.com Q Quels rôles sont installés ? R Services de fichiers, Services de certificats

Active Directory, Services de domaine Active Directory, Serveur DNS, Serveur Web, Services Terminal Server, Services de stratégie et d'accès réseau

Q Quelles fonctionnalités sont installées ? R Service d'activation des processus Windows

(WAS), Sauvegarde Windows Server, Assistance à distance, Service SNMP, .Net Framework 3.0, Gestion des stratégies de groupe, Outils d'administration de serveur distant, Proxy RPC sur HTTP et Équilibrage de la charge réseau

Q Quels outils de gestion sont disponibles sous le nœud Services des domaines Active Directory ?

R Utilisateurs et ordinateurs Active Directory et Sites et services Active Directory

Q Selon quels critères pouvez-vous filtrer les événements ?

R Niveau de gravité, ID d'évement et Période

Remarque : les réponses aux applications et ateliers pratiques figurent sur le CD-ROM du stagiaire.


Exercice 3 : Assistants du Gestionnaire de serveur Dans cet exercice, vous allez utiliser les Assistants du Gestionnaire de serveur pour ajouter des rôles et des fonctionnalités à un serveur Windows Server 2008. Vous allez découvrir la puissance et la polyvalence de ces Assistants et comprendre pourquoi ils sont nécessaires pour renforcer la sécurité globale du serveur.


• ajouter des rôles serveur • ajouter des fonctionnalités serveur • supprimer des rôles serveur


Remarque : effectuez cette procédure sur SEA-SRV-02.

1. Ajouter des rôles serveur

• Utilisez l'Assistant Ajout de rôles pour ajouter les rôles Serveur de télécopie, Services Terminal Server, Services e stratégie et d'accès réseau et Services de déploiement Windows.

2. Ajouter des fonctionnalités serveur

• Utilisez l'Assistant Ajout de fonctionnalités pour ajouter les fonctionnalités Sauvegarde Windows Server, Assistance à distance, Service SNMP, Extensions du serveur BITS et Gestionnaire de ressources système indows.


3. Supprimer des rôles serveur

• Utilisez l'option Supprimer des rôles de la console Gestionnaire de serveur pour découvrir comment supprimer es rôles serveur.



Exercice 4 : Windows PowerShell Dans cet exercice, vous allez utiliser l'interpréteur de commandes Windows PowerShell pour obtenir des informations et contrôler des services.


• utiliser des commandes PowerShell pour obtenir des informations • utiliser des commandes PowerShell pour contrôler des services


Remarque : effectuez les étapes suivantes sur SEA-DC-01.

1. Utiliser des commandes PowerShell pour obtenir des informations

• Découvrez la commande help. • Utilisez la commande get-help. • Utilisez la commande get-command. • Utilisez la commande get-command–detailed. • Utilisez la commande get-command –full.

• Utilisez la commande get-service pour obtenir la liste des services en cours d'exécution.

• Utilisez le paramètre du nom avec la commande get-service pour obtenir des informations sur le service Spouleur.

• Envoyez la sortie de get-service vers get-member pour afficher la liste des propriétés et méthodes de l'objet service Spouleur.

• Utilisez la commande get-service –name spooler | select-object ServicesDependedOn pour afficher la liste des services desquels le service Spouleur dépend.


(suite)


2. Utiliser des commandes PowerShell pour contrôler des services

• Utilisez la commande stop-service m* -whatif pour découvrir ce qui se produirait si tous les services commençant par la letter m étaient arrêtés.

Remarque : notez que cette commande fonctionne sur le nom du service, et nom pas sur le nom complet du service.

• Utilisez la commande stop-service m* -confirm pour arrêter tous les services commençant par la lettre m.

• Utilisez la commande get-service m* | format-list pour afficher tous les services commençant par la lettre m sous forme de liste.

• Utilisez la commande get-service m* | where-object {$_.Status -eq “Running”} pour afficher la liste des services commençant par la lettre m qui sont en cours d'exécution.

• Utilisez la commande get-service m* | where-object {$_.Status -eq “Stopped”} pour afficher la liste des services commençant par la lettre m qui sont arrêtés.

• Utilisez la commande m* | sort-object name | format-table –group Status Name, DisplayName pour afficher la liste des services commençant par la lettre m sous forme de tableau.

• Utilisez la commande m* | sort-object status | format-table –group Status Name, DisplayName pour afficher la liste des services commençant par la lettre m sous forme de tableau.

Fin de l'atelier pratique Une fois l'atelier pratique terminé, vous devez arrêter tous les ordinateurs virtuels sans enregistrer les modifications.

Module 2 : Services de déploiement Windows


Leçon 1 : Présentation des services de déploiement Windows 2-2

Leçon 2 : Composants des services WDS 2-10 Atelier pratique 1 : Utilisation des services

de déploiement Windows 2-20







Version 1.2

Module 2 : Services de déploiement Windows 2-1


Les services de déploiement Windows (WDS, Windows Deployment Services), qui font partie intégrante de Microsoft Windows Server® 2008, permettent aux organisations de déployer rapidement et à distance des systèmes d'exploitation Microsoft Windows®, en particulier Microsoft Windows Vista™. Par le biais des services WDS, un administrateur peut en effet déployer des systèmes d'exploitation Windows sur un réseau. Ce module décrit en détail les services de déploiement Windows.


• décrire les avantages des services de déploiement Windows ; • décrire les différents composants des services de déploiement Windows (WDS).

2-2 Module 2 : Services de déploiement Windows

Leçon 1 : Présentation des services de déploiement Windows

Cette leçon fournit des informations générales sur la création d'images dans le cadre de solutions de déploiement et sur l'évolution qui a conduit à la naissance des services de déploiement Windows.


• décrire l'historique du déploiement de systèmes d'exploitation ; • décrire le format WIM ; • énumérer les différents composants des services de déploiement Windows ; • décrire les avantages des services de déploiement Windows.


Historique du déploiement de systèmes d'exploitation

Pendant de nombreuses années, Microsoft a offert des solutions d'installation à base de scripts. Tel était le cas de WinNT32, qui permettait de personnaliser les installations à travers différents fichiers de réponse. Toutefois, Microsoft s'est rendu compte que les clients n'employaient généralement cette technologie qu'une seule fois pour capturer leur système et procédaient ensuite à des déploiements de masse par le biais d'images.

C'est alors que les services d'installation à distance (ou serveur RIS) furent introduits. Les services RIS prenaient en charge les déploiements à base de scripts ou de fichiers. Les images basées sur des fichiers étaient gérées sur le serveur RIS. Cette technologie, qui fonctionnait de concert avec Microsoft Windows 2000, permettait d'installer une copie locale du système d'exploitation sur d'autres ordinateurs distants. Avec les services RIS, un ordinateur client contactait un serveur DHCP pour se procurer une adresse IP et contactait ensuite un serveur de démarrage pour installer le système d'exploitation.

Par la suite, les services de déploiement automatisés ADS (Automated Deployment Service) instaurèrent un format d'image basé sur des secteurs. ADS était un complément de Microsoft Windows Server 2003 Enterprise Edition qui offrait une solution en matière de déploiement de systèmes d'exploitation Windows Server. Grâce à sa prise en charge de l'administration de serveurs à grande échelle à base de scripts, ADS permettait également aux administrateurs d'administrer des centaines de serveurs comme s'ils ne faisaient qu'un. La solution ADS était mise en place par l'administrateur, alors que le déploiement de serveurs RIS était réalisé par l'utilisateur.


Microsoft proposa ensuite le système d'exploitation Microsoft Windows XP Embedded (XPE), qui était également basé sur des secteurs mais qui était spécifiquement dédié au déploiement de périphériques intégrés.

L'avènement du déploiement de systèmes d'exploitation SMS coïncida avec la première version du format d'image Windows WIM (Windows Image). Contrairement aux autres formats basés sur des secteurs, ce format WIM était basé sur des fichiers. Toutefois, ce format était spécifique à SMS, et il ne fonctionnait pas correctement avec les autres solutions de déploiement.

Les services de déploiement Windows (WDS), qui constituent l'apport le plus récent dans la famille de solutions de déploiement de systèmes d'exploitation, tirent parti de tous les avantages de RIS, ADS et OSD.


Format WIM

Microsoft commença ensuite à œuvrer au développement d'un seul format de déploiement constitué d'un ensemble d'outils unique qui pourrait être utilisé avec toutes les solutions de déploiement Windows. Plusieurs objectifs de conception gravitaient autour de deux problématiques principales, à savoir, comment créer un format d'image et quel champ d'application lui attribuer. Tout d'abord, il était indispensable de disposer d'un format unifié qui pourrait être utilisé avec toutes les solutions de déploiement Windows.

C'est pour répondre à cette exigence que fut développé le format d'image Windows. Ce format d'image WIM ne dépend pas du matériel, ce qui signifie qu'une seule image n'est requise pour différentes configurations matérielles.

Le fait que ce format soit basé sur des fichiers signifie qu'aucune information de structure de disque ou de système de fichiers n'est stockée dans ce format d'image. Toutes les interactions avec l'image, notamment sa capture et son application, se produisent au niveau du système de fichiers du disque physique. Le stockage de données redondantes au sein d'une image ayant pour effet d'épuiser l'espace disque, l'objectif avec le nouveau format d'image Windows était de réduire la nécessiter de stocker ces données redondantes.

Le format d'image WIM peut également stocker plusieurs images dans un même fichier, ce qui simplifie la gestion d'images et fait gagner de l'espace disque. Par exemple, cela peut s'avérer utile en présence de deux images distinctes : l'une contenant le système d'exploitation et l'autre contenant les applications de base de l'organisation. L'une des images peut également être définie comme étant amorçable, ce qui permet de démarrer un ordinateur à partir d'une image de disque contenue dans un fichier WIM.


De plus, le format d'image WIM permet la compression et l'instanciation unique, ce qui réduit la taille des fichiers image. L'instanciation unique est une technique qui consiste à stocker une seule instance d'un fichier, même s'il peut être utilisé dans plusieurs images ou à plusieurs emplacements. Les fichiers en double sont éliminés selon la technique du hachage SHA-1, qui consiste à hacher tous les fichiers et à stocker les fichiers en double une seule fois. Enfin, compte tenu du coût extrêmement élevé de la modification et de la maintenance des images, des outils furent développés pour Windows Server 2008 afin de réduire les coûts afférents et permettre à l'utilisateur de modifier les images sans avoir à les démarrer et à les recapturer.


Vue d'ensemble des services WDS

Les services de déploiement Microsoft Windows (WDS) constituent une version mise à jour et modifiée des services d'installation à distance (RIS). Les services de déploiement Windows (WDS), qui font partie intégrante de Windows Server 2008, existent également sous forme de mise à jour pour Microsoft Windows Server 2003. Les services WDS permettent aux organisations de déployer rapidement et à distance les systèmes d'exploitation Windows, en particulier Windows Vista Avec WDS, un administrateur peut déployer des systèmes d'exploitation Windows sur un réseau sans qu'il lui soit nécessaire de se trouver devant l'ordinateur de destination et d'utiliser le support d'installation.

Les services WDS de Windows Server 2008 s'enrichissent de nouvelles fonctionnalités avec notamment la console de gestion des services de déploiement Windows, composant logiciel enfichable MMC (Microsoft Management Console) qui permet une gestion élaborée des fonctionnalités WDS. Les services WDS apportent plusieurs améliorations par rapport à l'ensemble de fonctionnalités RIS. Ces améliorations prennent en charge le déploiement des systèmes d'exploitation Windows Vista et Windows Server 2008. En premier lieu, il existe une prise en charge native de Windows PE comme système d'exploitation de démarrage. Les services WDS s'unifient autour d'un format d'image unique en tirant parti du nouveau format de fichier WIM. À noter également la présence d'un composant serveur PXE extensible et plus performant. Enfin, un nouveau menu client permet de sélectionner les systèmes d'exploitation de démarrage.


Avantages des services WDS

Les avantages liés à l'utilisation des services WDS sont bien supérieurs depuis l'introduction des nouvelles fonctionnalités. La réduction des coûts est un objectif que partagent toutes les organisations. De nouveaux produits sont constamment mis sur le marché pour permettre aux organisations d'atteindre cet objectif. Avec les anciennes solutions de déploiement, les organisations devaient utiliser plusieurs solutions pour pouvoir bénéficier de toutes les fonctionnalités utiles. Avec WDS, une seule solution de déploiement suffit dans la plupart des cas. Cela a pour effet non seulement de réduire le coût total de possession, mais également de réduire la complexité des déploiements.

À mesure que de nouveaux systèmes d'exploitations sont mis en circulation, les organisations peuvent à certains moments disposer d'ordinateurs qui exécutent différentes versions. Les services WDS répondent à ce problème en prenant en charge les environnements mixtes constitués notamment de Windows XP et Windows Server 2003. WDS est une solution intégrée à Windows Server 2008. En outre, elle est disponible sous forme de mise à jour de Windows Server 2003 SP1 et fera partie intégrante de Windows Server 2003 SP2.

Les services WDS offrent une solution globale pour le déploiement de systèmes d'exploitation Windows sur ordinateurs clients et serveur. Par ailleurs, les services WDS permettent de déployer le système d'exploitation Windows sur des ordinateurs « nus », c'est-à-dire, des ordinateurs sans système d'exploitation.


Une solution de déploiement doit pouvoir continuer à offrir une prise en charge adéquate à mesure qu'une organisation se développe. Les services WDS procurent cette extensibilité à travers plusieurs fonctionnalités. Tout d'abord, le serveur évolutif PXE (Pre-boot Execution Environment) repose sur une architecture unifiée. Des plug-ins remplaçables accroissent les fonctionnalités réseau de base. De même, les services WDS peuvent s'exécuter sans Active Directory. Ils permettent aux organisations de créer des solutions de déploiement mieux adaptées à leurs besoins spécifiques. Les fichiers de démarrage PXE de Windows PE peuvent être utilisés avec un serveur PXE tiers, tandis que le protocole de communication client/serveur permet de développer une application de déploiement personnalisée.


Leçon 2 : Composants des services WDS

Cette leçon vise à explorer de façon plus approfondie les services de déploiement Windows en expliquant en détail les composants WDS et le processus de capture d'image.


• décrire l'environnement WDS ; • décrire le serveur et le client WDS ; • expliquer la fonction de l'environnement de préinstallation Windows associé

aux services WDS ; • décrire le processus de capture d'image ; • identifier les moyens de gérer les services WDS.


Environnement WDS

Les services de déploiement Windows consistent en une suite de composants qui, ensemble, permettent le déploiement de systèmes d'exploitation Windows, plus particulièrement de Windows Vista et Windows Server 2008. Ces composants se répartissent en trois catégories.

• Les composants serveur se composent d'un serveur d'environnement d'exécution de prédémarrage (PXE, Pre-Boot Execution Environment) et d'un serveur TFTP (Trivial File Transfer Protocol) qui permettent de démarrer un client par le réseau pour charger et installer un système d'exploitation. S'y ajoutent un dossier partagé et un référentiel d'images qui contient des images de démarrage, des images d'installation et des fichiers dont vous avez besoin spécifiquement pour le démarrage réseau.

• Les composants clients sont constitués d'une interface utilisateur graphique qui s'exécute dans Windows PE et qui communique avec les composants serveur pour sélectionner et installer une image de système d'exploitation.

• Enfin, les composants de gestion regroupent des outils qui permettent de gérer le serveur, les images de système d'exploitation et les comptes d'ordinateur client.


Serveur et client WDS

Les services de déploiement Windows (WDS) s'appuient sur une technologie PXE pour permettre à un ordinateur client de démarrer par le réseau et de se connecter à distance à un serveur WDS par le biais d'une connexion réseau TCP/IP afin d'installer un système d'exploitation. Par conséquent, les ordinateurs clients qui exploitent ce processus doivent prendre en charge le démarrage à distance à l'aide d'une mémoire ROM PXE.

Le service Serveur WDS englobe le serveur PXE de base, un magasin d'images, ainsi que le protocole de communication. Le protocole de transport utilisé lors du démarrage PXE et du téléchargement Windows PE est appelé TFTP (Trivial File Transfer Protocol). TFTP est un protocole de service utilisé pour transférer les fichiers nécessaires au démarrage, à la maintenance et au dépannage à distance d'un ordinateur client. Le serveur abrite également un partage de fichiers contenant des images de démarrage Windows PE, des images d'installation Windows et des fichiers de gestion connexes.

Parmi les fonctionnalités Client figure l'application d'installation de client qui s'exécute dans Windows PE. Il existe par ailleurs un mode spécial de la fonctionnalité d'installation à base d'image (IBS, Image Based Setup) de Windows Vista. Ce mode autorise le déploiement de Vista et Windows Server 2008 et d'images de niveau inférieur. Il intègre une logique de communication avec le serveur WDS. Avec le mode IBS, l'installation de client est pilotée par un flux d'interface utilisateur propre aux installations WDS. L'installation de client offre la possibilité de sélectionner la langue et les options régionales, ce qui permet d'une part de modifier la disposition du clavier, le périphérique d'entrée et la langue de l'interface utilisateur du client WDS, et d'autre part d'installer des modules linguistiques sur Windows Vista et Windows Server 2008. Enfin, l'automatisation fait également partie des options avec l'utilisation des paramètres du fichier d'installation sans assistance unattend.xml.


Environnement de préinstallation Windows et WDS

L'environnement de préinstallation Windows (Windows PE) est constitué de composants Windows Server 2008, ce qui en fait un environnement fiable, flexible et familier. De fait, Windows PE est apte à exécuter de nombreuses applications Windows Vista et Windows Server 2008, à détecter et activer la plupart des équipements matériels modernes et à communiquer à travers les réseaux IP (Internet Protocol). En règle générale, Windows PE occupe moins que 100 mégaoctets d'espace disque et peut s'exécuter entièrement à partir de la mémoire RAM, ce qui permet à un utilisateur d'insérer un deuxième CD contenant des pilotes ou des logiciels. De ce fait, Windows PE peut s'exécuter sur des ordinateurs non équipés d'un disque dur formaté ou dépourvus de tout système d'exploitation.

Un service informatique peut très bien configurer une infrastructure de déploiement à distance WDS, créer un script de configuration et générer une image Windows PE personnalisée pour activer un processus de déploiement très automatisé. Le processus débute lorsqu'un ordinateur est connecté au réseau : le client PXE intégré se connecte au serveur WDS et télécharge l'image Windows PE personnalisée via le réseau. Le nouvel ordinateur charge alors Windows PE dans la mémoire et exécute le script de configuration, qui vérifie que la configuration de l'ordinateur correspond à la configuration matérielle définie par le service informatique.

Si nécessaire, le script sauvegarde ensuite les données de l'utilisateur dans un dossier partagé sur un autre ordinateur. Après quoi, le script exécute l'outil Diskpart pour partitionner et formater le disque. Enfin, le script se connecte à un dossier partagé contenant les fichiers d'installation du système d'exploitation et exécute le programme d'installation du système d'exploitation pour installer ce dernier sans aucune assistance.


La maintenance d'images Windows PE dans des fichiers WIM s'apparente à la maintenance d'images Windows Server 2008 ou Windows Vista. À l'instar de Windows Server 2008, Windows PE peut tenir dans un fichier WIM. Toutefois, lorsque vous stockez une image Windows Server 2008 dans un fichier WIM, le seul moyen de démarrer Windows Server 2008 est de copier l'image sur le disque dur de l'ordinateur. Windows PE peut en revanche démarrer directement à partir d'un fichier WIM sans être copié sur un disque dur. Cette fonctionnalité permet à un administrateur de créer un fichier WIM, de le stocker sur un support amorçable, tels qu'un CD ou un disque dur à mémoire flash USB, puis de démarrer Windows PE directement à partir de ce support. Microsoft exploite cette possibilité pour charger Windows PE en mémoire RAM et exécuter Windows PE lorsqu'il s'agit d'installer Windows Server 2008 sur un nouvel ordinateur. Le démarrage de l'image WIM par PXE n'est pris en charge que pour les images Windows PE 2.0.


Processus de capture d'image

• La capture d'une image commence par la création d'une image de capture WDS à partir d'une image de démarrage Windows PE existante en utilisant les outils de gestion.

• Le système d'exploitation est ensuite démarré sur un ordinateur de référence. • À ce stade, la personnalisation du système d'exploitation est réalisée selon

les besoins de l'organisation. Elle peut notamment consister à intégrer les applications et les pilotes spécifiques qui sont utilisés dans la société.

• Ensuite, Sysprep doit être exécuté pour supprimer les identificateurs de sécurité uniques (SID) de l'ordinateur.

• L'ordinateur est alors démarré avec l'image de capture WDS. • Une fois que l'utilitaire de capture WDS a été exécuté pour créer une image, celle-ci

peut être téléchargée sur un serveur WDS. Les images téléchargées sur le serveur WDS sont stockées dans un magasin d'images. Celui-ci présente une structure de fichiers facile à parcourir puisque les images sont stockées par groupes d'images. Comme indiqué plus haut, les fichiers WIM font appel à l'instanciation unique et à la compression pour réduire la taille des fichiers image. Les ressources de fichiers se trouvent à l'intérieur du fichier RES.RWM, qui est un fichier WIM constitué uniquement de ressources. Pour faire référence à une image, il convient d'indiquer son nom et le groupe d'images auquel elle appartient.


Discussion : Types d'images

Q Qu'est-ce qu'une image de démarrage ? R Entre le moment où le démarrage PXE s'est produit et où le système d'exploitation

a été chargé, le client WDS présente un menu de démarrage. Ce menu permet aux services WDS de prendre en charge plusieurs architectures de démarrage et un choix d'images de démarrage pour chaque type d'architecture. Ce mécanisme utilise la même structure de menu BCD que celle utilisée dans les systèmes d'exploitation Windows.

R Avec les services WDS, il est possible de disposer d'ordinateurs x64 et de démarrer des images de démarrage x64. Par exemple, dans le cadre d'un processus de mise en place d'un serveur, il peut être nécessaire de démarrer des ordinateurs x64 dans une version x64 de Windows PE afin de tester un pilote de carte réseau 64 bits préalablement à l'installation. Même si une version 32 bits de Windows PE pourrait s'exécuter sur l'ordinateur 64 bits, elle ne serait pas en mesure de valider le pilote de carte réseau 64 bits.

Q Qu'est-ce qu'une image d'installation ? R Les images d'installation sont générées à partir d'installations de référence du système

d'exploitation Windows et sont déployées sur l'ordinateur client lors de l'installation de Windows à l'aide des services WDS. Une installation de référence peut être une installation standard de Windows ou être configurée pour un environnement ou un utilisateur spécifique avant de créer l'image.


Q Qu'est-ce qu'une image de capture ? R Les images de capture visent à capturer des images Windows préparées avec Sysprep

pour être déployées en tant qu'images d'installation. Les images de capture sont des images de démarrage qui lancent l'Assistant Capture d'images. Les images de capture sont d'abord enregistrées dans un fichier avant d'être réintégrées au magasin d'images.

Q Qu'est-ce qu'une image de découverte ? R Les images de découverte sont utilisées pour déployer le système d'exploitation

Windows avec WDS sur des ordinateurs qui ne prennent pas en charge le démarrage PXE. Les images de découverte sont des images de démarrage qui lancent l'Assistant Découverte des Services de déploiement Windows. Les images de découverte sont enregistrées dans un fichier, converties dans un format ISO, puis gravées sur un CD ou un DVD.


Gestion des services WDS

Les services WDS s'accompagnent d'un jeu unique d'outils qui permettent de gérer les tâches serveur courantes, ce qui constitue une nouveauté. Ce jeu contient notamment un outil d'interface utilisateur (application de console MMC) qui peut être utilisé pour toutes les tâches courantes. L'outil de ligne de commande peut quant à lui être utilisé pour toutes les tâches, et il peut être entièrement contrôlé par script. Ces deux outils utilisent la couche API MGMT.

La gestion de services WDS peut être assurée à distance. Il existe d'autres utilitaires de gestion WDS, notamment l'utilitaire de capture WDS, qui permet de capturer des images au format WIM via une interface graphique.

ImageX est un utilitaire simple qui peut être exécuté à partir de l'invite de commandes ou de Windows PE. Les principales fonctionnalités d'ImageX permettent de capturer un volume dans un fichier WIM et d'appliquer un fichier WIM à un volume. Un administrateur peut monter une image, la modifier à la manière des autres fichiers ou dossiers du système de fichiers, puis la démonter. Par exemple, un administrateur peut monter une image de système d'exploitation, y ajouter des pilotes de périphériques, puis la démonter, ce qui prend moins de temps que de recréer entièrement l'image de disque. Windows Server 2008 propose également une version « allégée » de la fonctionnalité de capture/ImageX. Les fonctionnalités de création de scripts de commandes propres à Windows Server 2008 offrent une grande flexibilité, si bien que vous pouvez contrôler ImageX par script de façon à exécuter quasiment toutes les tâches nécessaires au niveau de l'image.


Démonstration : Console WDS

Dans cette démonstration, vous allez apprendre à utiliser la console WDS.


• présenter la console WDS ; • montrer à quel endroit exécuter les tâches courantes.


Atelier pratique 1 : Utilisation des services de déploiement Windows


• installer et configurer les services de déploiement Windows ; • utiliser des images WDS ; • créer des images WDS ; • utiliser des fichiers d'installation sans assistance.


Configuration de l'atelier pratique Pour cet atelier pratique, vous allez utiliser l'environnement d'ordinateur virtuel disponible. Avant de commencer l'atelier pratique, vous devez :

• démarrer l'ordinateur virtuel 6734A-SEA-DC-01 ; • ouvrir une session en tant que Contoso\Administrateur ; • utiliser le mot de passe Pa$$w0rd.


Exercice 1 : Installer et configurer les services de déploiement Windows

Dans cet exercice, vous allez effectuer les étapes nécessaires en vue de configurer et commencer à utiliser les services de déploiement Windows (WDS).


• installer les services de déploiement Windows • configurer les services de déploiement Windows


1. Installer les services de déploiement Windows

• À partir du Gestionnaire de serveur, ajoutez le rôle Services de déploiement Windows.

2. Configurer les services de déploiement Windows

• Dans l'arborescence de la console, cliquez avec le bouton droit sur SEA-DC-01.Contoso.com, puis cliquez sur Configurer le serveur.

• Dans la boîte de dialogue Configurer le serveur, choisissez Répondre uniquement aux ordinateurs clients connus.

• Désactivez la case à cocher Ajouter les images au serveur de déploiement Windows maintenant.


Exercice 2 : Utilisation d'images Dans cet exercice, vous allez créer différents types d'images.


• ajouter une image de démarrage Windows PE • ajouter une image de démarrage à l'aide de WDSUtil • ajouter une image d'installation


1. Ajouter une image de démarrage Windows PE

• L'image de démarrage se trouve à l'emplacement C:\Program Files\Windows AIK\Tools\PETools\ x86\winpe.wim.

2. Ajouter une image de démarrage à l'aide de WDSUtil

• À l'invite de commandes, tapez wdsutil /progress /add-image /imagefile:”C:\Program Files\Windows AIK\Tools\PETools\amd64\winpe.wim” /imagetype:boot /name:”WinPE x64 Image”.

3. Ajouter une image d'installation

• Ajoutez un groupe d'images nommé Windows Server 2008.

• L'image d'installation se trouve à l'emplacement E:\Eval\ Windows Server 2008\install.wim.

• Installez l'image Windows Longhorn SERVERENTERPRISE.


Exercice 3 : Création d'images Dans cet exercice, vous allez créer une image de capture.


• créer une image de capture


1. Créer une image de capture • Dans le volet d'informations, cliquez avec le bouton droit sur Microsoft Windows Longhorn WinPE Product (x86), puis cliquez sur Créer une image de démarrage de capture.

• Créez une image de démarrage de capture à l'emplacement c:\capture_image.WIM.

• Dans l'arborescence de la console, cliquez avec le bouton droit sur Images de démarrage, puis cliquez sur Ajouter une image de démarrage.

• Accédez à c:\capture_image.WIM, puis cliquez sur Ouvrir.


Exercice 4 : Utilisation de fichiers d'installation sans assistance Dans cet exercice, vous allez effectuer les étapes nécessaires en vue d'utiliser des fichiers d'installation sans assistance.


• configurer un fichier d'installation sans assistance WDS


1. Configurer un fichier d'installation sans assistance WDS

• Ouvrez l'Explorateur Windows et accédez à E:\Labfiles\M6.

• Renommez le fichier Sample_Unattend.xml en le désignant WDSClientUnattend.xml.

• Copiez WDSClientUnattend.xml dans C:\RemoteInstall\WDSClientUnattend.

• Dans l'arborescence de la console, cliquez avec le bouton droit sur SEA-DC-01.Contoso.com, puis cliquez sur Propriétés.

• Cliquez sur l'onglet Client. • Cliquez sur Activer l'installation sans assistance. • Cliquez sur le bouton Parcourir en regard

d'Architecture x86. • Accédez au dossier WDSClientUnattend, cliquez

sur WDSClientUnattend.xml, puis sur Ouvrir.


Fin de l'atelier pratique Une fois l'atelier pratique terminé, vous devez arrêter l'ordinateur virtuel sans enregistrer les modifications.

Module 3 : Installation minimale de Windows Server 2008


Leçon 1 : Présentation de l'installation minimale de Windows Server 3-2 Leçon 2 : Configuration et gestion d'une installation minimale 3-10 Atelier pratique 1 : Installation minimale 3-29







Version 1.2

Module 3 : Installation minimale de Windows Server 2008 3-1


Le type d'installation minimale permet d'installer Microsoft® Windows Server® 2008 avec les fonctionnalités principales. Par la seule installation des fichiers, des services et des DLL nécessaires à la prise en charge des principaux rôles d'infrastructure réseau, l'installation minimale offre une plateforme plus sûre et plus stable.

Ce module décrit les avantages de l'installation minimale et des procédures de gestion associées. Plus précisément, vous apprendrez à gérer les rôles de serveur DHCP, serveur DNS et serveur de fichiers sur la plateforme que constitue l'installation minimale de Windows Server. Ce module décrit également l'architecture de l'installation minimale.


• décrire l'installation minimale de Windows Server ; • ajouter et configurer des rôles dans une installation minimale de Windows Server.

3-2 Module 3 : Installation minimale de Windows Server 2008

Leçon 1 : Présentation de l'installation minimale de Windows Server

L'installation minimale de Windows Server 2008 permet d'installer le système d'exploitation dans sa version minimale. Elle nécessite une quantité d'espace disque réduite et est tout à fait indiquée pour les bureaux distants. Des fichiers d'installation sans assistance peuvent être utilisés pour accélérer le déploiement d'une installation minimale. Les services de centre de données nécessitant une extension rapide peuvent bénéficier de ce type de déploiement de serveur simplifié. Du fait de son encombrement réduit, l'installation minimale ne demande pas une maintenance aussi importante et les risques d'attaques réseau sont plus limités.


• décrire l'installation minimale de Windows Server ; • décrire l'architecture de l'installation minimale de Windows Server ; • énumérer les avantages de l'installation minimale de Windows Server ; • planifier une installation minimale de Windows Server sans assistance.


Vue d'ensemble de l'installation minimale

Les administrateurs qui débutent avec Windows Server 2008 peuvent choisir de n'installer que les fonctionnalités de base de Windows Server sans aucune surcharge supplémentaire. Si les rôles que le serveur peut exécuter sont circonscrits aux principaux rôles d'infrastructure, cela peut profiter à la sécurité et alléger les tâches de gestion. Ce type d'installation est appelé « installation minimale ».

L'installation minimale est une option d'installation de Windows Server 2008 sans interface graphique utilisateur. Elle fournit un environnement permettant d'exécuter uniquement les principaux rôles d'infrastructure réseau. Pour parvenir à cela, l'option d'installation minimale n'installe qu'une partie des fichiers exécutables et des bibliothèques de liens dynamiques (DLL) de support. L'installation minimale intègre des outils de gestion « légers » qui configurent les adresses IP, intègrent aux domaines et effectuent d'autres tâches liées aux rôles.

L'installation minimale offre plusieurs avantages.

• L'installation minimale permet d'éviter certaines tâches de maintenance logicielle, telles que l'installation de mises à jour.

• Les vecteurs d'attaque (services avec ports d'écoute) du réseau sont moins nombreux avec une installation minimale, ce qui diminue l'exposition aux attaques.

• Une installation minimale est plus facile à gérer. • L'installation minimale utilise une quantité d'espace disque inférieure.


Il est possible de recourir à un déploiement sans assistance pour installer et configurer en même temps une installation minimale. Dès lors, il n'est plus nécessaire de procéder à une configuration après avoir installé le nouveau serveur. Cette solution peut s'avérer judicieuse dans certains cas de figure, notamment pour étendre rapidement la capacité d'un centre de données ou pour déployer des serveurs pour des bureaux distants.

L'installation minimale prend en charge les rôles d'infrastructure réseau suivants : Serveur DHCP, Serveur DNS, Serveur de fichiers et Contrôleur de domaine. Elle constitue pour ces rôles une plateforme stable et plus facile à sécuriser.


Architecture de l'installation minimale

Un rôle serveur définit la fonction principale du serveur. Les administrateurs peuvent choisir de dédier un ordinateur tout entier à un seul rôle serveur ou d'installer plusieurs rôles serveur sur un même ordinateur. Chaque rôle serveur peut inclure un ou plusieurs services de rôle, qui peuvent être décrits comme des sous-composants d'un rôle. Les rôles serveur disponibles dans Windows Server 2008 sont nombreux et peuvent être installés et gérés à l'aide du Gestionnaire de serveur dans les éditions Standard et Entreprise.

L'installation minimale n'est pas une plateforme applicative. Elle ne permet pas d'exécuter ou de développer des applications serveur. Une installation minimale permet uniquement d'exécuter les rôles serveur et les outils de gestion pris en charge.

Les outils d'administration à distance n'ont pas besoin d'être modifiés pour pouvoir être utilisés avec une installation minimale dans la mesure où ils utilisent l'un des protocoles de communication (comme RPC) pris en charge par l'installation minimale. En revanche, les outils et les agents de gestion locaux peuvent nécessiter des modifications pour pouvoir fonctionner avec une installation minimale. En effet, ils ne peuvent ni avoir de dépendances avec l'environnement de commandes ou l'interface utilisateur, ni utiliser du code managé. Le kit de développement logiciel (SDK) Windows Server 2008 comprend la liste des API prises en charge dans l'installation minimale. Si vous développez votre propre outil de gestion, vous devez vérifier que toutes les API appelées par votre code y figurent, et vous devez également tester votre code sur une installation minimale pour vous assurer qu'il se comporte comme prévu.


Les paramètres par défaut des rôles serveur sont les mêmes dans Windows Server 2008 et dans l'installation minimale. L'installation minimale prend également en charge les fonctionnalités standard, telles que l'enregistrement des événements, le protocole HTTP et la gestion des licences. La prise en charge d'IPSec, des compteurs de performance, de la gestion des services Web et de WMI comptent parmi les autres fonctionnalités. Du fait de l'absence de toute interface graphique utilisateur, vous devez accéder à tous ces services par le biais d'une interface de commande (shell). La gestion de l'installation minimale est détaillée ci-après dans ce module.


Avantages de l'installation minimale

L'installation minimale a vocation à être utilisée dans des organisations qui comptent de nombreux serveurs, dont certains, même s'ils sont cantonnés à des tâches dédiées n'en exigent pas moins une stabilité à toute épreuve, ou dans des environnements dont les exigences de sécurité élevées imposent une exposition aux attaques minimale au niveau du serveur.

Dans la mesure où l'installation minimale n'installe que les composants permettant d'assurer le rôle de serveur DHCP, de serveur DNS, de serveur de fichiers ou de contrôleur de domaine, le serveur ne demande pas une maintenance logicielle aussi importante et dispense de certaines tâches, notamment de l'installation de mises à jour.

Le nombre de fichiers installés et s'exécutant sur le serveur étant moins important, les vecteurs d'attaque du réseau sont moins nombreux, ce qui diminue d'autant l'exposition aux attaques. Par ailleurs, si une faille de sécurité ou une vulnérabilité est découverte dans un fichier qui n'est pas installé, aucune mise à jour n'est requise. Cela limite considérablement le risque et permet de gagner en fiabilité.

Du fait du nombre inférieur de fichiers installés sur un serveur reposant sur une installation minimale, les besoins en gestion sont plus limités.

L'installation minimale n'occupe qu'environ un gigaoctet (Go) d'espace sur disque.


Installation sans assistance

L'utilisation d'un fichier unattend.xml lors de l'installation de Windows Server dans sa version minimale vous permet d'effectuer la plupart des tâches de configuration initiales disponibles dans le cadre de ce processus.

Outre les avantages habituels liés à l'utilisation d'un fichier unattend.xml, procéder à une installation minimale sans assistance permet également de configurer les paramètres initiaux. Vous pouvez inclure des paramètres dans le fichier unattend.xml de telle sorte que l'administration à distance soit activée à l'issue de l'installation, comme vous pouvez configurer les paramètres difficiles à modifier à partir de la ligne de commande (p.ex., la résolution de l'affichage).

Remarque : l'Assistant Gestion d'installation, qui est fourni avec le Kit d'installation automatisée, offre un environnement particulièrement propice à la création de fichiers d'installation sans assistance.

Extrait d'un fichier unattend.xml

<unattend xmlns="urn:schemas-microsoft-com:unattend" xmlns:ms="urn:schemas-microsoft-com:asm.v3" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State">  <settings pass="windowsPE"> <component name="Microsoft-Windows-Setup" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="x86">


<UserData> <AcceptEula>true</AcceptEula>  <FullName>Mon_nom_complet</FullName> <Organization>Nom_organisation</Organization> <ProductKey> <WillShowUI>OnError</WillShowUI> <Key>Sensitive*Data*Deleted</Key> </ProductKey> </UserData> <settings pass="specialize"> <component name="Microsoft-Windows-Shell-Setup" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="x86">  <ComputerName>Nom_ordinateur</ComputerName> </component> <component name="Microsoft-Windows-TerminalServices-RDP-WinStationExtensions" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="x86">  <UserAuthentication>0</UserAuthentication> </component> <component name="Microsoft-Windows-TerminalServices-LocalSessionManager" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="x86">  <fDenyTSConnections>false</fDenyTSConnections> </component> <component name="Microsoft-Windows-Web-Services-for-Management-Core" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" processorArchitecture="x86">  <ConfigureWindowsRemoteManagement > vrai </ConfigureWindowsRemoteManagement > </component>


Leçon 2 : Configuration et gestion d'une installation minimale

La configuration et la gestion d'une installation minimale exigent une approche différente par rapport à une installation complète de Windows Server 2008. L'interface minimale d'une installation de ce type impose une utilisation différente des outils d'administration (par la ligne de commande) ou de l'administration à distance via le réseau.

Cette leçon va vous montrer comment utiliser plusieurs outils de ligne de commande permettant d'administrer une installation minimale de Windows Server.


• configurer une installation minimale ; • ajouter des rôles à une installation minimale ; • configurer le rôle de contrôleur de domaine dans l'installation minimale

de Windows Server ; • configurer le rôle de serveur DHCP (Dynamic Host Configuration Protocol)

dans l'installation minimale de Windows Server ; • configurer le rôle de serveur DNS (Domain Name System) dans l'installation

minimale de Windows Server ; • configurer le rôle de serveur de fichiers dans l'installation minimale

de Windows Server ; • gérer l'installation minimale.


Configuration de l'installation minimale

La configuration de l'installation minimale se déroule en cinq étapes.

• Définition du mot de passe de l'administrateur. Lorsque vous ouvrez une session sur un ordinateur exécutant une installation minimale de Windows Server 2008, une invite de commandes démarre. Si vous fermez l'invite de commandes, redémarrez via le Gestionnaire des tâches ou fermez et rouvrez la session.

net user administrator *

• Définition d'une adresse IP. Une adresse DHCP est définie par défaut, mais vous pouvez spécifier une adresse statique.

Netsh interface ipv4 set address name="IDCarteRéseau" source=<Adresse IP> mask=<masque de sous-réseau> gateway=<passerelle par défaut>

• Si vous devez intégrer le système « Installation minimale » à un domaine Windows existant, vous aurez besoin du nom d'utilisateur et du mot de passe d'un compte disposant des informations d'identification adéquates.

netdom join <nom_ordinateur>/domain:<nom_domaine> /userD:<domaine\utilisateur> /passwordD:*


• Activation de la nouvelle installation de Windows Server 2008.

Slmgr.vbs -ato

• Configuration à distance du pare-feu. La configuration du pare-feu via l'installation sans assistance n'est pas disponible dans Windows Server 2008 RC.

Remarque : la commande Netsh peut être utilisée pour spécifier une adresse IP statique. À l'invite de commandes, tapez :

Netsh interface ipv4 set address name="IDCarteRéseau" source=Adresse IP mask=masque de sous-réseau mask gateway=passerelle par défaut


Démonstration : Configuration de l'installation minimale


• ajouter le rôle de serveur DNS à l'aide d'OCSetup • configurer le serveur DNS à l'aide de dnscmd


• L'installation minimale peut être gérée à partir de l'invite de commandes. • OCSetup permet d'ajouter et de supprimer des rôles. • OCSetup respecte la casse. • Dnscmd permet de gérer un serveur DNS dans une installation minimale.


Ajout de rôles serveur

L'installation minimale de Windows Server 2008 prend en charge les rôles serveur suivants :

• Hyper-V • Services Internet (IIS 7.0) • Serveur DHCP (Dynamic Host Configuration Protocol) • Serveur DNS (Domain Name System) • Serveur de fichiers • Services d'annuaire Active Directory® • Services AD LDS (Active Directory Lightweight Directory Services) • Services Windows Media • Serveur d'impression

La commande sensible à la casse du package de rôles Ocsetup vous permet d'ajouter des rôles supplémentaires au serveur. OCSetup vous permet d'ajouter les roles Serveur DHCP, Serveur de fichiers ou Serveur DNS.

OCSetup est disponible en tant que composant du système d'exploitation Windows Server 2008. Cet outil remplace Sysocmgr.exe, qui est fourni avec les systèmes d'exploitation Windows XP et Windows Server 2003.


Vous pouvez utiliser OCSetup.exe sur un ordinateur équipé de Windows Vista ou Windows Server 2008 pour installer ou désinstaller des applications et des composants MSI. OCSetup doit être exécuté avec des privilèges d'administrateur. Il peut être utilisé avec le commutateur /unattend pour indiquer l'utilisation d'un fichier d'installation sans assistance.

Pour désinstaller un composant, utilisez OCSetup avec le commutateur /uninstall.

Utilisez OCSetup avec la commande « Start » pour ajouter des rôles au serveur.

Vous ne pouvez pas utiliser l'Assistant Installation de Active Directory (Dcpromo.exe) sur un serveur exécutant une installation minimale. Vous devez utiliser un fichier d'installation sans assistance avec Dcpromo pour installer ou supprimer le rôle de contrôleur de domaine sur un serveur exécutant une installation minimale.

Une fois que l'installation est terminée et que le serveur est configuré, vous pouvez également installer des fonctionnalités facultatives. L'installation minimale de Windows Server 2008 prend en charge les fonctionnalités facultatives suivantes :

• Clustering avec basculement • WINS • Équilibrage de la charge réseau • Sous-système pour applications UNIX • Sauvegarde • MPIO (Multipath I/O) • Gestion du stockage amovible • Chiffrement de lecteur BitLocker™ • Protocole SNMP (Simple Network Management Protocol) • Service de réplication DFS • Protocole SNTP (Simple Network Time Protocole)

Remarque : que certaines fonctionnalités facultatives requièrent un matériel approprié (par exemple, MPIO). Outre ces fonctionnalités, certaines fonctions du Bloc-notes ont été incluses à Windows Server 2008. Les fonctions Copier, Coller, Rechercher et Remplacer fonctionnent normalement. Il n'y a pas de fonction « Enregistrer sous ».


Exemple de fichier unattend.txt pour une utilisation avec dcpromo :

[DCInstall] AutoConfigDNS=Yes ConfirmGc=No CriticalReplicationOnly=No DisableCancelForDnsInstall=No OnDemandAllowed= OnDemandDenied= Password=Pa$$w0rd RebootOnCompletion=No ReplicaDomainDNSName=Contoso.com ReplicaOrNewDomain=ReadOnlyReplica ReplicationSourceDC=SEA-DC-01 SafeModeAdminPassword=Pa$$w0rd SiteName=Seattle UserDomain=Contoso UserName=Administrator


Rôle de contrôleur de domaine dans l'installation minimale

Rôle Active Directory L'installation du service d'annuaire Active Directory sur une installation minimale de Windows Server 2008 nécessite l'utilisation d'un fichier d'installation sans assistance avec dcpromo. Le rôle Active Directory sera ainsi installé et le serveur promu au rôle de contrôleur de domaine selon les paramètres du fichier d'installation sans assistance.

Pour installer le rôle Active Directory, à une invite de commandes, entrez :

Dcpromo /unattend:Unattendfile

où :

Unattendfile est le nom d'un fichier d'installation sans assistance dcpromo.

Remarque : Dcpromo peut aussi être utilisé pour rétrograder un contrôleur de domaine à l'état de serveur.

Fichier Unattendfile Vous trouverez ci-dessous un exemple de fichier unattend.txt utilisé pour créer un réplica de contrôleur de domaine dans le domaine contoso.com.

[Unattended] Unattendmode=fullunattended [DCINSTALL] UserName=administrator Password=Pa$$w0rd UserDomain=contoso DatabasePath=c:\windows\ntds LogPath=c:\windows\ntds


SYSVOLPath=c:\windows\sysvol SafeModeAdminPassword=Pa$$w0rd CriticalReplicationOnly SiteName= ReplicaOrNewDomain=Replica ReplicaDomainDNSName=contoso.com ReplicationSourceDC= RebootOnSuccess=yes

Vous trouverez ci-dessous une description des paires de valeurs clés figurant dans la section DCINSTALL du fichier unattend.txt.

UserName=nom du compte SAM dont les informations d'identification des administrateurs de domaine se trouvent dans le domaine cible. Ce compte doit être utilize par l'administrateur qui exécute la commande Dcpromo.

Password=mot de passe associé au nom du compte. Si cette valeur n'est pas définie, Dcpromo invite l'utilisateur pendant l'installation. Dcpromo supprime cette valeur à l'issue de l'installation.

UserDomain=nom de domaine du compte d'utilisateur désigné dans UserName.

DatabasePath=emplacement du fichier Ntds.dit (la valeur par défaut est %systemroot%\ntds). Si vous omettez cette entrée, Dcpromo utilise l'emplacement par défaut.

LogPath=emplacement des fichiers journaux de la base de données (la valeur par défaut est %systemroot%\ntds). Si vous omettez cette entrée, Dcpromo utilise l'emplacement par défaut.

SYSVOLPath=emplacement de l'arborescence SYSVOL partagée (la valeur par défaut est %systemroot%\SYSVOL). Si vous omettez cette entrée, Dcpromo utilise l'emplacement par défaut.

SafeModeAdminPassword=mot de passe du compte d'administrateur à utiliser pour démarrer le contrôleur de domaine en mode Restauration des services d'annuaire. Si cette valeur n'est pas définie, Dcpromo invite l'utilisateur à entrer le mot de passe pendant l'installation. Dcpromo supprime cette valeur à l'issue de l'installation. Les mots de passe sont supprimés du fichier de réponse lors de l'exécution de Dcpromo.

CriticalReplicationOnly=Valeur Yes ou No pour indiquer si les parties non critiques de la réplication doivent être ignorées et si Dcpromo peut terminer ses tâches avant la fin de la réplication.

SiteName=nom du site Active Directory dans lequel le contrôleur de domaine sera placé. Ce site doit être créé par avance dans le composant logiciel enfichable Sites et services Active Directory.


ReplicaOrNewDomain=spécifiez Replica pour un contrôleur de domaine supplémentaire dans un domaine existant ou NewDomain pour le premier contrôleur de domaine dans un nouveau domaine.

ReplicaDomainDNSName=nom complet du domaine du nouveau contrôleur de domaine.

ReplicationSourceDC=nom d'un contrôleur de domaine existant dans le domaine à utiliser comme partenaire de réplication source pendant l'installation. Lorsque vous installez Active Directory à partir d'un support de sauvegarde restaurée, vous pouvez utiliser cette entrée avec ReplicateFromMedia si vous souhaitez spécifier le contrôleur de domaine à partir duquel les modifications Active Directory et SYSVOL sont répliquées.

ReplicateFromMedia=valeur Yes pour une installation à partir d'un support, valeur No pour une installation par réplication.

ReplicationSourcePath=si l'installation est effectuée par réplication, chemin d'accès au CD d'installation ou au partage réseau. Si l'installation s'effectue à partir d'un support de sauvegarde restaurée, lecteur local et chemin d'accès aux fichiers de sauvegarde restaurés.

RebootOnSuccess=valeur Yes si vous souhaitez que le contrôleur de domaine redémarre automatiquement après une installation réussie, valeur No si vous souhaitez redémarrer le contrôleur de domaine manuellement. Si vous ne voulez pas que le contrôleur de domaine redémarre automatiquement et si vous ne voulez pas obtenir une invite, utilisez la valeur NoAndNoPromptEither.

ApplicationPartitionsToReplicate=noms uniques séparés par des virgules (et entre guillemets) des partitions de l'annuaire d'applications que vous souhaitez inclure lorsque vous installez Active Directory à partir d'un support de sauvegarde restaurée (ou * pour inclure toutes les partitions de l'annuaire d'applications). L'utilisation de cette entrée nécessite Windows Server 2003 avec Service Pack 1 (SP1) et le niveau fonctionnel de la forêt Windows Server 2003. Pour plus d'informations sur l'utilisation de cette entrée, consultez Inclure des partitions de l'annuaire d'applications dans une installation Active Directory à partir de supports de sauvegarde.

Gestion d'Active Directory à partir de la ligne de commande Les outils de ligne de commande suivants peuvent être utilisés pour gérer Active Directory.

Nom Description

CSVDE Importe et exporte les données Active Directory en utilisant le format CSV.

Dsadd Ajoute utilisateurs, groupes, ordinateurs, contacts et unités d'organisation à Active Directory.


Nom Description

Dsmod Modifie un objet existant d'un type spécifique dans l'annuaire. Les types d'objets qui peuvent être modifiés sont les suivants : utilisateurs, groupes, ordinateurs, serveurs, contacts et unités d'organisation.

Dsrm Supprime les objets du type spécifié d'Active Directory.

Dsmove Renomme un objet sans le déplacer dans l'arborescence de l'annuaire ou déplace un objet de son emplacement actuel dans l'annuaire vers un nouvel emplacement à l'intérieur d'un même contrôleur de domaine (pour des déplacements entre différents domaines, utilisez l'outil de ligne de commande Movetree).

Dsquery Recherche une liste d'objets dans l'annuaire à partir de critères de recherche spécifiés. S'utilise dans un mode générique pour rechercher tout type d'objet ou dans un mode spécialisé pour rechercher des types d'objets sélectionnés. Les types d'objets spécifiques qui peuvent être recherchés par le biais de cette commande sont les suivants : ordinateurs, contacts, sous-réseaux, groupes, unités d'organisation, sites, serveurs et utilisateurs.

Dsget Affiche les attributs sélectionnés de types d'objets spécifiques d'Active Directory. Les types d'objets dont les attributs peuvent être affichés sont les suivants : ordinateurs, contacts, sous-réseaux, groupes, unités d'organisation, serveurs, sites et utilisateurs.

LDIFDE Crée, modifie et supprime des objets d'annuaire. Cet outil permet également d'étendre le schéma, d'exporter les informations sur les utilisateurs et les groupes Active Directory vers d'autres applications ou services, et de remplir Active Directory de données issues d'autres services d'annuaire.

Ntdsutil Outil de gestion Active Directory à usage général. Utilisez Ntdsutil pour assurer la maintenance de la base de données Active Directory, gérer les opérations à maître unique et supprimer les métadonnées laissées par les contrôleurs de domaine qui ont été supprimés du réseau sans avoir été correctement désinstallés.


Serveur DHCP (Dynamic Host Configuration Protocol)

L'installation minimale constitue une plateforme idéale pour les serveurs destinés à exécuter des services réseau de base, tels que DHCP, DNS et les services de fichiers. Un serveur DHCP mis en service à partir de l'installation minimale se caractérise par une stabilité accrue et des besoins en maintenance réduits.

Installation du rôle DHCP À l'invite de commandes, tapez :

start /w ocsetup DHCPServerCore

Si le serveur DHCP est installé dans un domaine Active Directory, il doit être autorisé dans Active Directory.

À l'invite de commandes, tapez :

netsh dhcp add server dhcpsrv1.example.microsoft.com 10.2.2.2

Création d'une étendue DHCP Vous pouvez configurer et activer une étendue DHCP à partir de la ligne de commande en utilisant netsh ou à distance en utilisant le composant logiciel enfichable MMC DHCP.


netsh dhcp server 10.2.2.2 add scope 10.2.2.0 255.255.255.0 MyScope MyComment netsh dhcp server 10.2.2.2 add iprange 10.2.2.10 10.2.2.20 netsh dhcp server 10.2.2.2 scope 10.2.2.0 set state 1


Désinstallation du rôle DHCP À l'invite de commandes, tapez :

start /w ocsetup DHCPServerCore /uninstall

Remarque : la console de gestion DHCP peut être utilisée depuis une installation complète de Windows Server 2008 pour gérer à distance un serveur DHCP basé sur une installation minimale de Windows Server.


Serveur DNS (Domain Name System)

Le rôle de serveur DNS bénéficie également de la stabilité accrue et des besoins en maintenance réduits caractéristiques d'une installation minimale de Windows Server.

Installation du rôle DNS À l'invite de commandes, tapez :

start /w ocsetup DNS-Server-Core-Role

Création d'une zone DNS Vous pouvez configurer une zone DNS à partir de la ligne de commande en utilisant dnscmd ou à distance en utilisant le composant logiciel enfichable MMC DNS.


dnscmd /zoneadd test.reskit.com /dsprimary dnscmd /zoneadd test.reskit.com /dsprimary dnscmd /recordadd test A 10.0.0.5


Désinstallation du rôle DNS À l'invite de commandes, tapez :

start /w ocsetup DHCPServerCore /uninstall

Remarque : la console de gestion DNS peut être utilisée depuis une installation complète de Windows Server 2008 pour gérer à distance un serveur DNS basé sur une installation minimale de Windows Server.


Serveur de fichiers sur une installation minimale

Le rôle de serveur de fichiers est installé par défaut pour fournir une prise en charge du partage administratif pour les outils de gestion. Pour installer d'autres fonctionnalités de serveur de fichiers, procédez comme indiqué ci-dessous.

Installer des fonctionnalités de rôle de serveur de fichiers • Pour un service de réplication de fichiers, tapez :

start /w ocsetup FRS-Infrastructure

• Pour un service Système de fichiers distribués (DFS), tapez :

start /w ocsetup DFSN-Server

• Pour un service de réplication DFS, tapez :

start /w ocsetup DFSR-Infrastructure-ServerEdition

• Pour un système de fichiers réseau, tapez :

start /w ocsetup ServerForNFS-Base


Tapez ensuite :

start /w ocsetup ClientForNFS-Base

• Pour un stockage d'instance unique, tapez :

start /w ocsetup SIS

Remarque : vous pouvez désinstaller les options du rôle de serveur de fichiers en utilisant les commandes mentionnées ci-dessus, complétées du commutateur /uninstall.

Améliorations apportées au système de fichiers Windows Server 2008 intègre de nouvelles fonctionnalités puissantes qui profitent à son système de fichiers, le système de fichiers NFTS (Windows NT File System) : la réparation spontanée NTFS et NTFS transactionnel.

• Réparation spontanée NTFS

Jusqu'ici, vous deviez utiliser l'outil Chkdsk.exe pour résoudre les problèmes d'endommagement des volumes du système de fichiers NTFS sur un disque. Ce processus est gênant et interrompt la disponibilité des systèmes Windows. Les améliorations apportées à la base du code noyau NTFS rectifient les incohérences sur disque avec un besoin limité de chkdsk dans son mode exclusif (sauf en conditions extrêmes).

• NTFS transactionnel

Le système de fichiers NTFS transactionnel contribue à préserver l'intégrité des données et à gérer les conditions d'erreur de manière fiable. Windows Server 2008 s'appuie sur la prise en charge des transactions en mode noyau pour fournir une version transactionnelle du système de fichiers NTFS. Le gestionnaire de transactions au niveau noyau (KTM, Kernel Transaction Manager) permet le développement d'applications qui utilisent des transactions. Il permet également d'implémenter le système de fichiers NTFS transactionnel—qui autorise les opérations avec transactions au sein du système de fichiers NTFS—et le Registre transactionnel—qui autorise les opérations de Registre avec transactions.


Gestion de l'installation minimale

Comme aucune interface graphique utilisateur n'est disponible pour bon nombre d'opérations Windows, l'installation minimale demande de la part des administrateurs une certaine maîtrise dans l'utilisation d'une invite de commandes ou des techniques de script pour assurer l'administration locale du serveur. Windows PowerShell peut également être utilisé pour gérer une installation minimale. Windows PowerShell permet aux professionnels de l'informatique d'assurer plus facilement l'administration du système et d'accélérer l'automatisation. Les administrateurs peuvent également gérer l'installation minimale à l'aide des composants logiciels enfichables MMC d'un ordinateur exécutant Windows Server 2008. Dans ce cas, les administrateurs doivent désigner l'ordinateur exécutant l'installation minimale comme étant l'ordinateur distant à gérer dans le composant logiciel enfichable MMC.

• En utilisant les outils de ligne de commande Windows à l'invite de commandes, vous pouvez gérer les serveurs qui exécutent une installation minimale de Windows Server.

• En utilisant un autre ordinateur Windows, vous pouvez utiliser le client Terminal Server pour vous connecter au serveur exécutant l'installation minimale et gérer ce dernier à distance. L'environnement de commandes de la session Terminal Server sera l'invite de commandes.

• En utilisant un autre ordinateur Microsoft Windows® Vista ou Windows Server 2008, vous pouvez utiliser le shell distant Windows pour exécuter des outils de ligne de commande et des scripts sur le serveur exécutant l'installation minimale de Windows Server.

• En utilisant un composant logiciel enfichable MMC, vous pouvez vous connecter à un serveur exécutant une installation minimale comme vous le feriez avec tout autre ordinateur Windows.


Vous ne pouvez pas exécuter toutes les tâches à distance à partir de la ligne de commande ou par le biais d'un composant logiciel enfichable MMC. Pour vous permettre de configurer ces paramètres, le script scregedit.wsf est fourni avec l'installation minimale de Windows Server 2008. Vous pouvez utiliser scregedit.wsf pour configurer le fichier d'échange, activer les mises à jour automatiques, activer le rapport d'erreurs, activer le mode d'administration à distance de Terminal Server et activer les clients Terminal Server des versions précédentes de Windows de façon à établir une connexion avec l'ordinateur basé sur l'installation minimale de Windows Server.

Scregedit.wsf se trouve dans le dossier \Windows\System32 du serveur exécutant l'installation minimale.

Exemples d'utilisations :

Obtention d'aide sur l'utilisation de scregedit.swf :

Cscript c:\windows\system32\scregedit.wsf /?

Obtention d'aide sur la ligne de commande de l'installation minimale :

Cscript c:\windows\system32\scregedit.wsf /CLI

Activation des mises à jour automatiques :

Cscript c:\windows\system32\scregedit.wsf /AU 4


Atelier pratique 1 : Installation minimale


• installer Windows Server dans sa version minimale ; • configurer une installation minimale de Windows Server ; • ajouter et configurer des rôles dans une installation minimale de Windows Server ; • ajouter la fonctionnalité de sauvegarde à une installation minimale

de Windows Server ; • gérer l'installation minimale de Windows Server.


Configuration de l'atelier pratique Pour cet atelier pratique, vous allez utiliser l'environnement d'ordinateur virtuel disponible. Avant de débuter l'atelier pratique :

• Le mot de passe pour les images est Pa$$w0rd. • Allumez l'ordinateur SEA-DC-01. Ouvrez une session en tant qu'administrateur.


• Allumez l'ordinateur SEA-SRV-01. • Capturez le support Windows Server 2008 (DVD ou image ISO) en tant

que CD virtuel.

• Laissez l'ordinateur virtuel s'exécuter pendant quelques minutes avant de lancer l'atelier pratique. le temps que la boîte de dialogue Installer Windows apparaisse.

• Allumez l'ordinateur SEA-SRV-03. • Vous aurez besoin d'une copie de Windows Server 2008 pour mener à bien

la dernière étape de l'atelier pratique.


Exercice 1 : Installation de Windows Server dans sa version minimale

Dans cet exercice, vous allez installer Windows Server 2008 dans sa version minimale sur un nouveau serveur.


• procéder à une installation minimale de Windows Server 2008 sur un nouveau serveur



1. Procéder à une installation minimale de Windows Server 2008 sur un nouveau serveur

• Installez Windows Server 2008 dans sa version minimale sur SEA-SRV-01.

Remarque : le support d'installation de Windows Server 2008 se trouve dans un fichier d'image ISO situé dans C:\Eval. Sélectionnez CD | Capture ISO Image dans le menu Virtual PC pour commencer le processus d'installation de Windows Server 2008.

• Vous n'avez pas besoin de terminer l'installation pour passer au prochain exercice de l'atelier pratique. Fermez l'ordinateur virtuel SEA-SRV-01.


Exercice 2 : Configurer l'installation minimale Dans cet exercice, vous allez apprendre à configurer certains paramètres courants de l'installation minimale à partir de l'interface de ligne de commande.


• définir le mot de passe de l'administrateur • activer le serveur • changer le fuseau horaire • modifier les paramètres de langue et de clavier



1. Activer le serveur

• À l'invite de commandes, utilisez Slmgr.vbs pour activer le serveur.

Q À quoi sert la commande slmgr.vbs ? R À gérer les informations de licence

de Windows et à activer Windows. • Tapez Cscript windows\system32\slmgr.vbs SEA-DC-01

Administrator Pa$$w0rd:-ato et appuyez sur ENTRÉE.

Q Quel est le résultat de cette opération ? R slmgr.vbs essaie d'activer SEA-DC-01

à distance mais échoue du fait de l'absence d'une connexion Internet qui aurait permis de faire aboutir l'activation.

2. Changer le fuseau horaire

• Utilisez la commande date pour définir la date. • Utilisez la commande control timedate.cpl pour définir

le fuseau horaire.

3. Modifier les paramètres de langue et de clavier

• Utilisez la commande control intl.cpl pour modifier les options régionales et linguistiques.

Q Quels sont les symboles monétaires proposés ?

R $ et €


Exercice 3 : Ajouter et configurer des rôles serveur Dans cet exercice, vous allez utiliser l'invite de commandes pour modifier la configuration du rôle de serveur de fichiers et ajouter le rôle DNS.


• configurer le rôle de serveur de fichiers • ajouter le rôle DNS



1. Configurer le rôle Serveur de fichiers

• Utilisez netsh pour configurer l'adresse IP 192.168.16.4 / 255.255.255.0

• Ensuite : utilisez netsch pour configurer le serveur DNS principal 192.168.16.1

• Utilisez netdom pour intégrer SEA-SRV-03 au domaine contoso.

• Utilisez netdom pour remplacer le nom de l'ordinateur par SEA-SRV-03.

• Ajoutez la fonctionnalité FRS-Infrastructure au rôle Serveur de fichiers sur SEA-SRV-03.

2. Ajouter le rôle Serveur DNS

• Ajoutez le rôle Serveur DNS à SEA-SRV-03. Ajoutez une zone DNS et un enregistrement DNS.


Exercice 4 : Ajouter la fonctionnalité de sauvegarde Dans cet exercice, vous allez ajouter la fonctionnalité de sauvegarde à SEA-SRV-01.


• ajouter la fonctionnalité de sauvegarde



1. Ajouter la fonctionnalité de sauvegarde

• Utilisez l'invite de commandes pour ajouter la fonctionnalité de sauvegarde à SEA-SRV-03.


Exercice 5 : Gestion de l'installation minimale Dans cet exercice, vous allez créer un répertoire et le partager à l'aide d'outils d'administration à distance et de ligne de commande.


• partager un répertoire de fichiers localement • gérer les utilisateurs à distance à l'aide de la console MMC • activer la gestion à distance de Windows • explorer le shell distant Windows (WinRS) • activer l'administration à distance de Terminal Server • utiliser l'administration à distance de Terminal Server



1. Partager un répertoire de fichiers localement

• Utilisez l'invite de commandes pour créer le dossier c:\public.

• Créez un petit fichier texte nommé c:\public\Bonjour.txt. • Partagez c:\public en tant que dossier public en utilisant

les autorisations par défaut.

2. Gérer les utilisateurs à distance à l'aide de la console MMC

• Sur SEA-DC-01, connectez-vous à \\SEA-SRV-03\public et essayez de modifier Bonjour.txt.

• Utilisez le composant logiciel enfichable Gestion de l'ordinateur pour modifier les autorisations de partage de \\SEA-SRV-03\public. Octroyez l'autorisation Écriture à CONTOSO\Utilisateurs du domaine.

• Servez-vous des autorisations que vous venez d'octroyer pour modifier Bonjour.txt

3. Activer la gestion à distance de Windows

• Utilisez l'invite de commandes sur SEA-SRV-03 pour activer la fonctionnalité Gestion à distance de Windows.

4. Explorer le shell distant Windows (WinRS)

• Utilisez le Shell distant Windows sur SEA-DC-01 pour exécuter des commandes à distance sur SEA-SRV-03.

5. Activer l'administration à distance de Terminal Server

• Utilisez l'invite de commandes sur SEA-SRV-03 pour activer le mode Administration à distance des services Terminal Server.


(suite)



6. Utiliser l'administration à distance de Terminal Server

• Sur SEA-DC-01, utilisez la Connexion Bureau à distance pour gérer à distance SEA-SRV-03.


Fin de l'atelier pratique Une fois l'atelier pratique terminé, vous devez arrêter les ordinateurs virtuels sans enregistrer les modifications.

Module 4 : Sauvegarde Windows


Leçon 1 : Infrastructure de sauvegarde 4-2 Leçon 2 : Supports optiques 4-14 Leçon 3 : Utilitaires de restauration 4-22 Atelier pratique 1 : Sauvegarde et restauration des données système 4-25







Version 1.2

Module 4 : Sauvegarde Windows 4-1


La fonction de sauvegarde Windows a été améliorée avec Microsoft® Windows Server® 2008 grâce à des nouveautés telles que la fonction Sauvegarde de l'ordinateur. Dans Windows Server 2008, la fonction de sauvegarde utilise le service de cliché instantané des volumes (VSS) et une technologie de sauvegarde au niveau du bloc pour sauvegarder et récupérer efficacement le système d'exploitation, les fichiers et les dossiers. Une fois que la première sauvegarde complète a été créée, la fonction de sauvegarde exécute automatiquement des sauvegardes incrémentielles en enregistrant uniquement les données qui ont été modifiées depuis la dernière sauvegarde. Ce module examine en détail toutes les nouveautés de la fonction de sauvegarde Windows.


• présenter la nouvelle infrastructure de sauvegarde, notamment le service de cliché instantané des volumes ;

• identifier les supports compatibles avec la fonction de sauvegarde de Windows Server 2008 ;

• restaurer des sauvegardes Windows Server 2008.

4-2 Module 4 : Sauvegarde Windows

Leçon 1 : Infrastructure de sauvegarde

Cette leçon décrit les nouvelles fonctionnalités de sauvegarde de Windows Server 2008 et présente également la nouvelle infrastructure de sauvegarde.


• décrire les exigences liées à la réalisation d'un plan de sauvegarde ; • énumérer les nouvelles fonctionnalités de sauvegarde de Windows Server 2008 ; • présenter la nouvelle infrastructure de sauvegarde ; • décrire le service de cliché instantané des volumes ; • expliquer la différence entre les sauvegardes planifiées et manuelles.


Principes de base de la sauvegarde

Une perte involontaire de données sur un ordinateur peut avoir diverses causes : une surtension, la foudre, une inondation, une défaillance matérielle ou un programme malveillant. Il apparaît donc crucial dans une organisation de sauvegarder les données importantes pour éviter de les perdre.

Déterminer quelles données sauvegarder est l'un des éléments à prendre en compte au moment d'établir un plan de sauvegarde. Sur un ordinateur personnel, un utilisateur peut souhaiter sauvegarder ses données bancaires et financières, ses photographies numériques, les logiciels et les fichiers musicaux qu'il a achetés et téléchargés sur Internet, son carnet d'adresses de messagerie, un calendrier Microsoft Outlook et autres documents personnels.

Cette décision est encore plus critique pour les entreprises. En effet, la perte de données d'entreprise peut avoir de graves conséquences sur la productivité d'une société. Dans la plupart des cas, une sauvegarde complète des données doit être privilégiée. Toutefois, au moment de décider des données à intégrer à une sauvegarde, une entreprise peut être amenée à se poser la question suivante : quelles sont les données indispensables à la société ? Il peut s'agir de données telles que les informations contenues dans la base de données clients. De même, les données concernant la paie des employés peuvent s'avérer cruciales dans la mesure où les entreprises doivent les communiquer à l'administration fiscale. Les entreprises ont également tout intérêt à protéger les paramètres du Registre.


Dès lors que la décision a été prise quant aux données à sauvegarder, l'étape suivante consiste à déterminer l'emplacement de stockage de la sauvegarde. Les possibilités de stockage sont nombreuses : disque dur externe ou interne, CD, DVD ou encore disques mémoire flash USB.

Pour plus de sécurité, une organisation a tout intérêt à stocker ces sauvegardes sur site et hors site. Cette mesure peut s'avérer salutaire dans certains cas, notamment en cas d'incendie, où les données risquent d'être détruites.


Nouveautés de la fonction de sauvegarde de Windows Server 2008

La fonction de sauvegarde de Windows Server 2008 intègre plusieurs améliorations.

• La fonction de sauvegarde fait appel au service de cliché instantané des volumes (VSS) et à la technologie de sauvegarde au niveau du bloc pour sauvegarder et récupérer efficacement le système d'exploitation, les fichiers et les dossiers. Une fois que la première sauvegarde complète a été créée, la fonction de sauvegarde exécute automatiquement des sauvegardes incrémentielles en enregistrant uniquement les données qui ont été modifiées depuis la dernière sauvegarde. À la différence des versions précédentes, les sauvegardes complètes et incrémentielles n'ont pas besoin d'être effectuées manuellement.

• Les éléments peuvent à présent être restaurés en les choisissant directement dans la sauvegarde à partir de laquelle la récupération sera réalisée. L'utilisateur peut récupérer l'ensemble du contenu d'un dossier ou seulement certains fichiers spécifiques. Auparavant, si l'élément était stocké dans une sauvegarde incrémentielle, il était nécessaire d'effectuer une restauration manuelle à partir de plusieurs sauvegardes. Autrement dit, les nouvelles options de restauration sont beaucoup plus simples et rapides d'utilisation.

• La sauvegarde fonctionne de pair avec les nouveaux outils de récupération Windows pour faciliter la récupération du système d'exploitation. Une récupération peut avoir pour cible le serveur d'origine voire, en cas de défaillance matérielle, un nouveau serveur dépourvu de tout système d'exploitation.


• La fonction de sauvegarde s'accompagne désormais d'un Assistant qui guide l'utilisateur tout au long du processus de création de sauvegardes quotidiennes. Les volumes système sont automatiquement inclus dans toutes les sauvegardes planifiées.

• Enfin, les volumes peuvent être sauvegardés de façon manuelle directement sur DVD. La fonction de sauvegarde permet toujours d'effectuer des sauvegardes manuelles à destination de dossiers partagés et de disques durs. Les sauvegardes planifiées sont stockées sur disque dur.


Nouvelle infrastructure de sauvegarde

Le service de cliché instantané des volumes (VSS) fut inauguré par Microsoft® Windows® XP et Microsoft® Windows® Server 2003. Il s'agit d'une infrastructure qui facilite la communication entre les applications, les sous-systèmes de stockage et les applications de gestion du stockage (notamment les applications de sauvegarde). Ce service définit, conserve et exploite des copies ponctuelles de données de stockage.

Le service VSS fut développé pour répondre à plusieurs problèmes courants de sauvegarde de volume : fichiers inaccessibles, état de fichier incohérent et interruptions de service. L'inaccessibilité des fichiers pendant une sauvegarde tenait au fait que certaines applications en cours d'exécution devaient laisser les fichiers ouverts en mode exclusif, ce qui empêchait les programmes de sauvegarde de les copier. Même si une application n'ouvre pas ses fichiers en mode exclusif, il est possible (du fait du bref laps de temps nécessaire pour ouvrir, sauvegarder et fermer un fichier) que les fichiers copiés sur un support de stockage n'indiquent pas tous le même état d'application. Pour garantir l'accessibilité des fichiers et l'intégrité des données sauvegardées, il peut être nécessaire de suspendre et/ou d'arrêter tous les programmes en cours d'exécution au moment d'effectuer une sauvegarde de volume ; autrement dit, les sauvegardes doivent limiter au minimum les interruptions de service.

La solution VSS a été conçue pour permettre aux développeurs de créer des enregistreurs qui puissent être sauvegardés efficacement par n'importe quelle application de sauvegarde utilisant des demandeurs. Un enregistreur est un composant d'application qui stocke les informations permanentes sur un ou plusieurs volumes participant à la synchronisation des clichés instantanés. En règle générale, il s'agit d'une application de base de données telle que SQL Server ou Exchange Server, ou bien d'un service système comme Active Directory.


Un demandeur est une application qui demande à ce qu'un cliché instantané de volume soit créé. Il peut s'agir d'une application de sauvegarde.

Le composant suivant de l'infrastructure de sauvegarde est le composant fournisseur. Un fournisseur a pour fonction de créer et gérer les clichés instantanés. À titre d'exemple, citons le fournisseur système intégré au système d'exploitation ou les fournisseurs matériels accompagnant les groupes de stockage.

Les volumes de disque se composent du volume source qui contient les données faisant l'objet d'un cliché instantané et du volume de stockage qui conserve les fichiers de stockage de clichés instantanés pour le fournisseur logiciel de copie à l'écriture du système.


Clichés instantanés

Un cliché instantané de volume représente une copie complète et en lecture seule d'un volume au moment précis où il est créé. Les clichés instantanés sont également appelés captures instantanées ou points de restauration. Ces captures instantanées sont utilisées par les applications de sauvegarde et de restauration, y compris par les fonctionnalités de sauvegarde de Windows Server 2008.

Effectuer des sauvegardes manuelles s'avère un bon utile de protéger ses données ; toutefois, Windows Server 2008 offre un tout autre niveau de défense avec une protection de fichiers intégrée. C'est ce qui fait des clichés instantanés une solution en libre-service fort appréciable pour les entreprises. Les clichés instantanés, ou captures instantanées, sont enregistrés tous les jours, et les modifications font l'objet d'un suivi au niveau du bloc et sont stockées sur le même volume (jusqu'à 15 % du disque est réservé à cet usage). Les clichés instantanés peuvent ensuite être sélectionnés pendant la restauration du système.

• Un cliché instantané peut être représenté par des blocs de données. • Une zone séparée est réservée au stockage des clichés instantanés. • Lorsque les données sont modifiées, le service VSS répercute ces modifications

dans les fichiers système. • Un administrateur peut par la suite restaurer le système par le biais de la Restauration

du système ou de la copie à l'écriture.


La méthode de copie à l'écriture crée des clichés instantanés différentiels et non des copies complètes des données d'origine. Elle copie les données d'origine avant qu'elles ne soient remplacées par de nouvelles modifications. Lorsqu'une modification intervient au niveau du volume d'origine, mais avant qu'elle ne soit écrite sur disque, le bloc qui est sur le point d'être modifié est lu puis enregistré dans une « zone de différences », qui conserve une copie du bloc de données avant qu'il ne soit remplacé par la modification. Il est ainsi possible de construire logiquement un cliché instantané qui représente le cliché instantané au moment précis où il a été créé à partir des blocs de la zone de différences et des blocs inchangés du volume d'origine.


Sauvegardes planifiées et manuelles

Dans Windows Server 2008, dès lors que la planification de sauvegarde a été définie, des sauvegardes s'exécutent automatiquement tous les jours. Lorsqu'une planification de sauvegarde est créée, il est possible d'opter pour la sauvegarde d'un ou plusieurs volumes spécifiques ou pour la sauvegarde du serveur tout entier. Lorsque l'option de sauvegarde de volumes spécifiques est utilisée, l'administrateur peut exclure les volumes qui ne contiennent pas le système d'exploitation ou les applications. Dans l'optique de protéger le serveur, la fonction de sauvegarde sélectionne automatiquement les volumes qui hébergent les systèmes d'exploitation et les applications. Les sauvegardes planifiées s'exécutent au moins une fois par jour, mais leur fréquence peut également être amplifiée en cas de nécessité.

La fonction de sauvegarde peut stocker jusqu'à 512 copies de sauvegarde. Toutefois, le nombre maximal de sauvegardes stockées peut être inférieur, selon la capacité de stockage du disque et l'étendue des modifications contenues dans chaque sauvegarde.

Il existe une solution de rechange qui consiste à stocker les données sur plusieurs disques durs externes, qui peuvent ainsi faire l'objet d'un roulement entre les emplacements de stockage sur site et hors site. Cela peut améliorer le plan de prévention des incidents d'une organisation en permettant la récupération des données en cas d'endommagement physique du matériel sur site. Les risques d'incendie ou de catastrophes naturelles telles qu'un tremblement de terre ou des inondations constituent une bonne raison d'utiliser une stratégie de stockage hors site.


Ce type de stratégie peut également être utilisé pour augmenter le nombre maximal de sauvegardes disponibles. Chaque disque externe peut stocker jusqu'à 512 sauvegardes, selon la quantité de données contenues dans chaque de sauvegarde, une capacité qui peut être augmentée en stockant les sauvegardes sur plusieurs disques.

Parallèlement aux sauvegardes planifiées, il existe la possibilité de sauvegarder les volumes manuellement. Ce type de sauvegarde permet de récupérer tous les volumes contenus dans la sauvegarde. Elle n'est utilisée que lorsqu'il s'agit de récupérer des volumes entiers. Par exemple, ce type de récupération peut s'avérer nécessaire dans le cas d'une récupération du système d'exploitation, d'une défaillance de disque ou d'une catastrophe naturelle. Lorsqu'une sauvegarde sur DVD contient tous les volumes critiques, le système d'exploitation peut être récupéré en récupérant les volumes. Les volumes critiques sont les volumes qui hébergent les composants système.


Démonstration : Présentation des fonctionnalités de sauvegarde

Dans cette démonstration, vous allez découvrir à quel endroit...

• planifier les sauvegardes • consulter l'état de sauvegarde


• Présentation de la console de sauvegarde de Windows Server 2008. • Détermination de l'endroit où sont planifiées les sauvegardes. • Détermination de l'endroit où sont effectuées les restaurations. • Consultation de l'état de sauvegarde.


Leçon 2 : Supports optiques

Cette leçon traite des nouveaux supports optiques compatibles avec la fonction de sauvegarde de Windows Server 2008. Les avantages et les utilisations des supports optiques y sont également examinés.


• identifier les supports que vous pouvez utiliser pour les sauvegardes dans Windows Server 2008 ;

• décrire le format UDF (Universal Disk Format) ; • décrire l'API de contrôle d'image (IMAPI) ; • décrire les fonctionnalités de l'API de contrôle d'image.


Consommateurs de plateforme optique

La nouvelle expérience utilisateur englobe plusieurs outils multimédias différents. Dans l'illustration ci-dessus, le lecteur Windows Media, Windows Édition Media Center, les composants Création de DVD Windows et Windows Movie Maker sont des applications qui s'adressent à l'utilisateur final. Elles lui permettent de visualiser des vidéos et des présentations multimédias et de créer des présentations multimédias numériques à graver sur des supports optiques. Les composants Shell Windows et Protection des données sont des utilitaires qui permettent à l'utilisateur de gérer et administrer son ordinateur. Ceux-ci sont considérés comme des consommateurs de plateforme optique en ce sens qu'ils continuent d'accéder à IMAPI pour enregistrer leurs données et qu'ils utilisent le format UDF pour formater le disque.

Sous la couche Consommateurs de plateforme optique se trouvent IMAPI et UDF. IMAPI est l'interface qui permet à ces applications d'interagir et de graver des données sur un support optique. Le format UDF est utilisé lors du formatage des disques optiques. Son acceptation comme format standard fait que les disques peuvent être utilisés avec différents systèmes.

CDROM.SYS est le niveau le plus bas de la plateforme Windows Server 2008. C'est à ce dispositif de niveau inférieur auquel accède l'interface IMAPI lorsqu'une application de support optique tente de lire ou graver un disque optique.


Vue d'ensemble du format UDF

Le format UDF intègre également un ensemble complet de fonctionnalités de façon à éviter toute perte d'informations lors d'une gravure dans ce format. Ce format prend également en charge plusieurs types de supports, notamment les supports en lecture seule et les supports réinscriptibles, ce qui rend nécessaire une gestion des défauts. Son format est simple et continue d'évoluer tout en conservant sa compatibilité avec les supports plus anciens de sorte que les nouveaux systèmes puissent toujours y accéder.

Le format UDF offre une prise en charge native de différentes caractéristiques propres aux systèmes de fichiers modernes, notamment les partition de grande taille et les noms de fichier longs.

Toutes les données des différents systèmes sont préservées même si le système d'exploitation ne reconnaît pas ces informations.

L'un des principaux avantages liés à l'utilisation du format UDF est que celui-ci est pris en charge et reconnu par de nombreux systèmes d'exploitation différents, y compris Windows, Mac OS X et Linux. Dans Microsoft Windows® Vista™, le format UDF 2.6 est utilisé pour lire différents supports, tandis que le format UDF 2.5 est utilisé lors de l'écriture sur les supports. Cette interopérabilité est appréciable pour les consommateurs et elle facilite grandement l'administration.

Le format UDF Bridge est un format UDF hybride qui est utilisé lors de l'écriture de données vidéo et audio sur disque. Pour des raisons de compatibilité, UDF Bridge intègre les systèmes de fichiers ISO 9660 et UDF version 1.02 sur le même disque. Windows® 95 ne pouvant pas lire les disques au format UDF, ISO 9660 doit être présent pour ces systèmes.


Un autre avantage du format UDF est qu'il prend en charge de nombreux types de disque. Le format UDF prend en charge des types de disque bien connus, comme les CD-R, DVD-R, CD-RW, DVD-RW et autres DVD-RAM. Il prend également en charge des technologies telles que les supports de mémoire flash, les disques amovibles Iomega et les CD-MRW (Mount Rainier Rewritable). Cela procure beaucoup plus de souplesse aux utilisateurs de ces types de support.

De même, le format UDF prend en charge les supports de capacité supérieure à 32 Go. Cela est d'autant plus important que la capacité des disques durs et des supports optiques croît régulièrement. Par le passé, les administrateurs d'entreprise utilisaient des supports plus petits pour leurs sauvegardes. Devant l'augmentation constante des besoins de stockage de données à des fins d'archivage et du fait des impératifs d'ordre temporel, les administrateurs doivent être en mesure de stocker leurs données sur des supports plus volumineux.

Le format UDF propose trois types de format différents. Le premier est le format « Plain ». Ce format peut être utilisé sur tout disque autorisant un accès en lecture/écriture aléatoire. Il s'agit du format d'origine qui était utilisé avec les disques en lecture seule. Il a été étendu par d'autres types de format. En règle générale, les systèmes d'exploitation qui prétendent prendre en charge le format UDF sont capables de lire le format Plain, mais ils ne prennent pas nécessairement en charge les autres types de format.

Lorsqu'il s'agit de graver un CD-R ou un DVD-R en utilisant le format Plain, l'ensemble du contenu doit être prégravé avant d'être gravé sur le disque. Le format de type « VAT » a été créé pour permettre les modifications sur les CD-R et DVD-R. Ce format permet d'utiliser ces disques comme disques durs virtuels. De ce fait, les utilisateurs peuvent ajouter et supprimer du contenu à leur gré. Toutefois, tous les systèmes d'exploitation ne prennent pas en charge cette variante de format UDF.

Les CD-RW et DVD-RW sont des supports qui peuvent être gravés et effacés plusieurs fois. Il convient cependant de noter que ceux-ci se détériorent avec le temps. À la longue, les secteurs du disque deviennent inutilisables. Avec le format « Spared », les données sont gravées sur le disque avec une table qui a pour fonction de remapper les secteurs usés. Si un système ne reconnaît pas le format Spared, il ne lira pas la table, mais il lira le disque comme s'il avait été codé avec le format Plain. Cela n'est pas problématique tant qu'il n'existe pas de secteurs défectueux ; toutefois, dans le cas inverse, des données incorrectes peuvent être retournées.


Vue d'ensemble de l'API de contrôle d'image

L'API de contrôle d'image (ou IMAPI, Image Mastering API) permet aux développeurs de préparer et de graver des images sur un disque. Cette opération s'effectue en trois étapes. La première étape consiste à construire une image de système de fichiers contenant les répertoires et les fichiers à graver. La deuxième étape vise à configurer un graveur de disque pour permettre la communication avec le périphérique optique. La troisième étape consiste à créer un enregistreur de données et à graver l'image sur le disque.

La nouveauté de cette version est son aptitude à graver des disques en une ou plusieurs sessions. Dans le cas des gravures en une seule session, les données sont gravées une fois avant la clôture du disque, et aucune autre gravure ne peut être réalisée. En revanche, la gravure multisession permet de graver les données en plusieurs sessions d'enregistrement, ce qui permet d'utiliser tout l'espace disponible sur un disque. Si la première session d'un disque multisession peut être lue par n'importe quel lecteur, la lecture des données des sessions suivantes nécessite un lecteur multisession.

Une autre nouveauté de cette version est son aptitude à créer des disques de démarrage. Cela permet à l'utilisateur de démarrer son ordinateur à partir d'un disque et non du disque dur. Cette possibilité revêt un certain intérêt pour les administrateurs qui souhaitent qu'un système soit démarré par CD ou DVD. IMAPI permet aux administrateurs de créer facilement des disques de démarrage sans utiliser une grande quantité de script.


IMAPI permet également aux administrateurs d'étendre les propriétés de gravure pour développer une prise en charge pour les nouveaux périphériques. En effet, la configuration requise pour graver peut changer à mesure que de nouveaux périphériques sont développés. IMAPI fournit une infrastructure qui permet aux administrateurs et aux développeurs de créer des applications qui tiendront compte de ces changements.

L'API de contrôle d'image est l'interface entre CDROM.Sys et tous les consommateurs de plateforme optique. Ces consommateurs se servent tous d'IMAPI pour graver ou lire les supports optiques. IMAPI a été conçu pour les développeurs C/C++ et maintenant pour les développeurs Microsoft Visual Basic® (VB) qui souhaitent écrire des scripts VB. Pour utiliser la version 2.0 d'IMAPI, un administrateur doit exécuter Windows Server 2008.

Avec la nouvelle API de contrôle d'image, il est possible d'enregistrer simultanément sur plusieurs lecteurs. Jusqu'ici, l'écriture sur un lecteur était un évènement à l'échelle du système qui empêchait l'écriture sur un autre disque tant que la première écriture n'était pas terminée.

Une autre amélioration est celle liée à la possibilité d'avoir plusieurs fichiers de dissimulation sur un même ordinateur client. Dans la première version, un seul fichier de dissimulation était autorisé à l'échelle du système. Ces fichiers sont utilisés lors de la préparation d'une gravure. L'API stocke les données dans ces fichiers monolithiques avant d'être écrites sur le disque. Le fait de disposer de plusieurs fichiers de dissimulation permet d'écrire différentes données sur différents lecteurs d'enregistrement à la fois.

Une amélioration majeure est celle qui permet d'exécuter ces fonctions par le biais d'un script. Cela a pour effet de simplifier le processus de gravure. Auparavant, l'utilisation de la fonctionnalité IMAPI nécessitait des compétences C/C++. Aujourd'hui, les développeurs Visual Basic peuvent accéder à ces appels de fonction en instanciant les classes et en créant les appels de fonction appropriés au moyen de leur script. Cela prend beaucoup moins de temps et cela dispense d'une grande partie de programmation de bas niveau qui était autrefois nécessaire, ce qui raccourcit les délais de développement et de maintenance.


Fonctionnalités de l'API de contrôle d'image

La fonction première d'IMAPI est de graver des images de disque. Là encore, cette opération s'effectue en trois étapes. La première étape consiste à construire une image de système de fichiers contenant les fichiers et les répertoires qui seront gravés sur le disque. CFileSystemImage est l'objet du système de fichiers qui contient les fichiers et les répertoires à placer sur le support optique. L'interface IFileSystemImage donne accès aux objets et aux paramètres du système de fichiers. Une fois que l'objet du système de fichiers a été créé, un appel aux méthodes CreateFileItem et CreateDirectoryItem crée les fichiers et les répertoires.

La deuxième étape vise à configurer un graveur de disque pour permettre la communication avec le périphérique optique. L'utilisation de l'objet MsftDiscMaster2 permet d'afficher tous les périphériques optiques du système. Une fois le graveur optique détecté, l'objet MsftDiscRecorder2 est créé, et l'interface IDiscRecorder2 fournit les méthodes pour accéder au lecteur.

La dernière étape consiste à créer un disque, à écrire et à graver l'image sur un disque. L'objet MsftDiscFormat2Data fournit une méthode d'écriture, les propriétés de la fonction d'écriture, ainsi que les propriétés spécifiques au support. L'interface IDiscFormat2Data donne accès à l'objet. Il existe d'autres interfaces pour effacer un CD/DVD et pour les fonctions TrackAtOnce destinées aux CD audio.


L'une des fonctionnalités étendues d'IMAPI est le contrôle de la progression de l'opération de gravure. Il existe plusieurs interfaces qui facilitent l'implémentation d'un gestionnaire d'événements destiné à recueillir les informations de progression. Par exemple, vous pouvez créer un gestionnaire d'événements qui indique la progression de la fonction d'écriture ou un gestionnaire d'événements qui fournit des informations sur une fonction d'effacement de disque. Si un script est utilisé, l'administrateur peut facilement utiliser la méthode WScript.ConnectObject pour associer un gestionnaire d'événements à l'objet.

Une autre fonctionnalité permet d'ajouter une image de démarrage à la section de démarrage du disque. Cette image de démarrage s'associe à l'objet du système de fichiers qui est écrit sur le disque. Une fois que l'image de démarrage est jointe, l'opération d'écriture suit le processus de gravure normal. L'image de démarrage permet de démarrer le système à l'aide d'un CD ou DVD.

La fonctionnalité de vérification de la compatibilité du lecteur avec IMAPI affiche les caractéristiques du lecteur de disque sans tenir compte du support qui est inséré dans le lecteur. Il existe des méthodes qui permettent de récupérer les caractéristiques de prise en charge, les profils et les pages de mode pris en en charge, de même que les paramètres actifs des fonctions et le profil actif du lecteur.

IMAPI propose une autre fonctionnalité qui permet à l'utilisateur de vérifier la prise en charge du support. Les méthodes disponibles affichent les caractéristiques du support qui est chargé dans le lecteur. Il existe des méthodes qui permettent de vérifier le type du support chargé, son état actif, ainsi que la compatibilité du graveur et du support.


Leçon 3 : Utilitaires de restauration

À l'image des fonctionnalités de sauvegarde, les utilitaires de restauration de Windows Server 2008 ont également bénéficié d'améliorations. Les utilitaires de restauration sont accessibles via les consoles de gestion Windows. L'environnement de récupération Windows permet également d'accéder à certaines fonctionnalités de restauration.


• identifier les différentes méthodes de restauration de données dans Windows Server 2008 ;

• restaurer les données système de Windows Server 2008.


Environnement de récupération Windows

L'environnement de récupération Windows (Windows RE) est basé sur l'environnement de préinstallation Windows (Windows PE). En exploitant l'instrumentation du système, Windows RE est à même de diagnostiquer les erreurs de pilote et l'état de démarrage.

• Lorsqu'un ordinateur affiche un écran bleu, il redémarre. • Si à ce stade, le gestionnaire de démarrage détecte une défaillance, le système bascule

dans Windows RE. • Windows RE lance automatiquement l'outil Réparation du démarrage qui va tenter

de diagnostiquer le problème en six tentatives, au maximum. • Si Windows RE n'est pas en mesure de résoudre le problème, vous pouvez essayer

de le faire avec des outils de récupération manuelle. • Si le problème est diagnostiqué, l'outil Réparation du démarrage répare l'ordinateur

et celui-ci redémarre. • Si le redémarrage n'aboutit pas, le processus recommence. • Si le redémarrage aboutit, le système d'exploitation démarre.

Tout au long de ce processus, Windows RE enregistre des journaux pour les administrateurs et le support de façon à faciliter la résolution des problèmes.


Restauration du système

La fonction Restauration du système peut s'exécuter dans l'environnement de récupération Windows pour réparer un ordinateur qui refuse de démarrer. Des points de restauration sont créés quotidiennement, soit lors de l'installation d'applications ou de pilotes, soit manuellement. Ces points de restauration et les modifications font l'objet d'un suivi au niveau du bloc. Les points de restauration qui sont créés automatiquement le sont à travers les clichés instantanés dont nous avons parlé plus tôt.

La fonction Restauration du système est pour les entreprises une bonne alternative à la réinstallation ou à la création de nouvelles images. Le seul fait de permettre aux administrateurs d'effectuer une restauration du système ajoute un niveau de sécurité supplémentaire.

• La fonction Restauration du système permet à l'utilisateur de sélectionner un point de restauration dans l'Assistant.

• La Restauration du système crée ensuite un point de restauration d'annulation. Les applications et la plupart des services sont fermés, tout comme d'autres actions d'arrêt. Après quoi, la Restauration du système monte un cliché instantané dans un volume en lecture seule.

• À ce stade, la Restauration du système remplace certains fichiers système et paramètres importants, redémarre l'ordinateur et présente les résultats à l'ouverture de session.


Atelier pratique 1 : Sauvegarde et restauration des données système


• installer la fonction de sauvegarde dans Windows Server 2008 ; • planifier une sauvegarde ; • créer une sauvegarde manuelle ; • planifier des sauvegardes quotidiennes des services de domaine Active Directory

à partir de la ligne de commande ; • effectuer une sauvegarde et une récupération à l'aide d'un client Windows Vista ; • restaurer des fichiers et des dossiers ; • accéder à l'environnement de récupération Windows.


Configuration de l'atelier pratique Pour cet atelier pratique, vous allez utiliser l'environnement d'ordinateurs virtuels disponible. Avant de débuter l'atelier pratique :

• Démarrez SEA-DC-01. • Ouvrez une session sur SEA-DC-01 en tant que CONTOSO\Administrateur

avec le mot de passe Pa$$w0rd.


• Vous aurez besoin d'une copie de Windows Server 2008 pour pouvoir effectuer la dernière étape de l'atelier pratique.

• Allumez l'ordinateur SEA-WRK-002. • Ouvrez une session sur SEA-WRK-002 en tant que CONTOSO\Administrateur

avec le mot de passe Pa$$w0rd. • Allumez l'ordinateur SEA-WRK-003. • Ouvrez une session sur SEA-WRK-003 en tant que CONTOSO\Administrateur

avec le mot de passe Pa$$w0rd.


Exercice 1 : Tâches d'installation Dans cet exercice, vous allez exécuter les tâches d'installation pour commencer à utiliser la fonction de sauvegarde.


• vérifier que la fonction de sauvegarde de Windows Server est installée • formater un deuxième disque



1. Vérifier que la fonction de sauvegarde de Windows Server est installée

• Ouvrez le Gestionnaire de serveur. • Assurez-vous que Utilitaire de sauvegarde

de Windows Server figure dans la liste située sous Résumé des fonctionnalités.

2. Formater un deuxième disque

• Ouvrez la console Gestion de l'ordinateur. • Dans l'arborescence de la console, développez

Stockage, puis cliquez sur Gestion des disques. • Dans l'espace non alloué pour le disque 2,

créez un Nouveau volume simple. • Attribuez la lettre de lecteur F. • Effectuez un formatage rapide.


Exercice 2 : Planification d'une sauvegarde Dans cet exercice, vous allez planifier des sauvegardes à l'aide d'un Assistant.


• sélectionner les volumes à sauvegarder • sélectionner l'heure d'exécution de la sauvegarde • sélectionner l'emplacement de la sauvegarde



1. Sélectionner les volumes à sauvegarder

• Ouvrez la console Backup. • Dans le volet Actions, cliquez sur Planification

de sauvegarde. • Dans la page Sélectionner les éléments de sauvegarde,

sélectionnez Personnalisé. • Désélectionnez Nouveau nom (F:).

2. Sélectionner l'heure d'exécution de la sauvegarde

• Heure de sauvegarde 12:00.

3. Sélectionner l'emplacement de la sauvegarde

• Disque de destination : Disque 2. • Dans la page Résumé, cliquez sur Annuler.


Exercice 3 : Création d'une sauvegarde manuelle Dans cet exercice, vous allez sauvegarder manuellement un serveur Windows Server 2008.


• effectuer une sauvegarde à l'aide de l'Assistant Sauvegarde unique



1. Effectuer une sauvegarde à l'aide de l'Assistant Sauvegarde unique

• Exécutez une Sauvegarde unique de Nouveau nom (F:).


Exercice 4 : Planification d'une sauvegarde quotidienne des services de domaine Active Directory via une ligne de commande

Dans cet exercice, vous allez planifier une sauvegarde via la ligne de commande.


• obtenir l'identificateur du disque de destination de la sauvegarde • planifier la sauvegarde



1. Obtenir l'identificateur du disque de destination de la sauvegarde

• À l'invite de commandes, tapez wbadmin get disks. • Notez l'identificateur de disque DiskIdentifier for F:

[Nouveau nom] : • ___________________________________________

2. Planifier la sauvegarde • Tapez wbadmin enable backup -addtarget:{DiskIdentifier} -schedule:09:00 -include:C:.

• Tapez O et appuyez sur ENTRÉE. • Type N.


Exercice 5 : Sauvegarde et restauration avec le client Vista Dans cet exercice, vous allez sauvegarder et restaurer des données à l'aide du client Windows Vista.


• déplacer Backup.txt vers le dossier Documents • sauvegarder des fichiers sur une station de travail Windows Vista • restaurer la sauvegarde sur une autre station de travail Windows Vista • afficher les fichiers restaurés sur la deuxième station de travail Windows Vista


Remarque : effectuez les étapes suivantes sur SEA-WRK-003.

1. Déplacer Backup.txt vers le dossier Documents

• Copiez D:\Labfiles\Mod4\Backup.txt dans le dossier Documents.

2. Sauvegarder des fichiers sur une station de travail Windows Vista

• Ouvrez le Centre de sauvegarde et de restauration. • Sauvegardez les fichiers dans le dossier Backup

de l'ordinateur SEA-DC-01. • Sauvegardez uniquement le dossier Documents

sur le lecteur C:\.


3. Restaurer la sauvegarde sur une autre station de travail Windows Vista

• Utilisez l'option Restauration avancée pour restaurer des Fichiers d'une sauvegarde effectuée sur un autre ordinateur.

• Restaurez le fichier Backup.txt du dossier Backup sur l'ordinateur SEA-DC-01.

4. Afficher les fichiers restaurés sur la deuxième station de travail Windows Vista

• Ouvrez le dossier Documents pour afficher le document de sauvegarde.


Exercice 6 : Restauration de fichiers et de dossiers Dans cet exercice, vous allez restaurer des fichiers et des dossiers à partir de la console de sauvegarde.


• utiliser l'Assistant Récupération



1. Utiliser l'Assistant Récupération pour restaurer des fichiers

• Vérifiez que la dernière sauvegarde est terminée avant de continuer.

• Dans la console de sauvegarde, cliquez sur Récupérer. • Page Type de récupération : Fichiers et dossiers. • Éléments à récupérer : développez SEA-DC-01 |

Disque local (C:) | Users | Administrateur, puis sélectionnez Documents.

• Enregistrez les documents récupérés dans un nouveau dossier nommé Récupération.


Exercice 7 : Tâches dans l’environnement de récupération Windows

Dans cet exercice, vous allez utiliser l'environnement de récupération Windows (Windows RE).


• afficher les options de l'environnement de récupération Windows



1. Afficher les options de l'environnement de récupération Windows

• Redémarrez l'ordinateur puis, lorsque vous y êtes invité, appuyez sur ENTRÉE pour démarrer avec le support CD.

• Choisissez l'option Réparer I’ordinateur. • Passez en revue les options de la boîte

de dialogue Options de récupération système. • Cliquez sur Redémarrer.


Fin de l'atelier pratique Une fois l'atelier pratique terminé, vous devez arrêter les trois ordinateurs virtuels sans enregistrer les modifications.

Module 5 : Mises à jour de Windows Server 2008 en matière de réseau


Leçon 1 : Réseaux et Windows Server 2008 5-2 Leçon 2 : Nouvelles fonctionnalités réseau 5-13 Leçon 3 : Service DNS et Windows Server 2008 5-27 Leçon 4 : Configuration du routage 5-37 Leçon 5 : Configuration de paramètres sans fil dans Windows Server 2008 5-53 Atelier pratique 1 : Examen des valeurs et paramètres réseau par défaut 5-63 Discussion relative à l'atelier pratique 5-68 Atelier pratique 2 : Paramètres de gestion DNS 5-69







Version 1.2

Module 5 : Mises à jour de Windows Server 2008 en matière de réseau 5-1


Microsoft® Windows Server® 2008 présente une pile TCP/IP complètement remaniée afin de simplifier la mise en réseau. Cette nouvelle pile TCP/IP renforce les performances, la sécurité et les caractéristiques d'évolutivité. Ce module couvre chacun de ces sujets et décrit les nouvelles fonctionnalités qui permettent d'améliorer les connaissances réseau.

En outre, les modifications du service de noms de domaine (DNS, Domain Name Service) dans Windows Server 2008 facilitent la gestion et l'utilisation des fonctionnalités DNS.


• décrire l'architecture réseau de Windows Server 2008 ; • identifier les fonctionnalités réseau nouvelles et améliorées

de Windows Server 2008 ; • dresser la liste des améliorations apportées au service DNS

avec Windows Server 2008 ; • décrire les composants de configuration du routage dans

Microsoft Windows Server 2008 ; • décrire les nouvelles fonctionnalités pour les réseaux sans fil.

5-2 Module 5 : Mises à jour de Windows Server 2008 en matière de réseau

Leçon 1 : Réseaux et Windows Server 2008

Puisque les besoins en matière de réseaux évoluent, Windows Server 2008 a intégré une nouvelle architecture TCP/IP pour y répondre. Avec la création de la version 6 du protocole IP (Internet Protocol), la pile TCP/IP avec Windows Server 2008 prend en charge des connexions qui utilisent à la fois la version 4 (IPv4) et la version 6 (IPv6) du protocole IP.


• décrire l'architecture réseau de Windows Server 2008 ; • identifier les fonctionnalités réseau nouvelles et améliorées

de Windows Server 2008 ; • expliquer de quelle manière la nouvelle pile TCP/IP améliore les réseaux ; • identifier la différence entre des adresses IPv4 et IPv6.


Rappel sur l'architecture réseau de Windows Server

Le protocole TCP/IP est le principal protocole de transport d'entreprise pris en charge par les systèmes d'exploitation Microsoft. Au début des années 90, Microsoft a commencé à créer une pile TCP/IP et des services visant à améliorer considérablement l'évolutivité des réseaux Microsoft. Avec le système d'exploitation Microsoft Windows NT 3.5, Microsoft a introduit une pile TCP/IP entièrement repensée. Cette nouvelle pile a été conçue afin d'incorporer de nombreuses avancées en matière de performances et de facilité d'administration développées depuis la pile TCP/IP d'origine. La pile avec Windows NT 3.5 a constitué une implémentation hautes performances du protocole TCP/IP conventionnel. Elle a évolué avec chaque version de Windows basé sur la base de code Windows NT afin d'inclure de nouvelles fonctionnalités et de nouveaux services permettant d'en améliorer les performances, la sécurité et la fiabilité.

L'architecture de la pile TCP/IP de Windows Server 2003 est illustrée sur cette page.


Nouvelles fonctionnalités réseau

Windows Server 2008 et le système d'exploitation Windows Vista™ incluent de nombreuses modifications et améliorations des protocoles et principaux composants de réseau suivants :

• la pile TCP/IP de nouvelle génération ; • le protocole IPv6 ; • la QoS (Quality of Service) basée sur la stratégie pour les réseaux d'entreprise.

Depuis le lancement de Windows 95, les besoins en matière de réseau ont considérablement évolué, notamment vers une utilisation plus répandue du haut débit et des liaisons sans fil. La pile TCP/IP de nouvelle génération incluse dans Windows Vista et Windows Server 2008 comprend un nouvel ensemble d'améliorations des performances afin d'augmenter le débit dans les environnements réseau à faible bande passante, à haute latence et à forte perte. La pile TCP/IP nouvelle génération est une refonte complète de la fonctionnalité TCP/IP pour les protocoles IP version 4 (IPv4) et version 6 (IPv6) qui permet de répondre aux besoins en matière de connectivité et de performances des divers environnements et technologies réseau d'aujourd'hui. De nombreuses fonctionnalités sont nouvelles ou améliorées dans Windows Server 2008, notamment la fonctionnalité Réglage automatique de la fenêtre de réception, la plateforme de filtrage Windows et la fonctionnalité ECN (Explicit Congestion Notification), entre autres.


Le protocole IPv6 a été conçu pour résoudre de nombreux problèmes du protocole IPv4 liés à la diminution des adresses, la sécurité, la configuration automatique et l'extensibilité. Son adoption permet également d'étendre les capacités d'Internet afin de permettre une variété de scénarios précieux et passionnants, tels que les applications pair à pair et mobiles. La pile TCP/IP de nouvelle génération prend en charge l'utilisation du protocole IPv6 via une pile IP double : une pile qui prend en charge à la fois l'utilisation des protocoles IPv4 et IPv6.

Dans Microsoft® Windows® Server 2003 et Microsoft® Windows® XP, la fonctionnalité QoS (Quality of Service) a été mise à la disposition des applications via les API GQoS (Generic QoS). Les applications qui utilisaient les API GQoS ont ainsi accédé à des fonctions de remise par priorité.


Nouvelle architecture TCP/IP

Cette diapositive illustre la nouvelle architecture de la pile TCP/IP dans Windows Server 2008. Les trois principales API via lesquelles les applications, les services ou d'autres composants système accèdent à la nouvelle pile TCP/IP dans Windows Server 2008 sont WSK (Winsock Kernel), Windows Sockets et TDI. Les clients WSK utilisent l'API WSK. Les applications et services basés sur Windows Sockets utilisent l'API Windows Sockets, lequel fonctionne via le pilote AFD (Ancillary Function Pilote) pour exécuter des fonctions Socket avec TCP/IP. Les clients NetBIOS sur TCP/IP et TDI précédents utilisent l'API TDI. TDX constitue une couche de conversion entre TDI et la nouvelle pile TCP/IP dans Windows Server 2008.

L'API de la plateforme de filtrage Windows (WFP) fournit une interface cohérente et universelle pour exécuter une inspection approfondie ou une modification de données dans le contenu des paquets. La nouvelle pile TCP/IP dans Windows Server 2008 permet d'accéder au chemin d'accès de traitement des paquets au niveau des couches réseau et transport. La nouvelle pile TCP/IP dans Windows Server 2008 envoie et reçoit des trames à l'aide de NDIS.


L'architecture de la nouvelle pile TCP/IP dans le pilote Windows Server 2008 (Tcpip.sys) se compose de trois couches :

• En premier lieu, la couche transport contient les implémentations des protocoles TCP et UDP, ainsi qu'un mécanisme permettant d'envoyer des paquets IP bruts qui n'ont pas besoin d'en-tête TCP ou UDP.

• Ensuite, la couche réseau contient les implémentations des protocoles IPv4 et IPv6 dans une architecture double couche IP.

• Enfin, la couche tramage contient les modules qui trament les paquets IPv4 ou IPv6. Il existe des modules pour les technologies réseau physiques telles que la technologie IEEE 802.3 (Ethernet), la technologie IEEE 802.11, les réseaux étendus et les interfaces IEEE 1394. Il existe également des modules pour les interfaces logiques telles que l'interface de bouclage, les tunnels basés sur IPv4 et les tunnels basés sur IPv6.

Notez que la conception architecturale de la nouvelle pile TCP/IP permet une architecture IP double. Windows XP et Windows Server 2003 prenaient en charge le protocole IPv6 en ajoutant une pile TCP/IP distincte pour IPv6. Avec la nouvelle architecture TCP/IP de Windows Server 2008, la prise en charge des protocoles IPv4 et IPv6 en cours d'exécution simultanée est native.

La pile TCP/IP inclut à présent une intégration étendue du protocole IPSec en tant que composant fondamental. En outre, la pile a été intégrée à des fonctionnalités de pare-feu et de performances.

Microsoft s'est associé à d'autres sociétés pour implémenter l'accélération TCP/IP matérielle, en permettant à l'UC hôte de passer moins de temps sur les sommes de contrôle TCP/IP et aux serveurs existants d'accélérer le débit total du trafic TCP/IP.

La fonctionnalité de mise à l'échelle, ou Réglage automatique de la fenêtre de réception, de Windows Server 2008 tient compte des liaisons à haute bande passante dans les situations de haute latence, ce qui permet d'améliorer considérablement l'expérience et le débit dans leur ensemble.

Les API incluses dans Windows Server 2008 proposent des partenaires de sécurité capables de mieux intégrer leurs services dans le protocole TCP/IP. Plus précisément, les partenaires sont en mesure de prendre des décisions de filtrage concernant la pile TCP/IP, par opposition à l'isolation du trafic et des paquets, en les traitant dans un extrait de code autonome, puis en les réinjectant dans le flux de données TCP/IP.


IPv6

En raison des préoccupations récentes liées à la diminution imminente du pool actuel d'adresses Internet et de la volonté de proposer d'autres fonctionnalités aux périphériques modernes, une mise à niveau de la version actuelle du protocole IPv4 a été définie. La nouvelle version, IP version 6 (IPv6), résout certains problèmes de conception non anticipés du protocole IPv4.

Les caractéristiques du protocole IPv6 sont les suivantes :

• Nouveau format d'en-tête : L'en-tête IPv6 présente un nouveau format conçu pour maintenir le traitement des en-têtes à un niveau minimum. Ce niveau est atteint en déplaçant à la fois des champs accessoires et des champs facultatifs vers des en-têtes d'extension placés après l'en-tête IPv6.

• Espace d'adressage étendu : Le protocole IPv6 comporte des adresses IP source et de destination de 128 bits (16 octets). Bien que 128 bits puissent exprimer plus de 3,4 x 1038 combinaisons possibles, l'espace d'adressage étendu du protocole IPv6 a été conçu pour tenir compte de plusieurs niveaux de sous-réseaux et d'allocations d'adresses depuis la dorsale Internet jusqu'aux sous-réseaux individuels au sein d'une organisation. Bien que seul un petit nombre des adresses possibles soit actuellement alloué à l'utilisation par les hôtes, de nombreuses adresses sont disponibles pour une utilisation future. Avec un nombre beaucoup plus important d'adresses disponibles, certaines techniques de conservation des adresses, telles que le déploiement de traducteurs d'adresses réseau (NAT, Network Address Translator), ne sont plus nécessaires.


• Infrastructure d'adressage et de routage efficace et hiérarchique : Les adresses globales IPv6 utilisées sur la partie IPv6 d'Internet sont conçues pour créer une infrastructure de routage efficace, hiérarchique et résumable en fonction de l'occurrence courante de plusieurs fournisseurs de services Internet.

• Configuration d'adresse sans état et avec état : Pour simplifier la configuration hôte, le protocole IPv6 prend en charge la configuration d'adresse avec état, telle que la configuration d'adresse en présence d'un serveur DHCP, ainsi que la configuration d'adresse sans état, telle que la configuration d'adresse en l'absence de serveur DHCP. Avec la configuration d'adresse sans état, les hôtes sur une liaison se configurent automatiquement avec les adresses IPv6 de cette liaison (« adresses locales de la liaison ») et avec les adresses dérivées des préfixes publiés par les routeurs locaux. Même en l'absence de routeur, les hôtes situés sur la même liaison peuvent se configurer automatiquement avec les adresses locales de la liaison et communiquer sans configuration manuelle.

• Sécurité intégrée : La prise en charge du protocole IPSec est une exigence de la suite de protocoles IPv6. Cette exigence offre une solution basée sur des normes en matière de besoins de sécurité du réseau et encourage l'interopérabilité entre différentes implémentations IPv6.

• Meilleure prise en charge de la remise par ordre de priorité : De nouveaux champs dans l'en-tête IPv6 définissent la manière de gérer et identifier le trafic. L'identification du trafic à l'aide d'un champ d'étiquette de flux dans l'en-tête IPv6 permet aux routeurs d'identifier et de fournir une gestion spéciale pour les paquets qui appartiennent à un flux, c'est-à-dire une série de paquets entre une source et une destination. Étant donné que le trafic est identifié dans l'en-tête IPv6, la prise en charge de la remise par ordre de priorité peut s'accomplir même lorsque la charge utile du paquet est chiffrée à l'aide du protocole IPSec.

• Nouveau protocole pour l'interaction des nœuds voisins : Le protocole de découverte de voisins pour IPv6 est une série de protocoles ICMP (Internet Control Message Protocol) pour les messages IPv6 (ICMPv6) qui gère l'interaction des nœuds voisins (nœuds sur la même liaison). La découverte de voisins remplace les messages ARP (Address Resolution Protocol) basés sur la diffusion, les messages de découverte de routeurs ICMPv4 et les messages ICMPv4 Redirection par des messages multidiffusion et monodiffusion de découverte de voisins efficaces.

• Extensibilité : Le protocole IPv6 s'étend facilement afin d'intégrer de nouvelles fonctionnalités via l'ajout d'en-têtes d'extension après l'en-tête IPv6. À la différence des options incluses dans l'en-tête IPv4, lequel peut uniquement prendre en charge 40 octets d'options, les en-têtes d'extension IPv6 sont seulement contraints par la taille du paquet IPv6.


Le tableau suivant souligne quelques-unes des différences principales entre les protocoles IPv4 et IPv6 :

IPv4 IPv6

La longueur des adresses source et de destination s'élève à 32 bits (4 octets).

La longueur des adresses source et de destination s'élève à 128 bits (16 octets).

La prise en charge du protocole IPSec est facultative.

La prise en charge du protocole IPSec est obligatoire.

Aucune identification de flux de paquets pour la gestion QoS par les routeurs n'est présente dans l'en-tête IPv4.

L'identification des flux de paquets pour la gestion QoS par les routeurs est incluse dans l'en-tête IPv6 à l'aide du champ d'étiquette de flux.

La fragmentation est effectuée à la fois par les routeurs et l'hôte expéditeur.

La fragmentation n'est pas effectuée par les routeurs, uniquement par l'hôte expéditeur.

L'en-tête inclut une somme de contrôle. L'en-tête n'inclut pas de somme de contrôle.

L'en-tête inclut des options. Toutes les données optionnelles sont déplacées vers des en-têtes d'extension IPv6.

Le protocole ARP (Address Resolution Protocol) utilise des trames de demande ARP multidiffusion pour résoudre une adresse IPv4 en adresse de couche liaison.

Les trames de demande ARP sont remplacées par des messages de sollicitation du voisin multidiffusion.

Le protocole IGMP (Internet Group Management Protocol) est utilisé pour gérer l'appartenance aux groupes de sous-réseaux locaux.

Le protocole IGMP est remplacé par des messages de écouverte d'écouteurs multidiffusion (MLD, Multicast Listener Discovery).

La découverte de routeurs ICMP est utilisée pour déterminer l'adresse IPv4 de la meilleure passerelle par défaut ; elle est facultative.

La découverte de routeurs ICMP est remplacée par des messages de sollicitation de routeurs et de publication de routage ; elle est obligatoire.

Les adresses de multidiffusion sont utilisées pour envoyer le trafic à tous les nœuds situés sur un sous-réseau.

Il n'existe pas d'adresses de multidiffusion IPv6. À a lace, une adresse de multidiffusion de tous les nœuds de l'étendue locale de liaison est utilisée.

Configuration manuelle ou via le protocole DHCP.

Aucune configuration manuelle ou via le protocole DHCP requise.

Utilise des enregistrements de ressources de type A (hôte) dans le système DNS (Domain Name System) pour mapper les noms d'hôtes aux adresses IPv4.

Utilise des enregistrements de ressources de type AAAA (hôte) dans le système DNS (Domain Name System) pour mapper les noms d'hôtes aux adresses IPv6.

Utilise des enregistrements de ressources de ype TR pointeur) dans le domaine DNS IN.ADDR.ARPA pour mapper les adresses IPv4 aux oms d'hôtes.

Utilise des enregistrements de ressources de type PTR (pointeur) dans le domaine DNS IP6.ARPA pour apper les adresses IPv6 aux noms d'hôtes.

Doit prendre en charge une taille de paquet s'élevant à 576 octets (fragmentation possible).

Doit prendre en charge une taille de paquet s'élevant à 1280 octets (sans fragmentation).


Windows Server 2008 prend en charge les protocoles IPv4 et IPv6 ensemble via une architecture double couche IP. Le protocole IPv6 est activé par défaut sans besoin de démarches supplémentaires par l'administrateur. La prise en charge de la double couche IP permet aux utilisateurs de commencer progressivement à utiliser des technologies de transition IPv6 capables de tunnelliser le trafic IPv6 sur un réseau IPv4 privé ou sur Internet à l'aide du protocole IPv4. Windows Server 2008 prend en charge de manière native les réseaux privés virtuels PPPv6 (Point-to-Point Protocol for IPv6) et L2TP (Layer Two Tunneling Protocol)/IPSec, ce qui permet aux utilisateurs d'accès à distance de profiter des avantages des réseaux IPv6.


Démonstration : Présentation des adresses IPv6


• localiser l'adresse IPv6 et identifier ses composants.


• Afficher l'adresse de liaison locale à l'aide de la commande ipconfig • Identification de l'ID de l'interface


Leçon 2 : Nouvelles fonctionnalités réseau

La nouvelle pile TCP/IP avec Windows Server 2008 propose de nouvelles fonctionnalités en matière de sécurité, performances et évolutivité. D'autres fonctionnalités de Windows Server 2008 reposent sur celles de la pile TCP/IP. Cette leçon présente ces fonctionnalités.


• répertorier les fonctionnalités qui permettent de renforcer la sécurité sur les réseaux Windows Server 2008 ;

• utiliser le pare-feu avancé de Windows ; • répertorier les fonctionnalités qui permettent d'améliorer les performances

sur les réseaux Windows Server 2008 ; • décrire la fonctionnalité Réglage auto fenêtre de réception ; • décrire la fonctionnalité QoS (Quality of Service) basée sur la stratégie ; • répertorier les fonctionnalités qui permettent d'améliorer l'évolutivité

sur les réseaux Windows Server 2008 ; • utiliser l'isolation de serveur et de domaine ; • décrire l'utilisation de l'isolation de serveur et de domaine.


Fonctionnalités de sécurité

Le but de la sécurité réseau est de réduire le risque lié aux menaces constantes subites par le réseau. Pour accomplir ce but, Windows Server 2008 inclut une couche supplémentaire de défense. Cette couche supplémentaire de défense ne supplante pas et ne remplace pas le besoin d'un pare-feu ni le besoin de la norme 802.1X ou de toute autre protection physique de l'accès réseau dont le réseau dispose peut-être déjà. Toutefois, elle réduit l'exposition globale aux attaques présentées sur Internet à l'ensemble des utilisateurs connus ou de confiance tel qu'ils sont déterminés par leur appartenance au domaine.

Ces nouvelles fonctionnalités de sécurité permettent une meilleure protection des données sensibles. Elles permettent de mieux contrôler qui a accès au réseau et aux serveurs qui contiennent les données sensibles d'entreprise, ce qui permet un modèle d'accès évolutif et multiniveaux.


Pare-feu Windows avec fonctions avancées de sécurité

À partir de Windows Vista® et Windows Server 2008, la configuration du pare-feu Windows et de la sécurité IP (IPsec, Internet Protocol Security) est combinée dans un seul outil, à savoir le composant logiciel enfichable MMC (Microsoft Management Console) Pare-feu Windows avec fonctions avancées de sécurité.Le composant logiciel enfichable MMC Pare-feu Windows avec fonctions avancées de sécurité remplace les précédents composants logiciels enfichables IPSec, Stratégies de sécurité IPsec et Moniteur de sécurité IP, pour la configuration des ordinateurs qui exécutent Windows Server 2008. Les précédents composants logiciels enfichables IPsec sont toujours inclus dans Windows afin de gérer les clients qui exécutent Windows Server 2003, Windows XP ou Windows 2000. Bien que les ordinateurs qui exécutent Windows Server 2008 puissent également être configurés et surveillés à l'aide des précédents composants logiciels enfichables IPsec, il n'est pas possible d'utiliser les anciens outils pour configurer les nombreuses nouvelles fonctionnalités et options de sécurité. Pour exploiter ces nouvelles fonctionnalités, vous devez configurer les paramètres à l'aide du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité ou à l'aide des commandes du contexte advfirewall de l'outil Netsh.


Le Pare-feu Windows avec fonctions avancées de sécurité propose plusieurs fonctions sur un ordinateur qui exécute Windows Server 2008 :

• Il permet de filtrer tout le trafic IPv4 (IP version 4) et IPv6 (IP version 6) entrant ou sortant de l'ordinateur. • Par défaut, tout le trafic entrant est bloqué sauf s'il s'agit d'une réponse

à une demande sortante précédente de l'ordinateur (trafic sollicité) ou s'il est autorisé spécifiquement par une règle créée afin d'autoriser ce trafic.

• Par défaut, tout le trafic sortant est autorisé, à l'exception des règles de sécurisation renforcée des services qui empêchent les services standard de communiquer de manière inhabituelle.

• Vous pouvez choisir d'autoriser le trafic en fonction des numéros de port, des adresses IPv4 ou IPv6, du chemin d'accès et du nom d'une application ou du nom d'un service qui s'exécute sur l'ordinateur, ou encore d'autres critères.

• Il permet de protéger le trafic réseau entrant ou sortant de l'ordinateur à l'aide du protocole IPsec afin de vérifier l'intégrité du trafic réseau, d'authentifier l'identité des ordinateurs ou utilisateurs expéditeurs ou destinataires et de chiffrer éventuellement le trafic à des fins de confidentialité.

Activation du Pare-feu Windows par défaut

Le Pare-feu Windows est activé par défaut sur les systèmes d'exploitation des clients Windows depuis Windows XP Service Pack 2, mais Windows Server 2008 est la première version serveur du système d'exploitation Windows sur laquelle le Pare-feu Windows est activé par défaut.

Remarque : un ordinateur qui exécute Windows Server 2003 et qui est mis à niveau vers Windows Server 2008 conserve le même état opérationnel du pare-feu qu'il avait avant la mise à niveau.

Simplification de la gestion des stratégies IPSec

Le nouveau comportement des stratégies IPSec offre la possibilité de demander, mais sans l'exiger, une protection IPSec pour des performances presque identiques à celles du trafic non protégé, parce qu'il ne requiert plus un délai de trois secondes. Cela vous permet de protéger le trafic où cela est nécessaire, sans avoir à créer autant de règles pour tenir compte explicitement des exceptions nécessaires. L'environnement est alors plus sécurisé, moins complexe et plus facile à dépanner.


Prise en charge de l'authentification IP (AuthIP)

Dans les versions antérieures de Windows, le protocole IPSec prenait uniquement en charge le protocole IKE (Internet Key Exchange) pour la négociation des associations de sécurité IPSec. Windows Vista et Windows Server 2008 prennent en charge une extension du protocole IKE connue sous le nom d'AuthIP (Authenticated IP). Le protocole AuthIP fournit des fonctionnalités d'authentification supplémentaires telles que les suivantes :

• Prise en charge de nouveaux types d'informations d'identification indisponibles dans le protocole IKE seul. En voici quelques-uns : certificats d'intégrité fournis par un serveur d'autorité HRA (Health Registration Authority) dans le cadre d'un déploiement de protection d'accès réseau (NAP), certificats basés sur l'utilisateur, informations d'identification des utilisateurs Kerberos et informations d'identification des utilisateurs ou ordinateurs NTLM version 2. Ces types d'informations d'identification s'ajoutent à ceux que le protocole IKE prend en charge, notamment les certificats d'ordinateurs, les informations d'identification Kerberos d'un compte d'ordinateur ou de simples clés prépartagées.

• Prise en charge de l'authentification à l'aide de plusieurs informations d'identification. Par exemple, il est possible de configurer le protocole IPSec afin d'exiger que le traitement des informations d'identification de l'ordinateur et de l'utilisateur soit correct avant d'autoriser le trafic. Cette configuration permet d'augmenter la sécurité du réseau en réduisant le risque d'utilisation d'un ordinateur approuvé par un utilisateur non approuvé.

Prise en charge de la protection du trafic entre les membres d'un domaine et les contrôleurs de domaine à l'aide du protocole IPSec

Les versions antérieures de Windows ne prennent pas en charge l'utilisation du protocole IPSec pour protéger le trafic entre les contrôleurs de domaine et les ordinateurs des membres du domaine. Windows Vista et Windows Server 2008 prennent en charge la protection du trafic réseau entre les ordinateurs des membres d'un domaine et les contrôleurs de domaine à l'aide du protocole IPSec, tout en permettant quand même à un ordinateur non-membre du domaine de rejoindre un domaine à l'aide d'un contrôleur de domaine protégé par IPSec.

Prise en charge améliorée du chiffrement

L'implémentation du protocole IPSec dans Windows Vista et Windows Server 2008 permet de prendre en charge des algorithmes supplémentaires pour la négociation en mode principal des associations de sécurité :

• Diffie-Hellman à courbe elliptique P-256, un algorithme à courbes elliptiques qui utilise un groupe de courbes aléatoires 256 bits.

• Diffie-Hellman à courbe elliptique P-384, un algorithme à courbes elliptiques qui utilise un groupe de courbes aléatoires 384 bits.


De plus, les méthodes de chiffrement suivantes qui utilisent la technologie AES (Advanced Encryption Standard) sont prises en charge :

• AES avec chiffrement progressif (CBC, Cipher Block Chaining) et une taille de clé de 128 bits (AES 128).

• AES avec CBC et une taille de clé de 192 bits (AES 192). • AES avec CBC et une taille de clé de 256 bits (AES 256).

Modification dynamique des paramètres selon le type d'emplacement réseau

Windows Vista et Windows Server 2008 peuvent notifier des applications réseau, telles que le Pare-feu Windows, à propos des modifications apportées aux types d'emplacements réseau disponibles via la totalité des cartes réseau attachées, des connexions d'accès à distance, des réseaux privés virtuels, etc. Windows prend en charge trois types d'emplacements réseau, et les programmes peuvent utiliser ces types d'emplacements pour appliquer automatiquement l'ensemble approprié d'options de configuration. Les applications doivent être écrites de sorte à profiter de cette fonctionnalité et à recevoir les notifications à propos des modifications apportées aux types d'emplacements réseau. Le Pare-feu Windows avec fonctions avancées de sécurité dans Windows Vista et Windows Server 2008 peut fournir différents niveaux de protection selon le type d'emplacement réseau auquel l'ordinateur est attaché. Les types d'emplacements réseau sont les suivants :

• Domaine. Ce type d'emplacement réseau est sélectionné lorsque l'ordinateur est membre d'un domaine et que Windows détermine qu'il est actuellement attaché au réseau qui héberge ce domaine. Cette sélection est automatique lorsque l'authentification auprès d'un contrôleur de domaine du réseau réussit.

• Privé. Ce type d'emplacement réseau peut être sélectionné pour les réseaux approuvés par l'utilisateur, tels qu'un réseau domestique ou de petite entreprise. Les paramètres attribués à ce type d'emplacement sont en général plus restrictifs que ceux d'un réseau de domaine en raison de la gestion supposée moins active d'un réseau domestique par rapport à un réseau de domaine. Un nouveau réseau détecté n'est jamais automatiquement affecté au type d'emplacement Privé. Un utilisateur doit choisir explicitement d'affecter le réseau au type d'emplacement Privé.

• Public. Ce type d'emplacement réseau est affecté par défaut à tous les nouveaux réseaux détectés. Les paramètres affectés à ce type d'emplacement sont en général les plus restrictifs à cause des risques de sécurité inhérents à un réseau public.

Remarque : la fonctionnalité du type d'emplacement réseau s'avère très utile sur les ordinateurs clients, plus particulièrement sur les ordinateurs portables, qui ont de fortes chances de passer d'un réseau à un autre. Un serveur a peu de chances d'être mobile ; par conséquent, la stratégie suggérée pour un ordinateur type qui exécute Windows Server 2008 consiste à configurer les trois profils de la même manière.


Intégration du Pare-feu Windows et de la gestion IPSec dans une interface utilisateur unique

Dans Windows Vista et Windows Server 2008, les interfaces utilisateur des composants pare-feu et IPsec sont maintenant combinées dans le composant logiciel enfichable MMC Pare-feu Windows avec fonctions avancées de sécurité et les commandes du contexte advfirewall de l'outil de ligne de commande Netsh.

Prise en charge complète de la protection du trafic réseau IPv4 et IPv6

Toutes les fonctionnalités de pare-feu et IPSec disponibles dans Windows Vista et Windows Server 2008 sont disponibles pour protéger à la fois le trafic réseau IPv4 et IPv6.

Isolation de domaine Pour isoler un domaine, vous utilisez un domaine Active Directory et une appartenance au domaine pour mettre en vigueur la stratégie réseau suivante : les ordinateurs membres du domaine acceptent uniquement des communications authentifiées et sécurisées en provenance d'autres ordinateurs membres du domaine. Cette stratégie réseau permet d'isoler les ordinateurs membres du domaine des ordinateurs non membres du domaine.

Pour configurer l'isolation de domaine, utilisez des paramètres de stratégie de groupe afin d'exiger que toutes les demandes de communication entrantes soient authentifiées à l'aide d'Active Directory et que les ordinateurs membres du domaine puissent initialiser des communications non protégées avec les ordinateurs non-membres du domaine. Vous pouvez éventuellement exiger le chiffrement de toutes les communications au sein du domaine isolé. Vous pouvez également configurer des exemptions afin que des ordinateurs approuvés spécifiques qui ne sont pas membres de domaine puissent initialiser des communications non protégées avec les ordinateurs membres du domaine.

L'isolation de domaine offre de nombreux avantages en :

• restreignant les communications entrantes sur les ordinateurs membres du domaine ; • fournissant d'autres mécanismes de sécurité conçus pour empêcher les

communications non sollicitées ; • encourageant l'appartenance à un domaine ; • sécurisant le trafic entre les ordinateurs membres du domaine.


Performances

Des améliorations de performances ont été apportées pour maximiser l'efficacité des transferts réseau à la fois à distance et sur des liaisons de réseau étendu et les accélérer, ce qui permet d'obtenir des réseaux capables d'optimiser la bande passante disponible. Avec Windows Server 2008, le protocole TCP constitue une technologie de modèle de file d'attente équilibrée, si bien que la capacité de la bande passante réseau n'est pas considérablement réduite si d'autres flux s'exécutent sur le réseau en même temps.

L'impact de la perte de paquets sur le débit a également été réduite. Précédemment, lors de l'exécution de Windows XP ou Windows Server 2003, PerfMon ou NetMon pouvaient détecter de manière inappropriée des conditions qui déclenchaient l'algorithme de contrôle de surcharge, habituellement une chute soudaine dans le débit suivie de son rétablissement. Le débit chutait alors soudainement et remontait lentement, ce qui constituait une condition de l'algorithme de contrôle de surcharge dans Windows XP. Dans Windows Server 2008, les étapes ont été rendues plus agressives pour traiter les situations de perte de paquets. Cela s'avère particulièrement important dans les connexions sans fil, où l'utilisateur final le remarque le plus.


Réglage automatique de la fenêtre de réception

La pile TCP/IP de nouvelle génération prend en charge le réglage automatique de la fenêtre de réception afin de déterminer correctement la valeur maximale de la taille de la fenêtre de réception pour une connexion selon les conditions actuelles du réseau. Le réglage automatique de la fenêtre de réception permet de déterminer en continu la taille optimale de la fenêtre de réception, connexion par connexion, en calculant le produit de la bande passante et du délai (bande passante multipliée par la latence de la connexion) ainsi que le taux de récupération des applications, puis de régler automatiquement et régulièrement la taille maximale de la fenêtre de réception.

Avec un meilleur débit entre les pairs TCP, l'utilisation de la bande passante réseau augmente pendant le transfert de données. Si toutes les applications sont optimisées pour recevoir des données TCP, alors l'utilisation totale du réseau peut augmenter considérablement, ce qui rend QoS (Quality of Service) important pour les réseaux sur le point d'être saturés.

Certains tests sur microsoft.com et le réglage automatique de la fenêtre de réception ont produit des résultats impressionnants. Actuellement, il existe une liaison très large entre deux centres de données sur la côte ouest des États-Unis. Ces deux centres de données exécutent Windows Server 2003 avec des cartes réseau de 100 mégabits. Cette configuration présente un débit de 10 mégabits par seconde. Le passage au système d'exploitation Windows Server 2008 sur le même matériel a montré une augmentation à un débit de 80 mégabits par seconde.

Lorsque la carte réseau a été remplacée par une carte réseau en gigabits sans accélération matérielle, le débit est passé à 400 mégabits.


Qualité de service basée sur la stratégie

Le réglage automatique de la fenêtre de réception et la qualité de service basée sur la stratégie fonctionnent ensemble pour accélérer et rendre plus efficaces les transferts de données pour des réseaux sur le point de saturer. Sans stratégies QoS en place, la plupart du trafic réseau est remis selon le principe du « meilleur effort », bien que les utilisateurs et applications dont les besoins en matière de performances réseau sont spécifiques puissent exiger des niveaux de services préférentiels.

À partir de Windows 2000, les applications devaient être écrites ou modifiées afin d'utiliser l'API GQoS (Generic QoS). À présent, avec Windows Server 2008, les administrateurs peuvent attribuer une priorité au trafic et gérer les taux d'émission pour toute application réseau.

QoS dans Windows Server 2008 permet aux services informatiques de gérer de manière centralisée le trafic réseau envoyé par les ordinateurs qui exécutent Windows Server 2008 ou Windows Vista, indépendamment de l'application et au sein d'une infrastructure Active Directory entière. Étant donné que la gestion du trafic se produit au niveau de la couche réseau, les applications n'ont pas besoin d'être écrites ou modifiées pour utiliser des API GQoS, ce qui permet une gestion du trafic pour les applications existantes.

Avec une stratégie QoS, la gestion de la bande passante peut être effectuée en définissant un taux d'accélération pour le trafic sortant. Le taux d'accélération défini dans une stratégie QoS limite le trafic réseau sortant total à un taux spécifié.


En outre, une stratégie QoS peut marquer le trafic réseau sortant à l'aide d'une valeur DSCP (Differentiated Services Code Point), laquelle autorise la classification au niveau IP. Lorsque des routeurs reçoivent le trafic, ils utilisent la valeur DSCP pour déterminer dans quelle file d'attente placer le paquet. Les routeurs utilisent des paramètres configurés pour placer le trafic dans une file d'attente haute priorité, meilleur effort ou inférieure au meilleur effort. Cette stratégie garantit que le trafic réseau plus critique obtient la préférence et n'est pas retardé par un autre trafic de priorité inférieure.

Le marquage DSCP et l'accélération peuvent être utilisés ensemble pour gérer le trafic efficacement.

QoS dans Windows Server 2008 permet aux services informatiques de hiérarchiser ou gérer le taux d'émission du trafic réseau sortant selon les conditions suivantes :

• adresses source ou de destination IPv4 ou IPv6 • protocole TCP, UDP ou les deux • ports source ou de destination

Windows Vista prend en charge QoS. Windows Server 2008 QoS peut être configuré à l'aide de la stratégie de groupe.


Évolutivité

Avec Windows Server 2008, il n'est pas nécessaire de mettre à niveau le matériel serveur pour tirer parti des améliorations en termes d'évolutivité.

Dans l'architecture des ordinateurs multiprocesseurs qui exécutent Windows Server 2003 ou Windows XP, une carte réseau est associée à un processeur unique. Le processeur unique doit gérer tout le trafic reçu par la carte réseau, indépendamment de la disponibilité ou de l'indisponibilité d'autres processeurs. Cette architecture pour les serveurs à gros volume tels que les serveurs Web confrontés à Internet ou les serveurs de fichiers d'entreprise limite la quantité de trafic entrant et le nombre de connexions pouvant être gérés par le processeur associé à la carte réseau. Si le processeur associé à la carte réseau ne peut pas gérer le trafic entrant assez rapidement, la carte réseau ignore ce trafic, ce qui provoque des retransmissions et une réduction des performances.

Dans Windows Server 2008, une carte réseau n'est pas associée à un processeur unique. Le traitement du trafic entrant est plutôt distribué parmi les processeurs de l'ordinateur. La nouvelle fonctionnalité de mise à l'échelle côté réception (RSS, Receive-Side Scaling) permet à beaucoup plus de trafic d'être reçu par une carte réseau sur un serveur à gros volume. Les réseaux peuvent traiter plus de trafic entrant avec des ordinateurs multiprocesseurs au lieu d'ajouter des serveurs, ce qui permet de diminuer les coûts. Pour profiter de cette nouvelle fonctionnalité, les administrateurs doivent installer des cartes réseau compatibles RSS capables d'exploiter la nouvelle architecture de Windows Server 2008. Les cartes réseau compatibles RSS sont disponibles auprès de nombreux fournisseurs de cartes réseau.


Isolation de serveur et de domaine

L'isolation de serveur et de domaine tient compte de la définition de limites logiques pour isoler le trafic réseau. La stratégie de groupe dans Windows Server 2008 permet auxzorganisations de tirer parti des informations d'identification de domaine de chaque ordinateur afin de distribuer des stratégies IPSec aux hôtes compris dans le domaine. Ces hôtes sont en mesure de communiquer normalement ; toutefois, lorsqu'un ordinateur qui n'est pas lié au domaine essaie de se connecter, l'accès lui est refusé. Cette authentification est effectuée au niveau de la couche IP sous toutes les applications, ce qui signifie qu'il n'est pas nécessaire de réécrire les applications et que la modification est transparente pour les utilisateurs.

Avec l'isolation de serveur et de domaine, les ordinateurs approuvés peuvent encore se connecter à Internet.

Un modèle d'accès multiniveaux tient compte de la création de groupes de sécurité pour les employés de différents départements. Les ordinateurs de ces employés sont placés dans un groupe de sécurité, afin que l'ordinateur, en plus d'être lié au domaine, doive faire partie du groupe de sécurité.

Une autre conséquence de l'isolation de serveur et de domaine est que les employés de départements différents ne sont pas en mesure d'accéder aux informations des autres départements, sauf s'ils sont membres du groupe de sécurité de ces autres départements.

Dans Windows Server 2008 et Vista, l'isolation de serveur et de domaine est configurée via WFAS et peut être administrée via des stratégies de groupe.


Utilisation de l'isolation de serveur et de domaine

La sécurité IP, communément appelée IPSec, est une suite de protocoles IP utilisée pour fournir des communications sécurisées. Des stratégies et filtres IPSec distribués par une stratégie de groupe fournissent l'autorisation aux utilisateurs et ordinateurs authentifiés. IPSec offre la capacité de protéger les communications entre les groupes de travail, les ordinateurs de réseau local, les clients et serveurs de domaine, les succursales, les extranets et les clients itinérants. Bien que le protocole IPSec comporte une fonctionnalité de chiffrement, il est principalement utilisé pour l'authentification de bout en bout.

En associant le nouveau pare-feu Windows et le protocole IPSec, les administrateurs sont en mesure de mieux appliquer les scénarios d'isolation. L'application des scénarios d'isolation permet de renforcer la sécurité en restreignant l'accès aux ressources réseau aux ordinateurs liés au domaine.

Les administrateurs sont constamment confrontés à la difficulté de fournir une accessibilité aux ordinateurs et utilisateurs autorisés et de maintenir la sécurité. Une solution d'isolation de serveur et de domaine basée sur le protocole IPSec et Active Directory permet aux administrateurs de segmenter dynamiquement leur environnement Windows en des réseaux logiques plus isolés et plus sécurisés selon une stratégie et sans modifications coûteuses de leur infrastructure ou applications réseau. La segmentation dynamique :

• crée une couche supplémentaire de protection par stratégie ; • permet de mieux protéger le réseau contre les attaques coûteuses ; • permet d'empêcher l'accès non autorisé aux ressources réseau approuvées ; • permet de respecter la législation ; • réduit les coûts d'exploitation.


Leçon 3 : Service DNS et Windows Server 2008

Les modifications en matière de réseau dans Windows Server 2008 se rapportent à des caractéristiques supplémentaires et aux fonctionnalités des serveurs DNS (Domain Name Service). Cette leçon présente les nouvelles caractéristiques du service DNS avec Windows Server 2008, outre les modifications apportées au client DNS qui facilitent la mise en réseau.


• décrire le fonctionnement du service DNS ; • décrire les fonctionnalités DNS ; • dresser la liste des caractéristiques du service DNS avec Windows Server 2008 ; • expliquer les modifications apportées au client DNS.


Présentation du service DNS

Le system DNS (Domain Name System) est un système d'attribution de noms aux ordinateurs et services réseau, organisé dans une hiérarchie de domaines. Les réseaux TCP/IP, tels qu'Internet, utilisent le système DNS pour localiser des ordinateurs et des services par l'intermédiaire de noms conviviaux.

Pour faciliter l'utilisation des ressources réseau, des systèmes de noms tels que le système DNS offrent un moyen de faire correspondre le nom convivial d'un ordinateur ou service à d'autres informations associées à ce nom, telles qu'une adresse IP. Un nom convivial est plus facile à apprendre et à mémoriser que les adresses numériques que les ordinateurs utilisent pour communiquer sur un réseau. La plupart des gens préfèrent utiliser un nom convivial, tel que sales.contoso.com, pour localiser un serveur de messagerie électronique ou un serveur Web sur un réseau, plutôt qu'une adresse IP, telle que 162.16.0.1. Lorsqu'un utilisateur entre un nom DNS convivial dans une application, les services DNS convertissent ce nom en adresse numérique.

Un ordinateur client envoie le nom d'un hôte distant à un serveur DNS, lequel répond par l'adresse IP correspondante. L'ordinateur client peut alors envoyer des messages directement à l'adresse IP de l'hôte distant. Si le serveur DNS n'a pas d'entrée dans sa base de données correspondant à l'hôte distant, il peut répondre au client par l'adresse d'un serveur DNS plus susceptible de disposer d'informations à propos de cet hôte distant, ou il peut interroger l'autre serveur DNS lui-même. Ce processus peut avoir lieu de façon récurrente jusqu'à ce que l'ordinateur client reçoive l'adresse IP ou qu'il soit établi que le nom demandé n'appartient pas à un hôte inclus dans l'espace de noms DNS spécifique.


Fonctionnalités DNS

Le serveur DNS dans Windows Server 2008 est conforme à l'ensemble des spécifications RFC relatives à la définition et à la normalisation du protocole DNS. Étant donné que le service Serveur DNS est conforme aux spécifications RFC et qu'il peut utiliser des formats de fichiers de données et d'enregistrements de ressources DNS standard, il peut fonctionner avec la plupart des autres implémentations de serveurs DNS, telles que les implémentations DNS qui utilisent le logiciel BIND (Berkeley Internet Name Domain).

En outre, le serveur DNS dans Windows Server 2008 offre les avantages spéciaux suivants dans un réseau Windows :

• Un serveur DNS est requis pour la prise en charge des services de domaine Active Directory (AD DS). Lors de l'installation du rôle AD DS sur un serveur, des options d'installation et de configuration du serveur DNS sont automatiquement proposées. Les zones DNS peuvent être stockées dans le domaine ou les partitions de l'annuaire d'applications des services de domaine Active Directory. Une partition est un conteneur de données des services de domaine Active Directory qui différencie les données selon les divers objectifs de réplication. Il est possible de spécifier la partition Active Directory dans laquelle la zone doit être stockée et l'ensemble des contrôleurs de domaine parmi lesquels figurent les données de la zone est répliqué.

• Le service DNS qui s'exécute sur Windows Server 2008 prend en charge un type de zone appelé zone de stub. Une zone de stub est une copie d'une zone qui contient uniquement les enregistrements de ressources nécessaires à l'identification des serveurs DNS faisant autorité pour la zone en question. Une zone de stub maintient un serveur DNS, qui héberge une zone parente, informé des serveurs DNS qui font autorité sur sa zone enfant. Cela permet de maintenir l'efficacité de la résolution des noms DNS.


• Le service Serveur DNS offre une intégration dans d'autres services, et il contient des fonctionnalités qui vont au-delà de celles spécifiées dans les spécifications RFC DNS. Ces fonctionnalités comprennent l'intégration dans d'autres services, tels que AD DS, WINS (Windows Internet Name Service) et le protocole DHCP (Dynamic Host Configuration Protocol).

• Le composant logiciel enfichable DNS de la console MMC (Microsoft Management Console) propose une interface utilisateur graphique pour la gestion du service Serveur DNS. Il inclut également plusieurs assistants de configuration pour effectuer des tâches d'administration de serveur courantes.

• Les clients peuvent utiliser le service Serveur DNS pour mettre à jour dynamiquement des enregistrements de ressources selon le protocole de mise à jour dynamique (RFC 2136). Cela permet d'améliorer l'administration DNS en réduisant le temps nécessaire à la gestion manuelle de ces enregistrements. Les ordinateurs qui exécutent le service Client DNS peuvent inscrire leurs noms DNS et adresses IP de manière dynamique. En outre, le service Serveur DNS et les clients DNS peuvent être configurés de sorte à exécuter des mises à jour dynamiques sécurisées. Cette fonctionnalité permet aux seuls utilisateurs authentifiés disposant des droits appropriés de mettre à jour des enregistrements de ressources sur le serveur. Les mises à jour dynamiques sécurisées sont uniquement disponibles pour les zones intégrées à Active Directory.

• Le service DNS avec Windows Server 2008 prend en charge le transfert de zone incrémentiel entre les serveurs. Les transferts de zone permettent de répliquer des informations à propos d'une partie de l'espace de noms DNS parmi des serveurs DNS. Les transferts de zone incrémentiels permettent de répliquer uniquement les parties modifiées d'une zone, ce qui permet de conserver la bande passante réseau.

• Le service Serveur DNS étend une configuration de redirecteur standard à l'aide de redirecteurs conditionnels. Un redirecteur conditionnel est un serveur DNS sur un réseau qui redirige des requêtes DNS en fonction du nom du domaine DNS contenu dans les requêtes. Par exemple, un serveur DNS peut être configuré afin de rediriger toutes les requêtes qu'il reçoit concernant des noms se terminant par sales.contoso.com vers l'adresse IP d'un serveur DNS spécifique ou vers les adresses IP de plusieurs serveurs DNS.


Nouvelles caractéristiques du service DNS dans Windows Server 2008

Le service Serveur DNS de Windows Server 2008 offre plusieurs fonctionnalités nouvelles et améliorées par rapport à celui des systèmes d'exploitation Microsoft Windows NT Server, Windows 2000 Server et Windows Server 2003.

Une nouvelle fonctionnalité concerne le chargement de zones en arrière-plan. Les très grandes entreprises dotées de zones extrêmement volumineuses qui stockent leurs données DNS dans AD DS constatent parfois que le redémarrage d'un serveur DNS peut nécessiter une heure ou plus afin d'extraire les données DNS du service d'annuaire. En conséquence, le serveur DNS est effectivement indisponible pour traiter les demandes des clients pendant la durée du chargement des zones AD DS.

Un serveur DNS qui exécute Windows Server 2008 charge désormais en arrière-plan les données de zone à partir des services de domaine Active Directory lorsqu'il redémarre, de sorte qu'il puisse répondre aux demandes de données d'autres zones.

• Lorsque le serveur DNS démarre, il énumère tout d'abord toutes les zones à charger. • Ensuite, il charge des indications de racine à partir de fichiers ou du stockage AD DS.

Toutes les zones sauvegardées dans des fichiers sont chargées, c'est-à-dire les zones stockées dans des fichiers plutôt que dans AD DS.

• Ensuite, le serveur DNS commence à répondre aux requêtes et aux appels de procédure distante (RPC).

• Enfin, il engendre le chargement par un ou plusieurs threads des zones stockées dans AD DS.


Étant donné que la tâche de chargement des zones est effectuée par des threads distincts, le serveur DNS est en mesure de répondre aux requêtes pendant que le chargement de zones est en cours. Si un client DNS demande des données pour un hôte situé dans une zone qui a déjà été chargée, le serveur DNS répond par les données (ou, si nécessaire, par une réponse négative) comme prévu. Si la requête concerne un nœud qui n'a pas encore été chargé dans la mémoire, le serveur DNS lit les données du nœud à partir d'AD DS et met à jour la liste des enregistrements du nœud en conséquence.

Les serveurs DNS qui exécutent Windows Server 2008 prennent à présent en charge les adresses IPv6 de manière aussi complète qu'ils prennent en charge les adresses IPv4.

Windows Server 2008 contient un nouveau type de contrôleur de domaine, appelé contrôleur de domaine en lecture seule. Un contrôleur de domaine en lecture seule fournit, en effet, un cliché instantané d'un contrôleur de domaine avec un accès en lecture seule configurable, ce qui le rend moins vulnérable aux attaques. Vous pouvez installer un contrôleur de domaine en lecture seule aux emplacements où la sécurité physique du contrôleur de domaine ne peut pas être garantie. Pour prendre en charge des contrôleurs de domaine en lecture seule, un serveur DNS qui exécute Windows Server 2008 prend en charge un nouveau type de zone, appelé zone en lecture seule principale (également décrite comme la zone de succursale). Lorsqu'un ordinateur devient contrôleur de domaine en lecture seule, il réplique une copie en lecture seule complète de toutes les partitions de l'annuaire d'applications que le service DNS utilise, y compris la partition de domaine, ForestDNSZones et DomainDNSZones. Cela permet de garantir que le serveur DNS qui s'exécute sur le contrôleur de domaine en lecture seule possède une copie en lecture seule complète de toutes les zones DNS stockées sur un contrôleur de domaine central dans ces partitions d'annuaire. L'administrateur d'un contrôleur de domaine en lecture seule peut consulter le contenu d'une zone principale en lecture seule ; toutefois, il peut modifier le contenu uniquement en modifiant la zone sur le contrôleur de domaine central.

Zone GlobalNames Aujourd'hui, de nombreux clients Microsoft déploient le service WINS sur leurs réseaux. En tant que protocole de résolution de noms, le service WINS est souvent utilisé comme protocole de résolution de noms secondaire aux côtés du service DNS. Le service WINS est un protocole plus ancien et il utilise NetBIOS sur TCP/IP (NetBT) ; par conséquent, il devient obsolète. Toutefois, les entreprises continuent d'utiliser le service WINS, habituellement parce qu'il est avantageux pour elles d'utiliser des enregistrements statiques et globaux qui portent les noms en une seule partie que le service WINS fournit.

Afin que les organisations puissent évoluer vers un environnement tout-DNS (ou pour faire profiter des avantages que représentent les noms globaux en une seule partie aux réseaux tout-DNS), le service Serveur DNS dans Windows Server 2008 prend à présent en charge une nouvelle zone, appelée GlobalNames, pour contenir ces noms. D'ordinaire, l'étendue de réplication de cette zone est la forêt entière, ce qui garantit que la zone produit l'effet désiré de fournir des noms uniques en une seule partie dans la forêt entière.


La zone GlobalNames n'est pas un nouveau type de zone ; toutefois, elle se distingue par son nom réservé. Le nom GlobalNames indique au service Serveur DNS qui s'exécute sur Windows Server 2008 que la zone doit être utilisée pour la résolution des noms uniques. Le déploiement recommandé de la zone GlobalNames consiste à utiliser une zone intégrée à AD DS (nommée GlobalNames) et distribuée globalement. La zone GlobalNames peut contenir des enregistrements DNS afin de faire correspondre un nom en une seule partie à un nom de domaine pleinement qualifié (FQDN, Fully Qualified Domain Name) à l'aide d'un enregistrement de ressource CNAME, par exemple. Le nom de domaine pleinement qualifé permet alors à la logique DNS existante d'être utilisée pour convertir le nom en adresse IP.

Considérations relatives à la zone GlobalNames • Pour obtenir les fonctionnalités de la zone GlobalNames pour un domaine donné

ou une forêt donnée, tous les serveurs DNS faisant autorité doivent exécuter Windows Server 2008 (version bêta 3 ou supérieure). Notez qu'il n'est toutefois pas nécessaire que tous les contrôleurs de domaine exécutent Windows Server 2008. Les contrôleurs de domaine qui ne sont pas également des serveurs DNS faisant autorité peuvent exécuter d'autres versions de Windows lorsque la zone GlobalNames est déployée.

• Vérifiez qu'il n'existe aucune zone existante nommée GlobalNames. S'il en existe une, vous devez la renommer.

• Pour une zone GlobalNames à plusieurs forêts, vérifiez que les serveurs qui n'hébergent pas la zone GlobalNames sont intégrés aux services de domaine Active Directory et qu'ils hébergent la zone _msdcs de leur forêt. La zone GlobalNames elle-même peut être stockée dans un fichier.

• Pour obtenir les fonctionnalités de la zone GlobalNames pour un domaine donné ou une forêt donnée, tous les serveurs DNS exécutant Windows Server 2008 qui font autorité pour une zone et qui traitent les demandes de requêtes des clients doivent être configurés avec une copie locale de la zone GlobalNames ou être en mesure de contacter des serveurs DNS distants qui hébergent la zone GlobalNames. Pour simplifier la configuration et la gestion, nous vous recommandons de configurer des serveurs DNS faisant autorité avec la copie de la zone GlobalNames stockée sur le site Active Directory local.

• Vérifiez que le paramètre du Registre de la zone GlobalNames a été activé sur tous les serveurs DNS, y compris ceux qui n'hébergent pas cette zone localement, à l'aide de dnscmd comme suit :

• dnscmd <nom du serveur>/config /enableglobalnamessupport 1.


• Les administrateurs doivent configurer statiquement des noms dans la zone GlobalNames. Un ensemble approprié d'enregistrements pouvant être ajoutés à la zone GlobalNames comprend les enregistrements de tous les noms gérés par informatique qui sont déjà configurés statiquement dans le service WINS. Si les noms gérés par informatique sont disponibles via la zone GlobalNames, et si aucun autre nom en une seule partie ne doit être résolu globalement au sein de la forêt ou de plusieurs forêts, les clients ne reviendront pas à des serveurs WINS.

• Les mises à jour dynamiques dans la zone GlobalNames ne sont pas prises en charge actuellement.

• Parce que la zone GlobalNames est relativement statique, lorsqu'elle est intégrée aux services de domaine Active Directory, elle ne doit pas produire une quantité excessive de trafic sur les serveurs DNS contrôleurs de domaine qui hébergent la zone GlobalNames.

• Pour plus d'informations sur le type de zone GlobalNames, consultez la page suivante sur le déploiement de la zone GlobalNames des serveurs DNS : http://www.microsoft.com/downloads/thankyou.aspx?familyId=a1f8d1da-e416-46c0-9c53-05bac1075e3c&displayLang=en (en anglais).


Modifications apportées au client DNS

Microsoft Windows Vista et Windows Server 2008 présentent de nouvelles fonctionnalités dans le logiciel client DNS.

La première est la fonctionnalité LLMNR (Link-Local Multicast Name Resolution). Les clients DNS peuvent utiliser la fonctionnalité LLMNR, également connue sous le nom de multidiffusion DNS ou mDNS, pour résoudre des noms sur un segment de réseau local lorsqu'un serveur DNS n'est pas disponible. Par exemple, en cas d'échec d'un routeur, lequel engendre le retrait d'un sous-réseau de tous les serveurs DNS du réseau, les clients situés sur le sous-réseau qui prennent en charge la fonctionnalité LLMNR peuvent continuer à résoudre des noms, pair par pair, jusqu'à ce que la connexion réseau soit restaurée. En plus d'assurer la résolution de noms en cas d'échec du réseau, la fonctionnalité LLMNR peut également s'avérer utile pour établir des réseaux ad hoc P2P, par exemple, dans une zone d'attente d'aéroport.

Dans Windows Vista et Windows Server 2008, des modifications ont également été apportées aux manières dont les clients localisent les contrôleurs de domaine.


Dans des circonstances exceptionnelles, la façon dont les clients DNS recherchent les contrôleurs de domaine peut avoir un impact sur les performances réseau :

• Un client DNS exécutant Windows Vista ou Windows Server 2008 recherche régulièrement un contrôleur de domaine dans le domaine auquel il appartient. Cette fonctionnalité permet d'éviter les problèmes de performances qui peuvent se produire quand un client DNS recherche son contrôleur de domaine pendant une période de dysfonctionnement du réseau, associant ainsi le client à un contrôleur de domaine distant situé sur une liaison lente. Auparavant, cette association continuait jusqu'à ce que le client soit forcé de rechercher un nouveau contrôleur de domaine, par exemple, lorsque le client était déconnecté du réseau pendant longtemps. En renouvelant périodiquement son association avec un contrôleur de domaine, un client DNS peut désormais réduire la probabilité d'être associé à un contrôleur de domaine inapproprié.

• Un client DNS exécutant Windows Vista ou Windows Server 2008 peut être configuré (par programmation ou à l'aide d'un paramètre de Registre) de façon à rechercher le contrôleur de domaine le plus proche au lieu d'effectuer une recherche aléatoire. Cette fonctionnalité peut améliorer les performances réseau des réseaux contenant des domaines qui existent à travers des liaisons lentes. Cependant, comme la recherche du contrôleur de domaine le plus proche peut avoir elle-même un impact négatif sur les performances réseau, cette fonctionnalité n'est pas activée par défaut.


Leçon 4 : Configuration du routage

Cette leçon décrit la manière de construire et d'assigner une adresse IP (Internet Protocol) aux ordinateurs hôtes situés sur un réseau qui exécute la suite de protocoles TCP/IP (Transmission Control Protocol/Internet Protocol). Les adresses IP permettent aux ordinateurs qui exécutent tout système d'exploitation sur toute plate-forme de communiquer en fournissant des identificateurs uniques. Pour envoyer des données entre plusieurs sous-réseaux, le protocole IP doit sélectionner un itinéraire. La compréhension des procédures de routage IP vous aidera à construire et assigner les adresses IP appropriées pour les hôtes de votre réseau.


• décrire les composants d'une adresse IP ; • définir des masques de sous-réseau ; • définir des sous-réseaux ; • décrire la fonction des routeurs ; • définir des interfaces de routage ; • configurer une table de routage.


Composants d'une adresse IP

Adressage IPv4 Une adresse IP est un identificateur assigné au niveau de la couche Internet à une interface ou à un jeu d'interfaces. Chaque adresse IP peut identifier la source ou la destination de paquets IP. Pour le protocole IPv4, chaque nœud situé sur un réseau possède une ou plusieurs interfaces, et vous pouvez activer le protocole TCP/IP sur chacune de ces interfaces. Lorsque vous activez le protocole TCP/IP sur une interface, vous lui assignez une ou plusieurs adresses IPv4 logiques, soit automatiquement, soit manuellement. L'adresse IPv4 est une adresse logique parce qu'elle est assignée au niveau de la couche Internet et qu'elle n'a aucune relation avec les adresses utilisées au niveau de la couche interface réseau. La longueur des adresses IPv4 s'élève à 32 bits.

Syntaxe d'une adresse IPv4 Si les administrateurs réseau exprimaient les adresses IPv4 à l'aide d'une notation binaire, chaque adresse apparaîtrait sous la forme d'une chaîne à 32 chiffres composée de 1 et de 0. Étant donné que de telles chaînes sont difficiles à exprimer et à mémoriser, les administrateurs utilisent une notation décimale pointée, dans laquelle des points séparent quatre nombres décimaux (de 0 à 255). Chaque nombre décimal, connu sous le nom d'octet, représente 8 bits de l'adresse 32 bits.


Par exemple, l'adresse IPv4 11000000101010000000001100011000 s'exprime par 192.168.3.24 en notation décimale pointée. Pour convertir une adresse IPv4 de la notation binaire à la notation décimale pointée, vous effectuez les opérations suivantes :

• Segmentation de l'adresse en blocs de 8 bits : 11000000 10101000 00000011 00011000

• Conversion de chaque bloc en décimal : 192 168 3 24 • Séparation des blocs par des points : 192.168.3.24

Adressage IPv6 La différence la plus évidente entre les protocoles IPv6 et IPv4 est liée à la taille des adresses. La longueur d'une adresse IPv6 s'élève à 128 bits, ce qui est quatre fois plus important que celle d'une adresse IPv4. Un espace d'adressage 32 bits permet 232 ou 4 294 967 296 adresses possibles. Un espace d'adressage de 128 bits permet 2128 ou 340 282 366 920 938 463 463 374 607 431 768 211 456 (ou 3,4 x 1038) adresses possibles.

L'espace d'adressage IPv4 a été conçu à la fin des années 1970 à un moment où quasiment personne n'imaginait que les adresses pourraient s'épuiser. Cependant, en raison de l'allocation d'origine des préfixes d'adresses Internet par classe et de la récente explosion des hôtes sur Internet, l'espace d'adressage IPv4 a été consommé au point qu'en 1992, il était devenu évident qu'un remplacement serait nécessaire.

Avec le protocole IPv6, il est encore plus difficile de concevoir que l'espace d'adressage IPv6 sera consommé. Pour mieux mettre cette idée en perspective, un espace d'adressage de 128 bits fournit 655 570 793 348 866 943 898 599 (6,5 x 1023) adresses pour chaque mètre carré de la surface de la Terre. La décision de porter à 128 bits la longueur de l'adresse IPv6 n'était pas de fournir à chaque mètre carré de la Terre 6,5 x 1023 adresses. La taille relativement grande de l'espace d'adressage IPv6 a plutôt été conçue à des fins d'allocation d'adresses et de routage efficaces pour refléter la topologie d'Internet tel qu'il est aujourd'hui et pour prendre en charge les adresses MAC (Media Access Control) à 64 bits que les technologies réseau récentes utilisent. L'utilisation de 128 bits permet plusieurs niveaux de hiérarchie et de flexibilité pour concevoir l'adressage et le routage hiérarchiques, ce qui manque à l'Internet IPv4.


Syntaxe d'une adresse IPv6 Les adresses IPv4 sont représentées selon une notation décimale pointée. Pour le protocole IPv6, l'adresse 128 bits est divisée en frontières de 16 bits. Chaque bloc de 16 bits est converti en nombre hexadécimal à quatre chiffres (système de numération Base16) et les blocs de 16 bits adjacents sont séparés par des deux-points. La représentation obtenue est appelée notation hexadécimale deux-points.

L'exemple suivant illustre une adresse IPv6 sous la forme binaire :

• 0011111111111110001010010000000011010000000001010000000000000000 • 0000001010101010000000001111111111111110001010001001110001011010

L'adresse 128 bits est divisée le long de frontières de 16 bits :

• 0011111111111110 0010100100000000 1101000000000101 0000000000000000 • 0000001010101010 0000000011111111 1111111000101000 1001110001011010

Chaque bloc de 16 bits est converti en nombre hexadécimal et les blocs adjacents sont séparés par des deux-points. Le résultat est le suivant :

• 3FFE:2900:D005:0000:02AA:00FF:FE28:9C5A

La représentation IPv6 peut être simplifiée davantage en supprimant les zéros non significatifs dans chaque bloc de 16 bits. Toutefois, chaque bloc doit comporter au moins un chiffre. Avec la suppression des zéros non significatifs, l'adresse devient la suivante :

• 3FFE:2900:D005:0:2AA:FF:FE28:9C5A


Qu'est-ce qu'un masque de sous-réseau ?

Un masque de sous-réseau définit la partie qui correspond à l'ID du réseau et la partie qui correspond à l'ID de l'hôte dans une adresse IP. Un masque de sous-réseau se compose de quatre octets, à l'instar d'une adresse IP.

Dans les réseaux IP simples, le masque de sous-réseau définit des octets complets dans le cadre de l'ID du réseau et de l'ID de l'hôte. Un nombre 255 représente un octet qui fait partie de l'ID du réseau et un 0 représente un octet qui fait partie de l'ID de l'hôte. Dans les réseaux IP complexes, les octets peuvent être subdivisés.

Pourquoi un masque de sous-réseau est-il obligatoire ? Lorsqu'un ordinateur remet un paquet IP, il utilise le masque de sous-réseau pour valider si la destination est sur le même réseau ou sur un réseau distant. Si la destination est sur le même réseau, le paquet peut être remis par l'ordinateur. Si la destination est sur un réseau différent, l'ordinateur doit envoyer le paquet à un routeur pour la remise.

Masques de sous-réseau valides Dans un réseau IP simple, un masque de sous-réseau se compose uniquement de 255 et de 0. De plus, les 255 apparaissent au début du masque de sous-réseau et les 0 à la fin. Dans un masque de sous-réseau valide, les 0 ne peuvent pas s'intercaler entre des 255. Voici des exemples de masques de sous-réseau valides et non valides dans le tableau suivant.

Masques de sous-réseau valides

Masques de sous-réseau non valides

255.0.0.0 0. 0.255.255

255.255.0.0 255.0.255.0

255.255.255.0 0.255.255.0


Calcul de l'ID réseau d'une adresse IP Pour calculer l'ID réseau d'une adresse IP, l'adresse doit être comparée au masque de sous-réseau configuré sur cet hôte. Chaque octet du masque de sous-réseau dont la valeur est 255 correspond à l'ID réseau de l'adresse IP. Plusieurs exemples sont présentés dans le tableau suivant.

Description Exemple 1 Exemple 2

Adresse IP 192.168.44.32 172.31.99.220

Masque de sous-réseau

255.255.255.0 255.255.0.0

ID réseau 192.168.44.0 172.31.0.0

ID hôte 0.0.0.32 0.0.99.220


Qu'est-ce qu'un sous-réseau ?

Un sous-réseau est un segment physique de réseau qui est séparé du reste du réseau par un ou plusieurs routeurs. Lorsqu'un réseau de classe A, B ou C est assigné à votre organisation, il doit souvent être subdivisé pour correspondre à la disposition physique de votre réseau ou à ses spécifications de conception. Un réseau plus grand est subdivisé en sous-réseaux.

Pour créer des sous-réseaux, vous devez allouer une partie des bits de l'ID hôte à l'ID réseau. Cette allocation vous permet de créer plus de réseaux.

Adresses IP de sous-réseau L'adresse IP de chaque sous-réseau est dérivée de l'ID réseau principal. Lorsque vous divisez un réseau en sous-réseaux, vous devez créer un ID unique pour chaque sous-réseau. Pour créer des sous-réseaux, vous devez allouer une partie des bits de l'ID hôte à l'ID réseau. Cette allocation vous permet de créer plus de réseaux. Le processus de création de sous-réseaux est appelé sous-réseautage.

Avantages de l'utilisation d'un sous-réseau L'utilisation de sous-réseaux vous permet de :

utiliser un seul réseau de classe A, B ou C sur plusieurs emplacements physiques ;

réduire les encombrements de réseau en segmentant le trafic et en réduisant le nombre de diffusions envoyées sur chaque segment ;

dépasser les limites des technologies actuelles, par exemple dépasser le nombre maximal d'hôtes autorisé par segment. Par exemple, Ethernet est limité à 1 024 hôtes sur un réseau. La division du segment en segments supplémentaires augmente le nombre total d'hôtes autorisé.


Considérations relatives à la création d'un sous-réseau Avant d'implémenter des sous-réseaux, vous devez déterminer vos besoins actuels et prendre en considération vos futurs besoins afin de tenir compte de leur évolution. Pour créer un sous-réseau, suivez la procédure ci-dessous.

Déterminez le nombre de segments physiques sur votre réseau Déterminez le nombre d'adresses hôte requises pour chaque segment physique. Chaque interface sur le segment physique requiert au moins une adresse IP. Les hôtes TCP/IP typiques ont une interface unique.

Selon vos besoins déterminés lors des étapes 1 et 2, définissez :

• un seul masque de sous-réseau pour la totalité de votre réseau ; • un ID de sous-réseau unique pour chaque segment physique ; • une plage d'ID hôte pour chaque sous-réseau.


Vue d'ensemble des routeurs

Un routeur est un périphérique qui comporte plusieurs interfaces réseau (en d'autres termes, il est multirésident) capables de transférer des paquets, selon l'adressage réseau (tel que des adresses IP), afin de multiplier les segments réseau. Les routeurs constituent un système intermédiaire qui fonctionne au niveau de la couche réseau pour connecter des réseaux grâce à un protocole de couche réseau commun.

Rôle des routeurs Les routeurs vous permettent de faire évoluer votre réseau et d'en préserver la bande passante en segmentant le trafic. Les routeurs sont configurés afin de prendre des décisions intelligentes pour déterminer la manière de transférer des paquets entre des segments réseau. Ils permettent de veiller à ce qu'un segment réseau ne soit pas inondé de trafic non destiné aux hôtes situés sur leur segment. Les routeurs empêchent également certains types de trafic, tels que le trafic de diffusion, de saturer le réseau.

Types de routeurs Un environnement réseau peut utiliser deux types de routeurs :

Routeurs matériels. Ces périphériques matériels exclusivement dédiés au routage exécutent des logiciels spécialisés. Les routeurs matériels offrent de très bonnes performances ; toutefois, ils peuvent être chers et fournir peu de fonctionnalités en dehors de leur usage prévu. De nombreux routeurs matériels offrent aujourd'hui plus de souplesse en proposant des services de sécurité tels que le filtrage des paquets et l'accès à des réseaux privés virtuels. Les routeurs matériels doivent être utilisés dans les environnements qui requièrent un haut débit entre les segments réseau.


Routeurs logiciels : Ces routeurs ne sont pas exclusivement dédiés au routage, mais ils remplissent cette fonction parmi les multiples processus exécutés sur l'ordinateur routeur. Le service Routage et accès distant de Windows Server 2008 réalise, entre autres, des opérations de routage. Activé en tant que routeur réseau, Windows Server 2008 peut également proposer des services tels que le service WINS (Windows® Internet Name Service), le service DNS (Domain Name System) et le protocole DHCP (Dynamic Host Configuration Protocol).

Composants principaux d'une solution de routage Une solution de routage consiste en trois composants principaux :

• Interface de routage : interface physique ou logique permettant d'acheminer des paquets.

• Protocole de routage : ensemble de messages utilisés par les routeurs pour partager les tables de routage, de manière à ce que les routeurs puissent déterminer le chemin approprié pour transmettre les données.

• Table de routage : table d'informations conservées sur un système qui détermine le chemin d'accès à différents segments réseau. Les tables de routage contiennent des informations sur les différents segments réseau, en fonction de leur ID réseau et des routeurs à utiliser pour communiquer avec ces segments réseau.

Mode de routage des informations La communication réseau entre les hôtes est exécutée soit directement, soit indirectement. Les communications directes se produisent entre deux hôtes sur le même segment réseau. Les communications indirectes se produisent lorsqu'un hôte doit communiquer avec un système distant. Parce que l'hôte ne peut pas établir de communication directe avec le système distant, il doit transférer le paquet à un routeur. Lors de l'envoi d'un paquet à un système distant, les hôtes transfèrent des paquets à un routeur en utilisant des communications directes.

Dans l'illustration précédente, si DEN-CL1 doit communiquer avec DENCL4, le processus de communication est le suivant :

1. DEN-CL1 calcule son ID réseau à partir de sa propre adresse IP et de son propre masque de sous-réseau. DEN-CL1 compare ensuite son propre ID réseau à l'adresse IP de DEN-CL4. DEN-CL1 détermine que DEN-CL4 se trouve sur un segment réseau distant.

2. DEN-CL1 consulte sa table de routage locale pour déterminer où transférer les paquets afin de communiquer avec les hôtes situés sur Subnet4 (10.10.4.0/24).

3. DEN-CL1 transfère le paquet directement à l'interface locale (l'interface directement connectée à Subnet1) de Router1.


4. Router1 reçoit le paquet et compare les adresses IP du packet à celles de DEN-CL4. Router1 détermine que DEN-CL4 se trouve sur un segment réseau distant.

5. Router1 consulte sa table de routage locale pour déterminer où transférer le paquet afin de communiquer avec les hôtes situés sur Subnet4.

6. Router1 envoie directement le paquet à l'interface locale de Router2.

7. Router2 exécute le même processus que Router1 et transfère le paquet à Router3.

8. Router3 reçoit le paquet et détermine que DEN-CL4 est directement connecté via l'une de ses interfaces (celle connectée à Subnet4) et transfère directement le paquet à DEN-CL4.


Définition des interfaces de routage

Une interface de routage est une connexion réseau physique ou logique permettant l'acheminement de paquets. Le routeur Windows Server 2008 utilise une interface de routage pour acheminer les paquets IP.

Types de routage Dans le service Routage et accès distant, vous pouvez créer les interfaces de routage suivantes :

• Interfaces de réseau local. Ces interfaces représentent généralement une carte réseau installée, bien qu'une carte de réseau étendu puisse aussi servir d'interface. Les interfaces de réseau local ne requièrent généralement pas de processus d'authentification pour les connexions des clients.

• Interfaces de numérotation à la demande. Ces interfaces représentent une connexion point à point qui nécessite une authentification pour compléter la connexion. Il peut s'agir par exemple d'un réseau privé virtuel routeur à routeur ou d'une ligne téléphonique connectée par des modems. Un réseau privé virtuel est l'extension d'un réseau privé sur des réseaux partagés ou publics. Les connexions de numérotation à la demande sont soit de type à la demande (établies uniquement en fonction des besoins), soit de type permanentes (établies puis maintenues à l'état connecté).


Exemple Un serveur exécutant le service Routage et accès distant de Windows Server 2008 et connecté à la fois au réseau local et à Internet peut router des paquets entre un client d'accès distant sur Internet et les ressources réseau sur un réseau d'entreprise. Dans cet exemple, le routeur est connecté au réseau local via une interface de réseau local et à Internet via une interface de numérotation à la demande.


Configuration des tables de routage

Pour prendre de bonnes décisions de routage, les routeurs doivent savoir quelles adresses réseau (ou ID réseau) sont disponibles dans l'interconnexion. Ces informations sont obtenues à partir d'une base de données appelée table de routage. Une table de routage est une série d'entrées, appelées itinéraires, qui contiennent des informations sur l'emplacement auquel se trouvent les ID réseau de l'interconnexion et l'emplacement auquel le trafic de ces ID réseau doit être acheminé. La table de routage n'est pas exclusive à un routeur. Les hôtes (qui n'agissent pas comme des routeurs) peuvent aussi posséder une table de routage dont ils se servent pour déterminer les itinéraires optimaux.

Types d'entrées de table de routage Il existe trois types d'entrées de table de routage :

• Itinéraire réseau : un itinéraire réseau est un chemin vers une ID réseau spécifique dans le réseau d'interconnexion.

• Itinéraire hôte : un itinéraire hôte est un chemin vers une adresse IP spécifique (ID réseau et ID du nœud). Les itinéraires hôtes sont généralement utilisés pour créer des itinéraires personnalisés vers des hôtes spécifiques pour contrôler ou optimiser le trafic réseau.

• Itinéraire par défaut : un itinéraire par défaut (également appelé passerelle par défaut) est utilisé lorsque aucun autre itinéraire n'est trouvé dans la table de routage. Par exemple, si un routeur ou un hôte ne peut pas trouver un itinéraire réseau ou un itinéraire hôte pour la destination, l'itinéraire par défaut est utilisé. Celui-ci simplifie la configuration des hôtes. Au lieu de configurer des hôtes avec des itinéraires pour tous les ID réseau dans l'interconnexion, vous pouvez utiliser un seul itinéraire par défaut pour acheminer tous les paquets introuvables dans la table de routage.


Structure de la table de routage Chaque entrée dans la table de routage comprend les champs d'informations suivants :

• Destination : spécifie la destination réseau de l'itinéraire. La destination peut être une adresse réseau IP (où les bits de l'hôte de l'adresse réseau sont définis sur 0), une adresse IP pour un itinéraire hôte ou 0.0.0.0 pour l'itinéraire par défaut.

• Masque réseau : spécifie le masque de sous-réseau associé avec la destination réseau. Le masque de sous-réseau peut être le masque de sous-réseau approprié pour une adresse réseau IP, 255.255.255.255 pour un itinéraire hôte ou 0.0.0.0 pour l'itinéraire par défaut.

• Passerelle : spécifie l'adresse IP de transfert ou du prochain tronçon via laquelle l'ensemble des adresses qui sont définies par la destination réseau et le masque de sous-réseau peuvent être jointes. Une adresse de passerelle doit toujours faire partie du même ID réseau que l'interface réseau utilisée pour communiquer avec la passerelle.

• Interface : spécifie l'interface réseau locale qui sera utilisée pour communiquer avec la passerelle.

• Métrique : spécifie un entier qui représente la valeur du coût d'un itinéraire. Généralement, la plus petite métrique correspond à l'itinéraire préféré. S'il existe plusieurs itinéraires vers un réseau de destination, l'itinéraire avec la plus petite métrique est utilisé. Les itinéraires configurés statiquement ont une métrique par défaut de 20 ; toutefois, cette valeur peut être modifiée. Cette métrique peut dépendre des sauts vers l'ID réseau, de la vitesse des liaisons réseau ou des coûts associés à l'utilisation de la bande passante des liaisons physiques elles-mêmes.

Remarque : vous pouvez taper route print à l'invite de commandes pour afficher l'intégralité du contenu d'une table de routage. Vous pouvez également consulter la table de routage sur un ordinateur qui exécute Windows Server 2008 si vous avez activé le service Routage et accès distant à l'aide de la console éponyme. Pour afficher d'autres exemples de commandes route, consultez la documentation de Windows Server 2008.


Exemples Le tableau suivant décrit deux des entrées de la table de routage représentée dans l'illustration de cette rubrique :

Destination Masque réseau Passerelle Interface

0.0.0.0 0.0.0.0 10.10.0.1 10.10.0.1

Cette entrée indique que pour communiquer avec les hôtes du réseau 0.0.0.0/0, ce système doit transférer des paquets à 10.10.0.1 en utilisant l'interface locale 10.10.0.11. Il s'agit de l'entrée pour la passerelle par défaut. Cette entrée indique que tous les hôtes qui ne sont pas locaux sont accessibles en transférant des paquets à 10.10.10.1.

Destination Masque réseau Passerelle Interface

10.12.0.0 255.255.0.0 10.11.0.2 10.11.0.1

Cette entrée indique que pour communiquer avec les hôtes du réseau 10.12.0.0/16, ce système doit transférer des paquets à 10.11.0.2 en utilisant l'interface locale 10.11.0.1.


Leçon 5 : Configuration de paramètres sans fil dans Windows Server 2008

Les réseaux sans fil sont de plus en plus répandus. Toutefois, ils créent d'importants problèmes de sécurité, de fiabilité et de gestion pour l'administrateur réseau. Windows Server 2008 a été conçu avec cette réalité à l'esprit. Il peut être utilisé pour fournir des améliorations de sécurité et de gestion pour les réseaux sans fil.


• identifier les modifications apportées à l'architecture de réseau sans fil dans Windows Server 2008

• planifier des stratégies d'authentification • utiliser les fonctionnalités de sécurité de Windows Server 2008 • gérer des réseaux sans fil à l'aide de la stratégie de groupe • gérer des paramètres sans fil à l'aide d'utilitaires de ligne de commande


Architecture de réseau sans fil Windows Server 2008

Windows Server 2008 partage la nouvelle architecture Wi-Fi native Windows avec Windows Vista.

Architecture Wi-Fi native Dans Windows Server 2003 et Windows XP, l'infrastructure logicielle qui prend en charge les connexions sans fil a été créée pour émuler une connexion Ethernet et peut uniquement être étendue en prenant en charge des types de protocoles EAP supplémentaires pour l'authentification IEEE 802.1X. Dans Windows Server 2008 et Windows Vista, l'infrastructure logicielle pour les connexions sans fil 802.11, appelée architecture Wi-Fi native, a été repensée de la manière suivante :

• La norme IEEE 802.11 est maintenant représentée à l'intérieur de Windows en tant que type de média distinct de la norme IEEE 802.3, à savoir la norme pour Ethernet. Cette distinction permet plus de flexibilité pour les fabricants de matériel dans la prise en charge des fonctionnalités avancées des réseaux IEEE 802.11, telles qu'une plus grande taille de trame qu'Ethernet.

• De nouveaux composants dans l'architecture Wi-Fi native effectuent l'authentification, l'autorisation et la gestion des connexions 802.11, ce qui réduit la pression exercée sur les fabricants de matériel afin qu'ils incorporent ces fonctions dans leurs pilotes de cartes réseau sans fil. Le développement des pilotes de cartes réseau sans fil devient ainsi beaucoup plus facile. Dans Windows Server 2008 et Windows Vista, les fabricants de matériel doivent développer un plus petit pilote miniport NDIS 6.0 qui expose une interface 802.11 native sur son bord supérieur.


• L'architecture Wi-Fi native prend en charge des API afin de permettre aux éditeurs de logiciels indépendants et aux fabricants de matériel d'étendre d'étendre le client sans fil intégré pour des services de sans fil supplémentaires et des fonctions personnalisées. Les composants extensibles écrits par ces derniers peuvent également proposer des boîtes de dialogue de configuration et des assistants personnalisés.


Authentification et réseaux sans fil

Prise en charge WPA2 Windows Server 2008 et Windows Vista incluent une prise en charge intégrée pour configurer des options d'authentification WPA2 avec le profil standard (réseaux sans fil préférés configurés localement) et le profil de domaine comportant des paramètres de stratégie de groupe. L'acronyme WPA2 désigne une certification de produit disponible via l'association Wi-Fi Alliance qui certifie que le matériel sans fil est compatible avec la norme IEEE 802.11i. La technologie WPA2 dans Windows Server 2008 et Windows Vista prend en charge les modes d'action WPA2 - Entreprise (authentification IEEE 802.1X) et WPA2 - Personnel (authentification par clé prépartagée).

Windows Server 2008 et Windows Vista incluent également la prise en charge WPA2 pour un réseau sans fil en mode ad hoc (un réseau sans fil entre des clients sans fil qui n'utilise pas de point d'accès sans fil).

Infrastructure EAPHost Pour développer plus facilement des méthodes d'authentification par protocole EAP (Extensible Authentication Protocol) pour les connexions sans fil authentifiées IEEE 802.1X, Windows Server 2008 et Windows Vista prennent en charge la nouvelle infrastructure EAPHost.


Dans Windows Server 2003 et Windows XP, la méthode d'authentification EAP par défaut pour les connexions sans fil authentifiées 802.1X est le protocole EAP-TLS (Transport Layer Security). Bien qu'il s'agisse de la forme d'authentification la plus sécurisée qui emploie une authentification mutuelle à l'aide de certificats numériques, le protocole EAP-TLS requiert une infrastructure à clé publique (PKI, Public Key Infrastructure) pour distribuer, révoquer et renouveler les certificats des utilisateurs et ordinateurs.

Dans de nombreux cas, les organisations souhaitent exploiter l'infrastructure d'authentification basée sur des noms de compte et des mots de passe qui existe déjà dans Active Directory. Par conséquent, dans Windows Server 2008 et Windows Vista, la méthode d'authentification EAP par défaut pour les connexions sans fil authentifiées 802.1X a été remplacée par le protocole PEAP-MS-CHAP v2 (Protected EAP-Microsoft Challenge Handshake Authentication Protocol version 2). Le protocole PEAP-MS-CHAP v2 est une méthode d'authentification 802.1X basée sur un mot de passe pour les connexions sans fil qui requiert uniquement l'installation de certificats d'ordinateurs sur les serveurs RADIUS (Remote Authentication Dial-In User Service).

Ouverture de session unique L'ouverture de session unique permet aux administrateurs réseau de spécifier que l'authentification IEEE 802.1X au niveau de l'utilisateur a lieu avant le processus d'ouverture de session utilisateur. Cette fonctionnalité permet de traiter les problèmes d'ouverture de session de domaine dans des configurations spécifiques. En outre, l'ouverture de session unique intègre simplement et de façon transparente l'authentification sans fil avec l'expérience d'ouverture de session Windows.

Les administrateurs réseau peuvent utiliser des commandes netsh wlan set profileparameter ou les nouveaux paramètres de la stratégie de groupe sans fil pour configurer des profils d'ouverture de session unique sur des clients sans fil. La configuration de l'ouverture de session unique afin d'effectuer l'authentification 802.1X au niveau de l'utilisateur avant le processus d'ouverture de session utilisateur prévient les problèmes liés aux mises à jour de la stratégie de groupe, à l'exécution de scripts de connexion, à la commutation des réseaux locaux virtuels et aux jointures de domaines de clients sans fil.


Améliorations de la sécurité pour les réseaux sans fil

Mode certifié FIPS 140-2 Windows Server 2008 et Windows Vista avec Service Pack 1 prennent en charge le chiffrement AES en mode certifié FIPS 140-2 (Federal Information Processing Standard). Le mode FIPS 140-2 est une norme de sécurité informatique du gouvernement américain qui spécifie des exigences de conception et d'implémentation pour les modules de chiffrement. Windows Server 2008 et Windows Vista avec Service Pack 1 sont certifiés FIPS 140-2. Lorsque vous activez le mode certifié FIPS 140-2, Windows Server 2008 ou Windows Vista avec Service Pack 1 exécutent le chiffrement AES dans le logiciel, au lieu de compter sur la carte réseau sans fil. Vous pouvez activer le mode certifié FIPS 140-2 à l'aide de la commande netsh wlan set profileparameter et via les paramètres de sécurité avancée d'un profil de réseau sans fil dans la stratégie de groupe sans fil.

Intégration dans la protection d'accès réseau lors de l'utilisation de l'authentification 802.1X Les connexions WPA2 - Entreprise, WPA - Entreprise et WEP dynamiques qui utilisent l'authentification 802.1X peuvent exploiter la plateforme de protection d'accès réseau pour empêcher des clients sans fil non conformes aux exigences d'intégrité système d'obtenir un accès illimité à un intranet.


Améliorations de la stratégie de groupe sans fil

Dans Windows Server 2008 et Windows Vista, les paramètres de la stratégie de groupe sans fil, situés dans le nœud Configuration ordinateur\Paramètres Windows\Paramètres de sécurité du composant logiciel enfichable Stratégie de groupe, comprennent les améliorations suivantes :

Options d'authentification WPA2 Les paramètres de la stratégie de groupe sans fil dans Windows Server 2008 et Windows Vista vous permettent de configurer des options d'authentification WPA2, WPA2 (pour WPA2 - Entreprise) et WPA2-PSK (pour WPA2 - Personnel). Pour configurer des options d'authentification WPA2 pour des ordinateurs qui exécutent Windows XP, vous devez installer Windows XP Service Pack 3 ou Windows XP Service Pack 2 et la mise à jour du client sans fil pour Windows XP Service Pack 2. Ensuite, vous devez configurer des paramètres d'authentification WPA2 dans la stratégie de groupe à partir d'un ordinateur qui exécute Windows Vista.

Listes des noms de réseaux sans fil autorisés et refusés Le client sans fil dans Windows Server 2003 et Windows XP invite l'utilisateur à se connecter aux réseaux sans fil détectés si aucun des réseaux sans fil préférés n'est trouvé ou si aucune des connexions aux réseaux sans fil préférés détectées n'a abouti. Les clients sans fil qui exécutent Windows Server 2003 ou Windows XP n'ont pas pu être configurés pour inviter l'utilisateur à se connecter uniquement à des réseaux sans fil spécifiques ou pour ne jamais inviter l'utilisateur à se connecter à des réseaux sans fil spécifiques. Les paramètres de la stratégie de groupe sans fil dans Windows Server 2008 et Windows Vista vous permettent de configurer des listes de noms de réseaux sans fil autorisés et refusés. Exemple :


À l'aide d'une liste verte, vous pouvez spécifier l'ensemble des réseaux sans fil par leur nom (SSID) auxquels le client sans fil Windows Server 2008 ou Windows Vista sont autorisés à se connecter. Cette liste s'avère utile pour les administrateurs réseau qui souhaitent que l'ordinateur portable d'une organisation se connecte à un ensemble spécifique de réseaux sans fil, lequel peut inclure le réseau sans fil de l'organisation et des fournisseurs de services Internet sans fil.

À l'aide d'une liste de refus, vous pouvez spécifier l'ensemble de réseaux sans fil par leur nom auxquels le client sans fil n'est pas autorisé à se connecter. Cette liste s'avère utile pour empêcher des ordinateurs portables gérés de se connecter à d'autres réseaux sans fil à la portée du réseau sans fil de l'organisation (par exemple, lorsqu'une organisation occupe un étage particulier dans un bâtiment et qu'il existe d'autres d'autres réseaux sans fil appartenant à d'autres organisations aux autres étages) ou pour empêcher des ordinateurs portables gérés de se connecter à des réseaux sans fil non protégés connus.

Paramètres d'itinérance rapide L'itinérance rapide est une fonctionnalité avancée des réseaux sans fil WPA2 qui permet aux clients sans fil de passer plus rapidement d'un point d'accès à un autre en utilisant la pré-authentification et la mise en cache PMK (Pairwise Master Key). Avec Windows Server 2008 et Windows Vista, vous pouvez configurer ce comportement via des paramètres de la stratégie de groupe sans fil. Avec Windows XP Service Pack 3 ou Windows XP Service Pack 2 et la mise à jour du client sans fil pour Windows XP Service Pack 2, vous pouvez contrôler ce comportement via les paramètres du registre décrits dans l'article "mise à jour WPA2/WPS IE pour Windows XP Service Pack 2"

Réseaux sans fil non diffusés Vous pouvez configurer des réseaux sans fil préférés localement en tant que réseaux sans fil non diffusés. Avec Windows Server 2008, vous pouvez maintenant configurer des réseaux sans fil préférés dans les paramètres de la stratégie de groupe sans fil en tant que réseaux non diffusés.

Connexion automatique ou manuelle Avec Windows XP Service Pack 3, Windows XP Service Pack 2, Windows Server 2003 Service Pack 1, Windows Server 2008 et Windows Vista, vous pouvez configurer un réseau sans fil préféré pour une connexion automatique (par défaut) ou manuelle sous l'onglet Connexion des propriétés du réseau sans fil préféré. Avec les paramètres de la stratégie de groupe sans fil dans Windows Server 2008, vous pouvez maintenant configurer des réseaux sans fil préférés pour une connexion automatique ou manuelle.


Gestion via des utilitaires de ligne de commande

Interface de ligne de commande pour configurer des paramètres sans fil Windows Server 2003 ou Windows XP ne possèdent pas d'interface de ligne de commande qui vous permet de configurer les paramètres sans fil disponibles à partir des boîtes de dialogue sans fil du dossier Connexions réseau ou via les paramètres de la stratégie de groupe des stratégies de réseau sans fil (IEEE 802.11). La configuration par ligne de commande des paramètres sans fil peut faciliter le déploiement de réseaux sans fil dans les situations suivantes :

La prise en charge de scripts automatisés pour les paramètres sans fil sans utiliser les paramètres de la stratégie de groupe du réseau sans fil (IEEE 802.11) s'applique uniquement dans un domaine Active Directory. Pour un environnement sans Active Directory ou sans infrastructure de stratégie de groupe, un script qui automatise la configuration des connexions sans fil peut s'exécuter soit manuellement, soit automatiquement, notamment dans le cadre du script de connexion.

Démarrage d'un client sans fil sur le réseau sans fil de l'organisation protégée Un client sans fil qui n'est pas membre du domaine ne peut pas se connecter au réseau sans fil protégé de l'organisation. En outre, un ordinateur ne peut pas rejoindre le domaine tant qu'il ne s'est pas correctement connecté au réseau sans fil sécurisé de l'organisation. Un script de ligne de commande fournit une méthode pour se connecter au réseau sans fil sécurisé de l'organisation afin de rejoindre le domaine.


Dans Windows Server 2008 et Windows Vista, vous pouvez utiliser des commandes Netsh dans le contexte netsh wlan pour effectuer les opérations suivantes :

• enregistrer tous les paramètres du client sans fil dans un profil nommé, notamment les paramètres généraux (types de réseaux sans fil auxquels accéder), les paramètres 802.11 (SSID, type d'authentification, type de chiffrement des données) et les paramètres d'authentification 802.1X (types de protocoles EAP et leur configuration) ;

• spécifier des paramètres d'ouverture de session unique pour un profil sans fil ; • activer ou désactiver le mode certifié FIPS 140-2 ; • spécifier la liste des noms de réseaux sans fil autorisés et refusés ; • spécifier l'ordre de préférence des réseaux sans fil ; • afficher la configuration d'un client sans fil ; • supprimer la configuration sans fil à partir d'un client sans fil ; • faire migrer des paramètres de configuration sans fil entre des clients sans fil.


Atelier pratique 1 : Examen des valeurs et paramètres réseau par défaut


• parcourir le Centre Réseau • créer une stratégie d'isolation de domaine • créer une qualité de service (QoS) basée sur la stratégie • utiliser des adresses IPv6 de liaison locale


Configuration de l'atelier pratique Pour cet atelier pratique, vous allez utiliser l'environnement d'ordinateurs virtuels disponible. Avant de commencer l'atelier pratique, vous devez :

• démarrer les ordinateurs virtuels SEA-DC-01 et SEA-WRK-002 • ouvrir une session en tant que CONTOSO\Administrateur • utiliser le mot de passe Pa$$w0rd


Exercice 1 : Examiner le Centre Réseau Dans cet exercice, vous allez ouvrir le Centre Réseau et examiner les options disponibles à partir de cet écran de gestion central.


• apporter des modifications de personnalisation • modifier des paramètres de partage • désactiver la carte réseau • utiliser l'outil Diagnostics réseau de Windows pour identifier un problème • configurer une connexion de réseau privé virtuel


Remarque : exécutez les étapes suivantes sur SEA-DC-01.

1. Apporter des modifications de personnalisation

• Dans le Panneau de configuration, ouvrez le Centre Réseau.

• Remplacez l'icône Réseau par une tasse de café.

2. Modifier des paramètres de partage

• Activez la découverte de réseau. • Activez le partage de dossiers publics afin que toute

personne disposant d'un accès réseau puisse ouvrir des fichiers.

3. Désactiver la carte réseau • À partir de la boîte de dialogue des propriétés de la connexion au réseau local, désactivez la Carte Fast Ethernet PCI à base de Intel 21140 (émulée).

4. Utiliser l'outil Diagnostics réseau de Windows pour identifier un problème

• Dans le volet gauche, cliquez sur Diagnostiquer et réparer.

• À l'invite, activez la carte réseau Connexion au réseau local.

• S'il existe encore un problème, cliquez sur Annuler.

5. Configurer une connexion de réseau privé virtuel

• Dans le volet gauche, cliquez sur Configurer une connexion ou un réseau.

• Connectez-vous à un espace de travail via une connexion de réseau privé virtuel.

• Choisissez de configurer une connexion Internet ultérieurement.

• Adresse Internet à connecter à votre espace de travail : contoso.com.

• Nom d'utilisateur : Administrateur • Mot de passe : Pa$$w0rd


Exercice 2 : Création de stratégies d'isolation de domaine Dans cet exercice, vous allez ouvrir la nouvelle console Pare-feu Windows avec fonctions avancées de sécurité pour créer une stratégie d'isolation de domaine.


• créer une stratégie IPSec à l'aide de l'ancienne console IPsec • créer une règle de sécurité de connexion



1. Créer une stratégie IPSec à l'aide de l'ancienne console IPsec

• Cliquez sur Démarrer | Outils d'administration | Stratégie de sécurité locale.

• Créez une stratégie de sécurité IP avec les paramètres par défaut.

2. Créer une règle de sécurité de connexion

• Cliquez sur Démarrer | Outils d'administration | Pare-feu Windows avec fonctions avancées de sécurité.

• Créez une règle de sécurité de connexion nommée Stratégie d'isolation de domaine avec les paramètres suivants : • Type : Isolation. • Impératifs : Imposer l'authentification

des connexions entrantes et demander l'authentification des connexions sortantes.

• Méthode d'authentification : Ordinateur et utilisateur (Kerberos V5).

• Veillez à sélectionner uniquement le profil Domaine.


Exercice 3 : Création d'une stratégie QoS centralisée Dans cet exercice, vous allez créer une stratégie QoS centralisée.


• créer une stratégie QoS • lier la stratégie QoS à un objet de stratégie de groupe



1. Créer une QoS basée sur la stratégie

• Ouvrez la console Gestion des stratégies de groupe. • Dans l'arborescence de la console, développez

Gestion des stratégies de groupe | Forêt : Contoso.com | Domaines | Contoso.com, puis cliquez sur Stratégie de domaine par défaut.

• Cliquez avec le bouton droit sur Stratégie de domaine par défaut, puis cliquez sur Modifier.

• Développez Configuration ordinateur | Paramètres Windows.

• Cliquez avec le bouton droit sur QoS basée sur la stratégie, puis cliquez sur Créer une stratégie.

• Créez une stratégie avec les paramètres suivants : • Nom de la stratégie : Sauvegarde • Valeur DSCP : 10 • Choisissez Uniquement les applications

possédant ce nom d’exécutable : Sauvegarde.exe


Exercice 4 : Communication avec des adresses de liaison locale Dans cet exercice, vous allez utiliser des adresses IPv6 pour communiquer avec un autre ordinateur.


• déterminer l'adresse de liaison locale IPv6 et l'ID d'interface du contrôleur de domaine

• déterminer l'adresse de liaison locale IPv6 de la station de travail • exécuter une commande ping sur la station de travail à partir de SEA-DC-01



1. Déterminer l'adresse de liaison locale IPv6 et l'ID d'interface du contrôleur de domaine

• Ouvrez une invite de commandes. • Tapez ipconfig et appuyez sur ENTRÉE. • Sous Connexion au réseau local de la carte

Ethernet, notez l'adresse IPv6 de liaison locale. • Écrivez le numéro figurant après le symbole

de pourcentage : • _________________________________________


2. Déterminer l'adresse de liaison locale IPv6 de la station de travail

• Ouvrez une invite de commandes. • Tapez ipconfig et appuyez sur ENTRÉE. • Écrivez l'adresse IPv6 de liaison locale : • _________________________________________


3. Activer une exception dans le Pare-feu Windows

• Configurez le Pare-feu Windows afin d'autoriser le partage de fichiers et d'imprimantes.

4. Exécuter une commande ping sur la station de travail à partir de SEA-DC-01

• Tapez ping fe80::<informations d'adresse IP de SEA-WRK-001>%<ID d'interface de SEA-DC-01>, puis appuyez sur ENTRÉE.


Fin de l'atelier pratique Une fois l'atelier pratique terminé, vous devez arrêter les deux ordinateurs virtuels sans enregistrer les modifications.


Discussion relative à l'atelier pratique Abordez les questions suivantes :

Q De quelles manières pouvez-vous personnaliser des paramètres réseau ? R Icônes et noms des réseaux. Q Comment pouvez-vous résoudre un problème réseau une fois que l'outil Diagnostics

réseau de Windows l'a identifié ? R Dans la plupart des cas, l'outil Diagnostics réseau de Windows résoud le problème

en un clic. Q Pouvez-vous créer des paramètres réseau sans connexion Internet ? R Oui, vous pouvez enregistrer des paramètres réseau tels que des paramètres

de réseau privé virtuel que vous utiliserez ultérieurement lorsque vous aurez une connexion Internet.

Q Quels sont les avantages de la création de règles IPSec dans la même console que les règles du Pare-feu Windows ?

R Gestion simplifiée et moins de risque de créer des règles en conflit ou qui empiètent les unes sur les autres.

Q Quels types de règles de sécurité de connexion d'ordinateurs sont disponibles ? R Isolation, exemption d'authentification, serveur à serveur, tunnel, personnalisées. Q Est-il possible d'utiliser la valeur DSCP et la limitation ensemble ? R Oui. Q Pourquoi devez-vous lier une stratégie QoS à un objet de stratégie de groupe ? R Pour distribuer la stratégie dans la stratégie de groupe. Q Quels sont les avantages des adresses de liaison locale automatiques ? R Il n'est pas nécessaire d'utiliser un protocole d'autoconfiguration avec état tel

que le protocole DHCP. Elles peuvent être utilisées pour communiquer avec d'autres ordinateurs sur le réseau sans être diffusées à d'autres ordinateurs situés à l'extérieur du réseau.

Q Quelles sont les autres utilisations possibles des adresses IPv6 ? R Exemples : Espace de collaboration Windows. Assignez une adresse IP à une

automobile afin qu'un système de sécurité embarqué puisse localiser facilement le véhicule. Les appareils compatibles IPv6 peuvent permettre des diagnostics et des réparations à distance, en réduisant le temps de maintenance et de réparation.


Atelier pratique 2 : Paramètres de gestion DNS


• parcourir la console DNS ; • créer des zones de recherche directe et inversée ; • créer un enregistrement de ressource ; • configurer un transfert de zone.


Configuration de l'atelier pratique Pour cet atelier pratique, vous allez utiliser l'environnement d'ordinateurs virtuels disponible. Avant de commencer l'atelier pratique, vous devez :

• démarrer l'ordinateur virtuel SEA-DC-01 ; • ouvrir une session en tant que CONTOSO\Administrateur ; • utiliser le mot de passe Pa$$w0rd.


Exercice 1 : Création de zones dans Windows Server 2008 Dans cet exercice, vous allez créer des zones de recherche directe et inversée, ainsi qu'un redirecteur conditionnel.


• créer une zone de recherche directe • créer une zone de recherche inversée • créer un enregistement PTR pour la zone de recherche inversée



1. Créer une zone de recherche directe

• Cliquez sur Démarrer | Outils d'administration | DNS.• Créez une zone de recherche directe principale

nommée hr.contoso.com.

2. Créer une zone de recherche inversée

• Créez une zone de recherche inversée avec l'ID réseau 192.168.16.

3. Créer un enregistement PTR pour la zone de recherche inversée

• Cliquez avec le bouton droit sur 16.168.192.in-addr.arpa, puis cliquez sur Nouveau pointeur (PTR). • Numéro IP hôte : 1 • Nom d'hôte : SEA-DC-01


Exercice 2 : Création d'enregistrements de ressources Dans cet exercice, vous allez créer plusieurs enregistrements de ressources.


• créer un enregistrement hôte • ajouter un enregistrement de ressource CNAME



1. Créer un enregistrement hôte • Créez un nouvel enregistrement hôte (A ou AAAA) nommé SEA-WRK-005 avec l'adresse IP 192.168.0.4.

• Créez le pointeur (PTR) associé lorsque vous y êtes invité.

2. Ajouter un enregistrement de ressource CNAME

• Créez un nouvel alias (CNAME) nommé ftp. • Dans le champ Nom de domaine pleinement

qualifié (FQDN) pour l'hôte de destination, tapez SEA-WRK-005.contoso.com.


Exercice 3 : Configuration de transferts de zone Dans cet exercice, vous allez configurer la zone contoso.com afin d'autoriser les transferts de zone.


• autoriser les transferts de zone


1. Autoriser les transferts de zone

• Dans la boîte de dialogue Propriétés de contoso.com, cliquez sur l'onglet Transferts de zone.

• Sélectionnez Autoriser les transferts de zone.


Fin de l'atelier pratique Une fois l'atelier pratique terminé, vous devez arrêter l'ordinateur virtuel sans enregistrer les modifications.