Embed Size (px)
Citation preview
Formation Expert Microsoft Windows/Citrix XenApp
1
Table des matières Révisions certification XenApp 6.5 (1Y0-A20) ...................................................................................... 3
1/ Les éditions et fonctionnalités de XenApp : ................................................................................... 3
2/ L’architecture XenApp : .................................................................................................................. 4
3/ Élection du collecteur de données : ................................................................................................ 5
4/ Les rôles XenApp : ........................................................................................................................... 8
5/ Data Store & Local Host Cache (IMALHC.mdb) : ............................................................................. 9
6/ Service IMA : ................................................................................................................................. 10
7/ Les zones : ..................................................................................................................................... 10
8/ Les composants supplémentaires : ............................................................................................... 11
9/ La console d’administration de Citrix (AppCenter) : ..................................................................... 12
10/ Les licences ................................................................................................................................. 14
11\ Prérequis d’installation de XENAPP 6.5 ...................................................................................... 17
12\ Question à se poser avant l’installation ...................................................................................... 19
13\ Installation du serveur de licence .................................................................................................. 21
14\ Installation de XenApp 6.5 + Interface Web ............................................................................... 30
15\ Configuration de XenApp 6.5 : .................................................................................................... 36
15\ Configuration de la Web Interface pour le client Receiver :....................................................... 42
16\ Installation des Hotfix XenApp : .................................................................................................. 46
17\ Activation du serveur de licence RDS (Remote Desktop Service) : ............................................. 48
18\ Affectation manuel du serveur de licence RDS (Remote Desktop Service) : .............................. 53
19\ Affectation via GPO du serveur de licence RDS (Remote Desktop Service) : ............................. 55
20\ Création et administration des « Groupes de tâches » : ............................................................ 59
21/ Les privilèges administratif et les permissions : ......................................................................... 60
22/ Configuration des logs : .............................................................................................................. 61
Microsoft Windows Server 2008 (Certification 70-640) ...................................................................... 62
Chapitre 1 .......................................................................................................................................... 62
Chapitre 2 .......................................................................................................................................... 68
Chapitre 3 .......................................................................................................................................... 72
Chapitre 4 .......................................................................................................................................... 73
Chapitre 5 .......................................................................................................................................... 75
Chapitre 6 .......................................................................................................................................... 76
Chapitre 7 .......................................................................................................................................... 80
Chapitre 8 .......................................................................................................................................... 84
Chapitre 9 .......................................................................................................................................... 86
Chapitre 10 ........................................................................................................................................ 91
2
Chapitre 11 ........................................................................................................................................ 98
Chapitre 12 ...................................................................................................................................... 104
Chapitre 13 ...................................................................................................................................... 107
Chapitre 14 ...................................................................................................................................... 115
Chapitre 15 ...................................................................................................................................... 118
Chapitre 16 ...................................................................................................................................... 121
3
Révisions certification XenApp 6.5 (1Y0-A20) Description : Citrix XenApp 6.5 est une solution de gestion d’applications centralisées et
accessibles par les utilisateurs depuis n’importe quel type de périphérique. La solution
fonctionne à partir d’un OS Microsoft Windows Server 2008 R2 afin de distribuer des
applications à la demande. Le but de cet article est de vous apprendre l’essentiel du
produit afin que vous puissiez passer votre certification Citrix XenApp 6.5 (1Y0-A20).
1/ Les éditions et fonctionnalités de XenApp :
– Il existe 3 éditions de XenApp 6.5 :
Advanced Edition (Contient le strict minimum pour publier des applications)
Enterprise Edition (Contient des fonctionnalités avancées par rapport à l’édition basique)
Platinum Edition (La version la plus complète)
XenApp 6.5 possède de nombreuses fonctionnalités qui sont pour certaines présentent
dans toutes les versions de XenApp et d’autres accessibles qu’à partir de la version
Enterprise ou Platinum.
– Liste des fonctionnalités présentent dans toutes les versions de XenApp 6.5 :
Self-Service Application
Any Device Anywhere
High Definition User Experience (Technologie HDX)
Secure By Design
Single Instance Management
Enterprise Class Scalability
– Liste des fonctionnalités présentent uniquement dans les
éditions Enterprise et Platinum :
VM Hosted Applications (Permet de publier des applications à partir de postes clients virtuel
sous Windows XP, Vista ou Seven)
Installation Manager (Permet de déployer automatiquement des applications ou patchs sur
plusieurs serveurs)
Profile Management (Permet la sauvegarde des paramètres des profils utilisateur ainsi que
le déploiement de profil à la demande)
Health Monitoring and Recovery (Permet de surveiller la santé des serveurs et d’activer des
actions automatique cas de panne)
Server Preference and Failover
Power and Capacity Management
4
– Lise des fonctionnalités présente uniquement dans l’édition Platinum :
Provisionning Services (Contient des images de serveurs virtuel ou physique prête à être
déployé)
Smart Access With Citrix Access Gateway (Permet de granuler les autorisations accordés
aux users accédant à Citrix via un VPN SSL)
HDX Broadcast Branch Optimization (Optimise la compression des flux pour améliorer
l’expérience des connexions WAN)
Load Testing Services (Permet de réaliser des tests de charges utilisateurs avec des scripts
spécifiques)
Service Monitoring
Preferential Load Balancing (Permet d’appliquer des priorités à une population d’utilisateur
sur la répartition de charge)
Single Sign-On and Password Management (Permet d’activer la gestion des mots de passe
via SSO dans les différentes applications)
Smart Auditor (Permet d’enregistrer des sessions utilisateurs en vue d’un éventuel
diagnostic technique)
2/ L’architecture XenApp :
– L’architecture XenApp est composée des serveurs suivants :
Un poste utilisateur muni du client Citrix Receiver
Un serveur hébergeant la Web Interface (Interface Web permet l’accès aux applications via
un portail web ou via le client Citrix Receiver)
Un serveur dans la zone hébergeant le rôle de Data Collector (Collecteur des données
dynamique de la zone, comme les informations de charge des serveurs, le nombre de
sessions active par serveur,…)
Des serveurs de présentation XenApp sur lesquels seront publiées les applications
(Installées ou streamées). Les applications peuvent être load balancé au sein d’une même
ferme uniquement.
Un serveur de Licence RDP/Citrix (Il faut autant de licence RDP que de licence Citrix pour
que XenApp fonctionne. Citrix utilise toujours un mode de licence en utilisateurs simultanées).
Un serveur SQL faisant office de Data Store (Magasin de donnée qui sera chargé de stocker
la configuration de la ferme, les applications publiées, les serveurs, les administrateurs et les
imprimantes). Une ferme de serveur Citrix possède un seul Data Store qui peut fonctionner
sous Microsoft SQL Server Express, Microsoft SQL Server ou Oracle.
Des zones qui permettent de regrouper géographiquement des serveurs afin d’améliorer les
communications WAN. Une zone collecte les données de ses serveurs membres via un
collecteur de données unique au sein de la zone.
Un contrôleur de domaine Active Directory afin de créer des groupes de sécurité ou des
utilisateurs pour les publications Citrix.
Des groupes de travail également nommé Worker Groups, qui permettent de rassembler
plusieurs serveurs en un seul groupe afin d’y publier rapidement des applications ou des
stratégies en même temps.
5
– Lors de la création d’une nouvelle ferme Citrix, le premier serveur de la ferme devient
automatiquement le collecteur de données (Rôle « Controller ») pour cette ferme et
héberge ainsi le service XML BROKER. Les autres serveurs Citrix qui rejoindrons la
ferme hébergerons les applications ainsi que les sessions utilisateurs (Rôle « Sessions
Host Only »). Il est recommandé de choisir un serveur Citrix dédié pour héberger le rôle
de collecteur de données. Ce serveur aura également pour fonction d’alimenter le data
store à l’aide des données dynamique qu’il collectera auprès des autres serveurs.
3/ Élection du collecteur de données :
En cas de panne du contrôleur (data collector), il y aura une élection automatique afin
qu’un autre serveur de la ferme exécute cette fonction. Le processus d’élection
s’effectue de trois manières:
1/ Le serveur ayant la priorité la plus élevé dans les paramètres d’élection sera nommé
collecteur de données.
2/ Si tous les serveurs de la ferme possède le même paramètre de priorité, c’est alors le
serveur qui possède la version de XenApp la plus élevé qui sera élue.
6
3/ Si tous les serveurs de la ferme possèdent la même version de XenApp, c’est le
serveur possédant le numéro de « Host ID » le plus élevé qui sera élue. A l’installation
d’un serveur Citrix dans une ferme, ce dernier prend possession d’un ID aléatoire et
unique dans la ferme. Pour connaitre le « Host ID » d’un serveur, il faut télécharger
l’outil « QueryHR » sur le site de Citrix à l’adresse suivante
: http://support.citrix.com/article/CTX106320/
NB : « QueryHR » n’est pas installé par défaut mais figure également sur le CD
d’installation. Une fois téléchargé, il faudra déposer « QueryHR.exe » dans le répertoire
« C:\Windows\System32«
Pour utiliser « QueryHR » et récupérer les informations concernant tous les serveurs de
la ferme, il suffit d’ouvrir une invite de commande DOS et taper la commande
« QueryHR » :
– « QueryHR.exe » possède les options suivantes :
QueryHR -z : Permet d’afficher le nom des zones disponibles dans la ferme
7
QueryHR -h « zonename » : Permet d’afficher des informations sur les serveurs
membres de la zone spécifiée en paramètre
QueryHR -l : Permet d’afficher les informations concernant l’hôte XenApp sur lequel la
commande est exécutée.
QueryHR -n hostname : Permet d’afficher des informations sur le serveur spécifié par
son hostname en paramètre
QueryHR -i « host ID »: Permet d’afficher des informations sur le serveur spécifié par le
Host ID en paramètre
8
QueryHR -N : Permet d’afficher le nom de la ferme
NB : Il faut être administrateur de la ferme Citrix afin d’exécuter cette commande.
Une fois les rôles attribués, si vous souhaitez modifier les rôles « Sessions Host Only »
ou « Controller », il faudra sortir le serveur de la ferme et le réintégrer avec les nouveaux
rôles.
4/ Les rôles XenApp :
– Lors de l’ajout d’un serveur dans la ferme Citrix, il est possible de lui attribuer des
rôles. Après installation, si on souhaite modifier le rôle, il faudra sortir le serveur de la
ferme et le réintégrer en spécifiant le bon rôle :
Remarque : Selon l’édition sélectionnée précédemment, vous aurez plus ou moins
de rôles disponibles. L’édition Platinum permet d’avoir l’intégralité des rôles. Les
rôles peuvent être ajoutés ou supprimés depuis l’outil de configuration « XenApp
Server Role Manager ».
Description des rôles disponibles :
Serveur de licences : Installe le gestionnaire de licence sur votre serveur. Ce serveur sera
celui qui répondra aux requêtes lors de demande de licences. (Peut-être installé sur un
serveur n’exécutant pas XenApp)
9
XenApp : Installe le rôle XenApp sur votre serveur pour permettre la publication
d’applications de manière centralisées
Interface Web : Installe le rôle Interface Web permettant l’accès aux applications publiées.
(Peut-être installé sur un serveur n’exécutant pas XenApp)
Merchandising Server : Ce rôle permet de déployer les Plug-in client (Ex : Client Receiver)
sur les postes utilisateur. Ce rôle doit être installé sur un serveur dédié à ce rôle. (Remarque :
il s’agit d’une appliance virtuelle et en tant que telle requiert une machine virtuelle)
Service Single Sign-On : Ce service s’exécute sur un serveur Web et offre des
fonctionnalités de gestion de mot de passe optionnelles, comme le libre-service, l’intégrité des
données, la gestion des clés, le provisionning et la synchronisation des informations
d’identification.
Secure Gateway : Permet de sécuriser l’accès aux ordinateurs du réseau d’entreprise
exécutant Citrix XenApp et fournit une passerelle Internet sécurisée entre Citrix XenApp et les
machines clientes. (Peut-être installé sur un serveur n’exécutant pas XenApp)
Administration de la Gestion de la capacité et de la consommation : Permet de réduire la
consommation d’énergie et de gérer la capacité du serveur XenApp en augmentant ou
diminuant le nombre de serveur XenApp actif. (nécessite une ferme ayant plusieurs serveurs
XenApp)
EdgeSight Server : Permet de contrôler les performances du système et des sessions des
infrastructures XenApp. (Peut-être installé sur un serveur n’exécutant pas XenApp)
Provisionning Services : Permet de virtualiser la charge d’un serveur (système
d’exploitation, applications et configuration) en streamant la charge des serveurs à la
demande sur des serveurs physiques ou virtuels.
Serveur SmartAuditor : Permet d’enregistrer les activités à l’écran de toute session
utilisateur.
5/ Data Store & Local Host Cache (IMALHC.mdb) :
– Le Data Store représente la base de données d’une infrastructure Citrix et permet de
stocker toutes les informations statique de la ferme comme :
Les informations de configuration de la ferme
La configuration des applications publiées
La configuration des serveurs
La gestion de la sécurité de la ferme
La configuration des imprimantes
Le nom et le port du serveur de licences
Cette base de données peut être du type :
Microsoft SQL Server
Microsoft SQL Server Express
Oracle
10
– A des fins d’optimisation et de continuité d’activité, les serveurs XenApp possèdent
une copie minimale du Data Store dans une base de données Microsoft Access locale
nommée «IMALHC.mdb » ou plus communément appelé « LOCAL HOST CACHE ».
Cette base de données locale contient les informations des serveurs de la ferme, les
applications publiées ainsi que les relations d’approbation existante afin que les serveurs
XenApp puissent continuer de fonctionner malgré une perte de communication avec le
Data Store. Dans le cas où la ferme fonctionnerait en mode dégradé en utilisant le Local
Host Cache, les serveurs ne pourront pas publier de nouvelles applications. Le service
IMA interrogera la Data Store toutes les 30 minutes ou dès qu’une modification de la
configuration de la ferme sera détecté afin de savoir si le service est rétablie ou non. Si
un changement de configuration était effectué, le service IMA contactera chaque serveur
XenApp afin de mettre à jour le cache local.
6/ Service IMA :
– Le service IMA (Independant Management Architecture) fonctionne comme un bus de
données qui véhicule des informations sur le réseau afin de communiquer avec les
serveurs XenApp d’une ferme. Ce service Windows présent dans chaque serveur
XenApp communique au travers du port TCP 2512 (par défaut). Chaque serveur XenApp
contact le collector de données via le service IMA afin de lui apporter des informations
dynamique le concernant comme sa charge ou ses sessions utilisateurs active.
7/ Les zones :
Les zones sont des groupements logiques de serveurs qui communiquent ensemble via
un unique collecteur de données. Les collecteurs de données de chaque zone peuvent
également communiquer entre eux pour s’échanger des informations sur la charge de
chaque zone. Généralement, les zones se basent sur des sous-réseaux. Lors de
l’installation d’une ferme Citrix, le premier serveur XenApp est intégré dans une zone par
défaut nommé « Default Zone » et devient ensuite le premier collecteur de données de
la zone. Il est ensuite possible de créer plusieurs zones dont le nom pourra définir un
site, une région, une ville, etc.
Citrix recommande d’utiliser qu’une seul zone pour des performances optimales. Il n’est
pas conseiller de créer trop de zones. Par défaut les zones s’échangent des informations
à travers le réseau, augmentant ainsi la consommation de bande passante qui peut,
dans certains cas, diminuer les performances au niveau du confort utilisateur.
11
NB : Si un serveur appartenant à une zone venait à être déplacé dans une autre zone, il
est impératif de redémarrer ce dernier afin qu’il récupère les informations de la nouvelle
zone pour fonctionner correctement.
8/ Les composants supplémentaires :
Load Manager (Gestionnaire du load balancing Citrix), permet de diriger les utilisateurs vers
les serveurs les moins chargés de la ferme à l’aide de règles d’évaluation de charge définit
par l’administrateur.
Access Gateway VPX qui permet de créer une appliance virtual dans le but d’offrir un accès
sécurisé supplémentaire à la ferme.
Citrix XenApp Management Pack constitue une solution de monitoring de l’ensemble de la
batterie afin de surveiller la santé des serveurs et la disponibilité de ces derniers au sein de la
ferme. Ce produit est compatible avec la technologie de Microsoft SCOM (Microsoft System
Center Operations Manager 2007 (SP1).
AppCenter constitue la console d’administration (MMC : Microsoft Management Console) de
Citrix. Toutes les tâches d’administration essentielles comme la publication d’applications, la
gestion des droits, les stratégies Citrix, les règles d’évaluation de charges, les zones etc…
Citrix Receiver and plug-ins constituent les clients Citrix. Ces derniers permettent un accès
à la ferme Citrix depuis n’importe quel système d’exploitation (Windows, Linux, Macintosh) ou
périphérique utilisateur (Tablette, iPhone, Android).
12
9/ La console d’administration de Citrix (AppCenter) :
La console d’administration de Citrix est disponible en cliquant sur « Start > All
Programs > Citrix >Consoles de gestion > Citrix Delivery Services Consoles«.
Cette console contient les sections suivantes :
Alertes : Permet visualiser d’un coup d’œil les erreurs survenues sur la ferme
Search : Permet de rechercher une application, un utilisateur ou un serveur sur la ferme
My views : Permet de créer des vues personnalisées faisant office de raccourcis. Cela
permet d’avoir accès directement aux outils les plus fréquemment utilisé plutôt que d’aller les
chercher manuellement dans l’arborescence de la console.
13
Hotfix Management : Permet de gérer la politique de mise à jour des serveurs Citrix. Il est
également possible de comparer les Hotfix installés sur plusieurs serveurs de la ferme.
Administrator : Permet de gérer les permissions attribuées à des groupes ou des utilisateurs
afin de déléguer l’administration de la batterie.
Applications : Permet de publier des applications (en ligne ou hors ligne) ou du contenu aux
différents clients.
History : Permet de vérifier l’historique de modifications apportées par chaque administrateur
de la ferme.
Load Balancing Policies : Permet de créer des stratégies concernant la répartition de
charge Citrix. Il sera ainsi possible de priorisé des utilisateurs ou groupes pour la connexion à
un serveur x ou y de la ferme, voire d’appliquer une stratégie qu’à une population bien définit
de client.
Load Evaluator : Permet de créer les calculateurs de charge des serveurs Citrix. Ces
derniers seront appliqués à chaque serveur de la batterie et Load Manager se chargera
d’appliquer ces règles (Exemple : Il est possible de définir qu’un serveur est chargé lors sont
CPU atteint 90% d’utilisation)
Policies : Permet de créer des stratégies Citrix. Il est également possible de gérer la ferme
via des GPO Active Directory.
14
Servers : Permet de voir l’ensemble des serveurs de la ferme
Worker Groups : Permet de créer des groupes de serveurs afin de mieux les gérer.
Zones : Permet de gérer les zones ainsi que les serveurs de chaque zone
Single Sign-On (SSO) : Permet de gérer la politique de gestion des mots de passe au sein
de la ferme Citrix. La gestion des accès en authentification unique pour accéder aux
applications.
10/ Les licences
Pour fonctionner les serveurs XenApp doivent posséder des licences qui certifient que le
produit peut fonctionner tout en étant en règle avec Citrix. Lorsqu’un utilisateur se
connecte à la ferme, ce dernier utilise une des licences disponible au moment de sa
connexion. Une fois sa session clôturé, l’utilisateur libèrera la licence qu’il avait prise
précédemment afin de la rendre disponible pour une future demande de connexion à la
ferme.
– La gestion des licences peut être découpée en plusieurs parties :
Le serveur de licences : Stock les fichiers de licences et répond aux requêtes des produits
Citrix pour l’obtention d’une licence.
Les fichiers de licences : Est un fichier « *.lic » qui contient les informations de licences
d’un produit Citrix
La console d’administration des licences : Permet de manager le serveur de licences
– Lorsqu’on installe un serveur de licences et qu’on n’a pas encore déposé un fichier de
licence valide, le serveur fonctionne directement avec une période de grâce de 30
jours pendant lesquels il est possible à deux utilisateurs seulement d’utiliser le produit
XenApp. Dans les précédentes versions de Citrix, cette période de grâce était
historiquement de 96h.
– Après que le serveur de licences ait été installé et des licences enregistrées, si les
serveurs XenApp de la ferme perdent le contact avec le serveur de licence, ils entrent
automatiquement en période de grâce de 30 jours pendant lesquels ils continueront de
fonctionner. Dans un environnement de production, un PCA comprenant le serveur de
licence n’est pas obligatoire car les 30 jours de grâce sont largement suffisamment aux
15
équipes techniques pour remonter un serveur de licence. Si vous souhaitez tout de
même prévoir de la haute disponibilité sur ce composant, vous pouvez également
effectuer une image du serveur que vous stockerez éteinte dans un coin de votre
réseau. Le jour où votre serveur de licences devient indisponible, il vous suffira de mettre
en ligne la copie de votre serveur de licence qui disposera de la même adresse IP, des
mêmes fichiers de licence et du même nom de machine afin que les serveurs de la
ferme puissent continuer de communiquer avec lui automatiquement.
Si vous ne souhaitez pas conserver le même nom de machine, vous pouvez utiliser un
nom différent mais l’opération nécessitera de modifier le serveur de licence au niveau
des paramètres d’un serveur Citrix ou de la ferme (solution plus couteuse). Les fichiers
de licences existant ne fonctionneront plus car ils ne porteront pas le même nom que le
serveur de backup. Il faudra donc réattribuer les licences pour le nom du nouveau
serveur via l’interface du site web MyCitrix.
Dernière solution, il est également possible d’utiliser un cluster Microsoft comprenant
plusieurs nœuds de serveurs de licence. Dans cette situation, le fichier de licence devra
contenir le nom du cluster et pas le nom de machine d’un nœud composant ce cluster.
Des licences peuvent être consommées de façon multiple dans les situations suivantes :
Si un utilisateur se connecte à la ferme via différents périphériques, il consommera autant de
licences que de périphériques depuis lequel il sera connecté.
Si des serveurs de la ferme sont configurés pour se connecter à différent serveurs de
licences, l’utilisateur consommera des licences sur chaque serveur de licence configuré.
Si les serveurs de la ferme utilisent une version de Citrix différentes, l’utilisateur consommera
une licence pour chaque version de Citrix.
– Citrix XenApp 6.5 fonctionne uniquement avec des serveurs de licences en version
11.9.x. Si le serveur de licence possède une version antérieure, il faudra migrer ce
dernier. La migration n’est possible qu’à partir de la version 11.x du serveur de licence.
– XenApp fonctionne avec autant de licences Citrix que de licences RDS (Remote
Desktop Services).
16
– Il est possible de faire un GPO pour configurer automatiquement les serveurs Citrix qui
rejoignent la ferme en leur indiquant le nom du serveur de licences RDS.
– Le serveur de licence peut être géré via un navigateur web. Lorsqu’on installe le
serveur de licence sur un serveur XenApp, le setup installe un serveur apache qui
s’exécute via le processus « lmadmin.exe » sur le port 8082 par défaut.
– Pour accéder à l’interface web du serveur de licence Citrix, il suffit de taper l’url
suivante : http://[hostname-serveur-licence]:8082
Ou cliquer sur « Start > All Programs > Citrix > Management Consoles > License
Administration Console »
– Le serveur de licence utilise les ports de communication suivant par défaut :
Citrix Vendor Daemon : 7279
NB : Citrix Vendor Daemon est un processus chargé de gérer les fichiers de licences
importés sur un serveur de licences. Ainsi, vous serez capable de connaitre le nombre
total de licence attribués, disponibles etc.
Port de communication du serveur de licence : 27000
NB : Les serveurs de la batterie communique avec le serveur de licence pour demander
des licences utilisateurs ou logiciels via le port 27000.
Port d’accès à la console du serveur de licence : 8082
Ces ports par défaut peuvent être configurés pendant l’installation du serveur de licence
ou post-installation. La modification d’un de ces ports nécessite un redémarrage du
service de licences.
– Par défaut, tous les utilisateurs ont accès à la console de gestion des licences Citrix.
L’administrateur peut néanmoins protéger l’accès par un mot de passe.
– L’installation du serveur de licence nécessite l’installation des prérequis suivant :
Microsoft Visual C++ 2008 Redistribuable
Microsoft MSI Utility version 3.x
17
NB : Il est recommandé d’installer le serveur de licence en premier lors de l’installation
d’une nouvelle plateforme Citrix.
– Le fichier de licence « Licence.lic » contient le nom du serveur de licence. Si vous
souhaitez attribuer la licence à un autre serveur de licence, il faudra renvoyer la licence à
Citrix afin qu’elle génère un nouveau fichier de licence.
– Les fichiers de licences sont stockés sur le serveur de licence dans le répertoire :
%Program Files%\Citrix\Licensing\MyFiles.
– Pour demander un fichier de licence, il faut aller sur le site web MyCitrix.com et
s’authentifier avec ses identifiants.
11\ Prérequis d’installation de XENAPP 6.5
– Pour installer XenApp 6.5 il vous faut l’ISO que vous pouvez télécharger sur le site de
Citrix.
– Le serveur sur lequel vous allez installer XenApp ne doit pas être un contrôleur de
domaine et doit respecter les caractéristiques suivantes :
CPU 64 Bits
512 Mo de RAM (minimum)
32 Go de disque dur (minimum)
– L’installation du composant AppCenter nécessite les composants software suivants :
.NET Framework 3.5 SP1 (Installé automatiquement par le setup)
MMC 3.0 (Installé automatiquement par le setup)
MS Visuel C++ 2005\2008 SP1 Redistribuable x64 (Installé automatiquement par le setup)
– L’installation du composant Web Interface nécessite les composants software
suivants :
IIS (Internet Information Service) (Installé automatiquement par le setup)
Authentification Windows (Vérifier la présence de ce paramètre IIS)
Authentification par mappage de certificat client (Vérifier la présence de ce paramètre IIS)
ASP.NET 3.5 (Vérifier la présence de ce paramètre IIS)
Visual J#
.NET Framework (Installé automatiquement par le setup)
18
– L’installation du composant XenApp installe automatiquement les composants
suivants :
Microsoft .NET 3.5 SP1
GPMC (Group Policy Management Console)
Windows Application Server Role
Microsoft Windows Installer (MSI) 3.0
Microsoft Remote Desktop Services « Session Host » rôle
Microsoft Visual C++ 2005\2008 SP1 Redistribuable x64
Microsoft Primary Interoperability Assemblies 2005
– Le composant XenApp Server Role Manager permet d’installer les composants Citrix
suivants :
Citrix License Server
XenApp Server
Web Interface Server
Single Sign-On services (Platinum Edition only)
Power and Capacity Management Administration (Enterprise et Platinum Editions only)
EdgeSight Server (Platinum Edition only)
Provisionning Services (Platinum Edition only)
– L’installation du composant Citrix Licensing nécessite les composants software
suivants :
Microsoft .NET Framework 3.5
IIS
ASP.NET
– Pendant l’installation d’un serveur XenApp, l’outil SCT (Server Configuration Tool)
permet de configurer l’installation et d’ajouter des rôles supplémentaires. A l’installation,
il est possible de définir les options suivantes :
Créer et joindre une ferme
Indiquer le data store à utiliser (Sélection du serveur de base de données)
Indiquer le port du service XML
Ajouter des utilisateurs dans le groupe « Bureau d’accès à distance »
Configurer les paramètres d’observation
Supprimer un serveur de la ferme
Indiquer le mode du serveur ainsi que sa zone
Préparer une image de serveur pour le provisionning
Indiquer le nom du serveur ainsi que l’URL de la Web Interface utilisé par le client Citrix
Receiver
19
– Lorsque vous utilisez l’outil SCT pour préparer des images de serveurs dédiés au
provisionning de serveurs Citrix, il faut utiliser un serveur de la ferme qui respecte les
exigences suivantes :
Le serveur ne doit pas être le seul serveur de la ferme
Le serveur ne doit pas être le Data Collector
Le serveur ne doit pas être le Data Store
Le serveur ne doit pas être le serveur de licence
12\ Question à se poser avant l’installation
– Avant l’installation d’une nouvelle ferme Citrix, imaginez et définissez à l’avance
l’architecture cible en répondant à des questions essentielles du type :
Combien de ferme ?
Le nom de la ferme ?
Combien de zone ?
Utiliser les ports par défaut ou des ports personnalisés ?
Quel serveur hébergera quel rôle ?
Les rôles seront-ils mutualisés sur un même serveur ?
etc…
- Définitions :
Une ferme : Une ferme Citrix est un regroupement de serveur qui peut être managé comme
une simple entité. La ferme utilise un unique magasin de données pour stocker la
configuration de la ferme ainsi que les applications publiées.
Une zone : Une zone est un regroupement logique de serveurs d’une ferme. La première
zone créée se nomme « Défault Zone ». Il est possible de personnaliser le nom de zone pour
lui donner un nom plus explicite. On utilise généralement des zones pour situer des serveurs
géographiquement. Pour optimiser les performances, Citrix recommande l’utilisation que
d’une seule zone.
- Sur quel type de serveur SGBD installer la ferme ? L’installation du Data Store peut
s’effectuer sur différentes technologie de serveur de base de données :
Microsoft 2008 R2 Express
Microsoft 2008 Express SP3
Microsoft 2008 R2
Microsoft 2008 SP2
Microsoft 2005 SP4
Oracle 11g R2 32-bit Enterprise Edition
20
NB : Lors de l’installation du Data Store sur une infra Microsoft SQL 2008 Express, l’outil
SCT (Server Configuration Tools) configure le produit en créant une instance nommée
«CITRIX_METAFRAME » et une base de données nommée « MF20 ».
- Est-ce que l’observation sera activée ? Lors de l’installation de XenApp, il est
possible d’autoriser l’observation de sessions utilisateurs via trois options :
Interdire l’observation
Autoriser l’observation et forcer l’apparition d’une boite de dialogue pour prévenir l’utilisateur
avant d’observer sa session
Enregistrer toutes les sessions d’observation
- Quel port utiliser pour l’exécution du service XML ?
Par défaut, le service XML utilise le port 80. Si IIS est également installé sur le serveur, il
est possible de partager le port 80 avec IIS et le service XML. Citrix recommande
toutefois l’utilisation d’un port différent que le port par défaut.
- Quand ajouter des utilisateurs dans le groupe « Utilisateur du bureau à
distance » ? Pour se connecter aux applications publiées sur les serveurs Citrix, les
utilisateurs doivent appartenir au groupe des « Utilisateur du bureau à distance » du
serveur. On peut sélectionner les groupes ou utilisateurs habilités pendant ou après
l’installation de XenApp.
- L’authentification unique sera-t-elle utilisée ? L’authentification unique permet à un
utilisateur d’accéder à la plateforme XenApp sans devoir saisir à nouveau ses
identifiants de sécurité Windows. Les informations d’authentification fournit à l’ouverture
de la session Windows seront utilisés pour accéder aux ressources publiées.
- Le cryptage IMA sera-t-il il implémenter pour protéger les informations stockées
dans le Data Store ou les logs de la base de données ? Le cryptage IMA ajoute une
couche de sécurité supplémentaire. Cette action peut être faite avant ou après
l’installation de XenApp. Si vous décidez d’activer le cryptage après l’installation de
XenApp, il faudra utiliser l’utilitaire CTXKeyTool en ligne de commande.
21
13\ Installation du serveur de licence
1 – Insérez le DVD d’installation de XenApp 6.5 dans votre lecteur :
2 – Exécutez le fichier « autorun.exe » :
3 – Cliquez sur « Manually install components » :
4 – Cliquez sur « Common Components » :
22
5 – Cliquez sur « Citrix Licensing » :
6 – Si vous n’avez pas installé le pré requis « Microsoft .NET Framework 3.5 »,
vous obtiendrez le message suivant. Cliquez sur « OK » :
7 – Cliquez sur « Terminer » pour aller installer le pré requis manquant :
23
8 – Démarrez « Server Manager » :
9 – Sélectionnez « Features » :
10 – Cliquez sur « Add Features » :
11 – Cochez l’option « .NET Framework 3.5.1 Features » :
12 – Cliquez sur « Add Required Role Services » :
24
13 – Cochez l’option « Windows Process Activation Service » et cliquez
sur « Next » :
14 – Cliquez sur « Next » :
15 – Cliquez sur « Add Required Role Services » :
25
16 – Cochez l’option « Request Filtering » et cliquez sur « Next » :
17 – Cliquez sur « Next » :
18 – Cliquez sur « Close » :
26
19 – Exécutez de nouveau l’autorun de XenApp, cochez la case et cliquez sur
« Suivant » :
20 – Sélectionnez l’emplacement d’installation du serveur de licence puis cliquez
sur «Installer » :
21 – Cliquez sur « Terminer » :
27
22 – Modifiez si besoin les ports par défaut des différents composants du serveur
de licence, spécifiez un mot de passe d’administration du serveur de licence et
cliquez sur « OK » :
23 – Démarrez votre navigateur Web :
24 – Tapez l’URL « http://localhost:8082/ », où « 8082 » représente le port
de gestion de la console web du serveur de licence :
25 – Dès que vous êtes sur l’interface web du serveur de licence, cliquez
sur «Administration » :
28
26 – Tapez le mot de passe du compte « Admin » que vous avez saisi
précédemment pendant l’installation et cliquez sur « Envoyer » :
27 – Vous êtes désormais sur l’interface web du serveur de licence :
28 – Cliquez sur le bouton « Configuration du démon vendeur » puis sur
« Importer licence » :
29
29 – Cliquez sur « Browse » :
30 – Sélectionnez le fichier de licence que vous avez récupéré sur le site de
Citrix «www.citrix.com/mycitrix » et cliquez sur « Open » :
31 – Cliquez sur « Importer licences » :
32 – Cliquez sur « OK » après le message indiquant que la licence a bien été
importée :
30
14\ Installation de XenApp 6.5 + Interface Web
NB : L’utilisation d’un compte administrateur du domaine est recommandée pour
effectuer l’installation. Le premier serveur XenApp installée dans la ferme sera
automatiquement considéré comme Data Collector.
1 – Insérez le DVD d’installation de XenApp 6.5 dans votre lecteur :
2 – Exécutez le fichier « autorun.exe » :
3 – Cliquez sur « Install XenApp Server » :
31
4 – Cliquez sur « Ajouter / supprimer des rôles de serveur » :
5 – Cliquez sur « Ajouter des rôles de serveur » :
6 – Sélectionnez l’édition de votre choix. Dans notre cas, nous allons cliquer
sur « l’Edition Platinum » qui offre le plus grand nombre de fonctionnalités :
32
7 – Cochez la case « J’accepte le contrat de licence » et cliquez sur « Next »:
8 – Cochez la case « XenApp » :
9 – Cochez la case « Interface Web » et cliquez sur « Next » :
33
10 – Cliquez sur « Next » :
11 – Cliquez sur « Next » :
12 – Cliquez sur « Installer » :
34
13 – Cliquez sur « Finish » :
14 – Cliquez sur « Redémarrer » :
15 – Cliquez sur « Yes » afin de redémarrer immédiatement le serveur :
35
16 – Au redémarrage du serveur, cliquez sur « Reprendre l’installation » :
17 – Cliquez sur « Installer » :
18 – Cliquez sur « Finish » :
36
15\ Configuration de XenApp 6.5 :
1 – Après l’installation de XenApp, cliquez sur « Spécifier les licences » :
2 – Tapez le nom du serveur de licence, laissez le port par défaut et cliquez sur
« Tester la connexion » :
3 – Cliquez sur « Fermer » si la connexion au serveur de licence est parfaitement
établie :
37
4 – Cliquez sur « Suivant » :
5 – Vérifiez que « XenApp » est bien coché puis cliquez sur « Appliquer » :
6 – Cliquez sur « Configure » :
7 – Cliquez sur « Create a new server farm » :
38
8 – Tapez le nom de la ferme CITRIX et cliquez sur « Next » :
9 – Sélectionnez « New database » et cliquez sur « Next » :
NB : Dans un environnement de production comportant plusieurs serveurs dans la ferme
CITRIX, il est indispensable de sélectionner un système de base de données
d’entreprise tel quel Microsoft SQL Server 2008 ou Oracle 11g.
39
10 – Tapez les identifiants du compte d’administrateur qui a servi à faire
l’installation de XenApp puis cliquez sur « OK » :
11 – Cliquez sur « Next » :
12 – Cochez la case « Force a shadow acceptance popup » et cliquez sur « Next » :
NB : Cette option permet d’afficher une popup à l’utilisateur lorsqu’un administrateur
souhaite observer la session de ce dernier.
40
13 – Sélectionnez « Data Collector », cochez la case « Use a custom zone name »
et tapez le nom de votre zone :
NB : Par défaut, si vous ne spécifiez pas de nom de zone personnalisé, le nom de la
zone sera « Default zone ».
14 – Sélectionnez « XML Service », cochez la case « Use a custom XML Service
TCP/IP port » et tapez le numéro de port à utiliser pour le service XML :
NB : Par défaut, si vous n’indiquez pas un numéro de port spécifique, le port 80 sera
utilisé. Si IIS est installé sur le serveur XenApp, le service XML partagera le port 80 avec
IIS. Des manipulations supplémentaires seront à prévoir (Exemple : Cocher la case «
Intégration de IIS au service XML » pendant l’installation de XenApp.
41
15 – Sélectionnez « Remote Desktop Users », décochez la case « Add Anonymous
Users » et cliquez sur « Next » :
16 – Cliquez sur « Apply » :
17 – Cliquez sur « Suivant » :
42
18 – Cliquez sur « Redémarrer » :
19 – Cliquez sur « Yes » :
15\ Configuration de la Web Interface pour le client
Receiver :
NB : Pour communiquer avec la ferme, un utilisateur utilise un client Citrix (Client web ou
client Receiver).
Le processus est le suivant concernant un client web :
a) Un utilisateur s’authentifie à la web interface
b) La web interface transmet les informations d’authentification aux serveurs de la
batterie via le service XML
c) Les serveurs de la batterie transmettent les identifiants à un contrôleur de domaine
pour l’authentification
d) Le service XML informe la web interface que l’utilisateur est authentifié
e) La web interface affiche les applications disponible et l’utilisateur clic sur l’application
de son choix
f) La web interface contact le service XML pour savoir quel serveur de la batterie est le
moins chargé
g) Le service XML renvoi le nom du serveur le moins chargé de la batterie ainsi qu’un
ticket sécurisé
h) La web interface génère automatiquement un fichier ICA (Launch.ica) contenant ces
43
informations et le transmet à l’utilisateur
i) Le plugin web de l’utilisateur interprète le fichier ica afin de se connecter directement
au serveur de la ferme via le protocole ICA
Il y a deux types de web interface :
XenApp Web : Permet aux clients d’accéder aux applications publiées via une page web
XenApp Services : Permet aux clients d’accéder aux applications publiées via le client
Receiver
1 – Cliquez sur « Configurer » au niveau de la catégorie « Interface Web » :
2 – Sélectionnez « XenApp Services Sites » et cliquez sur « Create Site » :
44
3 – Cliquez sur « Next » :
4 – Cliquez sur « Next » :
5 – Cliquez sur « Next » :
45
6 – Tapez le nom de la ferme CITRIX, ajouter le serveur hébergeant l’interface Web
Cliquez sur « Next » :
7 – Cliquez sur « Next » :
8 – Cliquez sur « Finish » :
46
9 – Le site web « XenApp Services Sites » apparait dans la console de gestion de
l’interface web :
16\ Installation des Hotfix XenApp :
NB : Il faut installer les correctifs Citrix sur l’ensemble des serveurs de la batterie en
commençant par le serveur faisant office de Data Collector. Si l’ordre n’est pas respecté,
l’élection des collecteurs de données sera modifiée car le serveur le plus à jour
deviendra collecteur de données.
Dans notre cas, nous installerons les correctifs « XA650W2K8R2X64001.msp » et
«XA650W2K8R2X64002.msp » récupérable sur le site de Citrix à l’emplacement suivant
: http://support.citrix.com/product/xa/v6.5_2008r2/?lang=fr&tab=tab-hotfix#tab-hotfix
1 – Cliquez sur « Start / Run » :
2 – Tapez « cmd » et cliquez sur « OK » :
3 – Tapez la commande « change user /install » pour basculer votre serveur en
mode d’exécution prévu pour l’installation d’applications :
47
NB : La commande « change user /query » permet de connaitre le mode d’exécution
actuel du serveur.
4 – Exécutez le premier HotFix que vous avez en double cliquant dessus :
5 – Cliquez sur « Suivant » :
6 – Cliquez sur « Fermer » :
NB : Répétez la même opération pour l’installation des Hotfix suivants.
7 – Cliquez sur « OK » pour redémarrer le système :
48
17\ Activation du serveur de licence RDS (Remote Desktop
Service) :
Les produits CITRIX XenApp fonctionnent à l’aide des services TS. C’est pourquoi, un
des serveurs de l’architecture doit posséder le rôle de serveur de licence RDS et chaque
serveur de présentation doit posséder la couche RDS. Dans une infrastructure, les
serveurs de licences CITRIX et RDS sont souvent mutualisé sur le même serveur. Il est
possible d’activer votre serveur plus tard grâce à la période de grâce de 120 jours.
1 – Cliquez sur « Server Manager » de votre serveur de licence CITRIX / RDS :
2 – Assurez-vous que le rôle RDS a bien été installé et cliquez sur « Remote
Desktop Services» :
3 – Cliquez sur « Add Role Services » :
49
4 – Cochez la case « Remote Desktop Licensing » et cliquez sur « Next » :
5 – Cochez la case « Configure a discovery scope for this licence server » et
cliquez sur «Next » :
6 – Cliquez sur « Install » :
50
7 – Cliquez sur « Close » :
8 – Cliquez sur « Start / All Programs / Administrative Tools / Remote Desktop
Services / Remote Desktop Licensing Manager » :
9 – Vous pouvez ainsi voir que votre serveur de licence RDS n’est pas activé :
51
10 – Pour l’activer, faites un clic droit sur votre serveur et cliquez sur « Activate
Server » :
11 – Cliquez sur « Next » :
52
12 – Sélectionnez la méthode de connexion « Web Browser » et cliquez sur
« Next » :
13 – Connectez-vous sur le site web « http://activate.microsoft.com » muni de
votre Product ID. Tapez ensuite votre ID du serveur de licence et cliquez sur
« Next » :
53
18\ Affectation manuel du serveur de licence RDS (Remote
Desktop Service) :
Dans une infrastructure CITRIX, chaque serveur de la ferme doit être configuré afin de
lui spécifier le serveur de licence RDS à utiliser. Cette action est possible manuellement
mais Microsoft recommande toutefois l’usage d’une GPO pour paramétrer
automatiquement l’ensemble d’une ferme de plusieurs serveurs XenApp.
1 – Cliquez sur « Start / Administrative Tools / Remote Desktop Services / Remote
Desktop Session Host Configuration » :
2 – Double cliquez sur « Remote Desktop license servers » :
54
3 – Sélectionnez « Per User » et cliquez sur « Add… » :
4 – Sélectionnez le serveur de licences à déclarer ou tapez son alias si ce dernier
existe et cliquez sur « Add… » :
5 – Cliquez sur « OK » et fermez la console :
55
NB : Pour augmenter la tolérance de panne, il faudra configurer et ajouter au moins un
deuxième serveur de licences RDS
19\ Affectation via GPO du serveur de licence RDS
(Remote Desktop Service) :
NB : Nous avons vu précédemment comment spécifier à un serveur XenApp le serveur
de licence RDS à utiliser en effectuant une opération manuelle. Pour éviter d’avoir à
reproduire la procédure sur plusieurs serveurs, nous examinerons la possibilité d’utiliser
les GPO (Group Policy Object) d’Active Directory afin de centraliser le paramétrage sur
le domaine et le diffuser sur l’ensemble des serveurs concernés par la GPO.
1 – Sur votre contrôleur de domaine, cliquez sur « Start / Administrative Tools /
Group Policy Management » :
2 – Développez l’arborescence, faites un clic droit sur l’OU de votre choix et
cliquez sur «Create a GPO in this domaine, and Link it here… » :
56
3 – Tapez le nom de votre GPO et Cliquez sur « OK » :
4 – Sélectionnez votre GPO, faites un clic droit dessus et cliquez sur « Edit… » :
5 – Développez l’arborescence jusqu’à sélectionner le dossier suivant « Computer
Configuration \ Policies \ Administrative Template \ Windows Components \
Remote Desktop Services \ Remote Desktop Session Host \ Licensing » et double
cliquez sur « Use the specified Remote Desktop license servers » :
57
6 – Cochez la case « Enabled », tapez le nom du serveur de licence RDS puis
cliquez sur « OK» et fermez l’éditeur de stratégie de groupe :
7 – Double cliquez sur « Set the Remote Desktop licensing mode » :
8 – Cochez la case « Enabled », sélectionnez l’option « Per User », cliquez sur
« OK » et fermez l’éditeur de GPO :
58
9 – Sélectionnez « Authenticated Users » et cliquez sur « Remove » :
10 – Cliquez sur « OK » :
11 – Cliquez sur « Add… » :
12 – Tapez le nom d’un groupe de sécurité comportant vos serveurs XenApp et
cliquez sur «OK » :
59
NB : Si vous ne possédez pas de groupe de sécurité englobant vos serveurs XenApp, il
faudra que vous en créiez un.
13 – Cliquez sur l’onglet « Détails » et sélectionnez l’option « User configuration
settings disabled » :
14 – Cliquez sur « OK » et fermez la console de gestion des stratégies de groupes
:
20\ Création et administration des « Groupes de tâches » :
Les « Groupes de tâches » ou « Worker Group » en anglais permettent à un
administrateur CITRIX de regrouper des serveurs d’une même batterie dans une unité
de gestion. Grâce à ces groupes de tâches, il est possible de :
– Publier une application à un groupe de serveurs afin de gagner du temps dans le
déploiement de l’application
– Prioriser des serveurs dans les règles de répartition de charge
– Filtrer des stratégies de sécurité pour appliquer des paramètres à un groupe de
serveurs spécifique
Lorsqu’on publie une application, il est possible de la publier pour un groupe de tâche
plutôt que pour un groupe d’utilisateur. Le groupe de tâche contenant des serveurs de la
batterie, l’application sera donc automatiquement publiée à tous les serveurs contenu
dans le groupe de tâche. Si un des serveurs appartenant au groupe de tâche ne contient
pas l’application publiée, il y a aura une erreur qui sera logué sur le Data Collector. Pour
60
éviter qu’un utilisateur se retrouve sur un serveur qui ne possède pas l’application,
XenApp utilise « Application Installation Check » qui est un programme qui vérifie la
présence ou non de l’application installé sur le serveur.
21/ Les privilèges administratif et les permissions :
– Lors de la création d’une ferme Citrix XenApp, l’administrateur qui installe la ferme
créé un compte d’administration disposant d’un contrôle total sur la ferme. Ce dernier
aura ainsi la possibilité de créer d’autres comptes d’administration avec les niveaux
d’administration suivant :
Administrateur avec contrôle total (Ne nécessite pas de licence d’accès utilisateur)
Administrateur en lecture seul (Nécessite l’utilisation d’une licence d’accès utilisateur)
Personnalisé (Nécessite l’utilisation d’une licence d’accès utilisateur)
– Chaque administrateur de la ferme doit posséder un compte d’administration unique
afin que l’on puisse plus facilement identifier les auteurs des différents changements de
configuration sur l’infrastructure quand les logs sont activés.
– Selon les best practices, il est recommandé d’attribuer des droits à des groupes plutôt
qu’à des utilisateurs explicite. Par exemple, lors de la création d’une ferme, créé deux
groupes de sécurité :
Un groupe contenant les administrateurs ayant un contrôle total
Un groupe contenant les administrateurs ayant des droits restreints sur la ferme
– La gestion des droits personnalisés permet d’afficher les droits à attribuer à un groupe
d’administrateur. Il sera ainsi possible de n’autoriser qu’une partie de la gestion de la
ferme à défaut de ne pas pouvoir leur attribuer un contrôle total. Restreindre les droits
permet de limiter le nombre de personne ayant accès au paramétrage complet de la
ferme et ainsi limiter les erreurs.
NB : Si deux administrateurs modifie en même temps le même paramètre dans la ferme,
ce n’est que le dernier à enregistrer le paramètre qui sera pris en compte.
– Dans la console AppCenter, il est possible de créer des dossiers pour organiser les
applications publiées. Seul un administrateur ayant un contrôle total sur la ferme peut
créer des dossiers. Une fois les dossiers créés, il sera possible d’y affecter des
autorisations spécifiques pour un groupe d’administrateur. Ainsi, un technicien ayant des
droits restreints sur la ferme ne pourra voir que les répertoires dont la vue lui aura été
autorisée sur le répertoire parent. L’arborescence de dossier créé dans la console
61
AppCenter ne sera visible que des administrateurs et ne reflète pas l’arborescence final
que verra l’utilisateur au travers de son client Citrix.
NB : Par défaut, un répertoire parent n’est pas configuré pour propager la configuration
des permissions aux répertoires enfants. Il faudra cocher une case pour autoriser la
propagation des droits à l’identique du paramétrage des permissions sur un système de
fichiers NTFS.
22/ Configuration des logs :
Les logs permettent de savoir « qui a fait quoi » sur la batterie de serveurs lorsque
plusieurs administrations gèrent une ferme Citrix. Grâce à la configuration des logs, il
sera ainsi possible de conserver un historique de l’ensemble de modifications apportées
à la ferme. Configurer les logs est donc important lorsque plusieurs modifications
peuvent être apportées à la ferme car les informations suivantes seront ainsi
enregistrées :
Identité de l’administrateur ayant fait un changement dans la configuration
La date et l’heure du changement
L’objet expliquant le changement et l’élément impacté
La configuration des logs implique l’enregistrement de toutes les modifications de la
ferme quelles soit faites via des lignes de commandes, la console d’administration ou
autres. Ces données sont enregistrées directement dans une base de données dédiée
du Data Store. L’option de configuration des logs ne supporte qu’une seule ferme
XenApp. Pour configurer une autre ferme, il faudra créer une autre base de données
dédiée.
NB : La communication des informations de logs issues des serveurs vers le Data Store
peut être crypté à l’aide de l’outil CTXKEYTOOL
62
Microsoft Windows Server 2008 (Certification
70-640) Voici tout ce qu’il vous faut savoir en vue d’un passage de la certification 70-640
Chapitre 1
– Microsoft Windows Server 2008 existe en version 32 ou 64 bits.
– La version Windows Server 2008 R2 est une version essentiellement en 64 bits.
– Pour installer la version complète de Windows Server 2008, il faut disposer au
moins :
512 Mo de RAM
10 Go d’espace disque libre
Un processeur x86 cadencé au minimum à 1 GHz
Un processeur x64 cadencé au minimum à 1,4 GHz
– Active Directory n’est qu’une solution de gestion des identités et des accès (IDA,
Identity and Access).
– L’infrastructure IDA se charge de :
Mémoriser les informations sur les utilisateurs, les groupes et les autres identités.
Authentifier une identité (Authentification Kerberos dans un domaine).
Contrôler les accès (Exemple : ACL).
Fournir une trace d’audit.
– L’infrastructure IDA est composée de 5 technologies :
AD FS : Active Directory Federation Services
AD LDS : Active Directory Lightweight Directory Services
AD DS : Active Directory Domain Services
AD CS : Active Directory Certificate Services
AD RMS : Active Directory Rights Management Services
– AD DS : Active Directory Domain Services : [ANNUAIRE]
Ce composant de l’infrastructure IDA permet de fournir un service d’authentification et
d’autorisation dans un réseau et prend en charge la gestion des objets au moyen de
stratégies de groupes.
Ce dernier fournit également une solution de gestion et de partage d’informations à travers un
annuaire et permet de trouver n’importe quel objets au sein d’un domaine Active Directory
(Serveurs, utilisateurs, imprimantes, groupes, etc.).
63
– AD LDS : Active Directory Lightweight Directory Services : [APPLICATIONS]
Dans les versions précédentes de Windows Server, ce composant était appelé ADAM (Active
Directory Application Mode).
Ce composant prend en charge les applications fonctionnant avec un annuaire.
L’annuaire AD LDS ne stocke et ne réplique que les informations associés aux applications.
AD LDS permet de déployer un schéma personnalisé pour prendre en charge une application
sans modifier celui d’AD DS.
Chaque application peut être déployée avec son propre schéma AD LDS.
AD LDS ne dépend pas d’AD DS et peut être installé sur un environnement autonome comme
un groupe de travail.
– AD CS : Active Directory Certificate Services : [CERTIFICATS]
Ce composant est l’équivalent d’une autorité de certification dans un domaine Active Directory
sous Windows Server 2003 par exemple.
AD CS permet de fournir des certificats numériques dans le cadre d’une infrastructure à clé
publique (PKI : Public Key Infrastructure).
Les certificats délivrés par AD CS pourront ainsi servir à authentifier des utilisateurs, des
ordinateurs, des entités sur le web, des cartes à puce, des connexions VPN ou sans fils
sécurisés, etc…
– AD RMS : Active Directory Rights Management Services : [INTEGRITE]
Active Directory permet déjà de sécuriser l’accès à une ressource au moyen d’une ACL mais
rien ne contrôle ce qui arrive au document ou à son contenu une fois que l’utilisateur l’a
ouvert. AD RMS permet de contrôler l’intégrité des ressources au-delà du contrôle d’accès
standard.
AD RMS permet ainsi de protéger l’information au moyen de stratégies qui définissent les
usages autorisés ou interdit sur une ressource.
A l’aide d’une stratégie AD RMS, il est ainsi possible d’autoriser un utilisateur à lire un
document mais pas de l’imprimer, ni de copier son contenu.
Pour l’utilisation de cette technologie, il faut disposer au minimum d’un domaine Active
Directory sous Windows 2000 Server SP3, IIS, un serveur de base de données tel que
Microsoft SQL, un navigateur web supportant RMS comme Internet Explorer et le pack
Microsoft Office.
AD RMS peut être couplé à AD CS pour protéger les documents à l’aide de certificats.
64
– AD FS : Active Directory Federation Services : [APPROBATION]
Ce composant de l’infrastructure IDA permet l’approbation des environnements Windows et
non Windows à l’aide de relations d’approbations.
AD FS permet aux utilisateurs authentifiés dans un réseau d’accéder aux ressources d’un
autre réseau à l’aide d’un processus d’authentification unique (SSO : Single Sign On)
Dans un environnement fédéré, chaque organisation maintient et gère ses propres identités
mais peut également accepter celles d’autres organisations issues des partenaires de
confiance.
– Le schéma Active Directory :
Le schéma permet de définir les différentes classes d’objets et attributs que peut contenir un
annuaire Active Directory.
Un compte d’utilisateur dans un domaine Active Directory sera définit dans le schéma à l’aide
de la classe d’objet « User » et possèdera les attributs « Nom », « Prénom », « login », « mot
de passe », etc…
– Le catalogue global :
Cette partition d’Active Directory contient des informations sur tous les objets de l’annuaire.
Elle contient une réplique partielle d’objets de l’annuaire.
C’est une sorte d’index qui permet de localiser des objets dans l’annuaire.
– Les services de réplication distribuent les données de l’annuaire à travers le
réseau.
– LDAP : Lightweight Directory Access Protocol
Ce protocole permet d’interroger et de modifier un service d’annuaire.
Basé sur TCP/IP.
– La base de données Active Directory :
Stocké dans un fichier sur un contrôleur de domaine à l’emplacement suivant :
« %SystemRoot%\Ntds\Ntds.dit »
La base de données Active Directory est divisé en plusieurs partitions :
« Schéma », «Configuration », « Catalogue Global » et « le contexte de nommage » (Le
contexte de nommage contient les données sur les objets d’un domaine tel que les
utilisateurs, les groupes, les ordinateurs, etc…).
65
– Les contrôleurs de domaine :
Egalement appelé DC, hébergent le rôle AD DS
hébergent le service KDC (Key Distribution Center) de Kerberos
– Les domaines Active Directory :
Un domaine est une unité administrative au sein de laquelle certaines fonctionnalités et
caractéristiques sont partagés.
Un domaine représente un périmètre au sein duquel des stratégies sont définies.
– Une forêt :
C’est un regroupement de plusieurs domaines Active Directory.
Une forêt possède un seul schéma, une seule partition de configuration et un seul catalogue
global.
Le premier domaine installé dans une forêt est appelé domaine racine de la forêt.
Une forêt possède plusieurs arbres.
– Un arbre :
C’est un ensemble de domaines situés sous une racine unique formant un espace de nom
DNS contigus.
Plusieurs arbres dont l’espace de noms DNS n’est pas contigu constituent une forêt.
– Il existe trois niveaux fonctionnels de domaine sous Windows Server 2008 :
Windows 2000 natif
Windows Server 2003
Windows Server 2008
– Il existe deux niveaux fonctionnels de forêt sous Windows Server 2008 :
Windows Server 2003
Windows Server 2008
– Une unité d’organisation (OU, Organizational Unit) :
Les objets d’un domaine peuvent être contenus dans un conteneur nommé « unité
d’organisation » ou « OU ».
Une OU permet d’organiser les objets d’un domaine afin de les gérer à l’aide d’objets de
stratégies de groupe.
66
– Un site :
Un site Active Directory est un objet spécifique.
L’objet « site » représente une portion de l’entreprise dans laquelle la connectivité réseau est
bonne.
Un site crée une frontière de réplication et de l’utilisation des services.
– A l’identique de Windows Vista, l’installation de Windows Server 2008 est basé
sur une image au format « Install.wim » (Environnement WinPE).
– Il existe deux types d’installation de Microsoft Windows Server 2008 :
Complète : Basé sur une interface graphique habituelle.
Minimale : Aussi appelé « Core Server » et ne dispose d’aucune interface graphique.
– Il existe deux méthodes d’installation de Microsoft Windows Server 2008 :
Manuelle : Appliquez « Install.wim » et utilisez le fichier « Unattend.xml » pour
personnaliser l’installation.
Automatique : Installez, configurez, capturez et déployez en utilisant les outils
IMAGEX, Windows Deployment Services
– Pré requis d’installation d’un contrôleur de domaine (Ajout du rôle AD DS) :
Il faut posséder le nom du domaine DNS / Netbios
Avoir une idée du niveau fonctionnel du domaine Active Directory
Avoir un adressage IP fixe
Prévoir l’emplacement de la base de données (Ntds.dit) et le répertoire SYSVOL
– L’ajout de rôles s’effectue via la console « Gestionnaire de serveur ».
– Pour créer un contrôleur de domaine, il suffit d’ajouter le rôle « AD DS » puis de
taper la commande « dcpromo » pour configurer, initialiser et démarrer Active Directory.
– Après l’installation, la fenêtre « Tâches de configuration initiales » s’affiche afin
de configurer les informations de bases (Nom de l’ordinateur, mises à jours, rôles, etc).
Pour faire réapparaitre cette fenêtre, il suffit de taper « Oobe.exe ». Pour éviter
l’ouverture de cette fenêtre à chaque redémarrage, cochez la case suivante :
– La console « Gestionnaire de serveur » permet d’administrer Windows Server
2008. C’est un regroupement des consoles « Gestion de l’ordinateur » et « Ajout
suppression de programmes ».
67
– Lorsqu’on exécute la commande « dcpromo » sur un contrôleur de domaine sur
lequel le rôle AD DS n’a pas été installé, la commande le fera automatiquement.
– Windows Server 2008 autorise la création d’un contrôleur de domaine en lecture
seule nommée « RODC » qui veut dire « Read-Only Domain Controller ».
– Le premier contrôleur de domaine d’une forêt devient le « Catalogue Globale »
(GC, Global Catalogue) et ne peut pas être un en lecture seule (RODC).
– Lors de l’installation d’Active Directory, il est recommandé de séparer
l’emplacement des composants suivants sur des partitions différentes : « Par défaut
C:\Windows\NTDS » :
Les journaux systèmes
La base de données (Ntds.dit)
Le volume système (SYSVOL)
– L’installation minimale de Windows ne possède pas d’interface graphique. Il
n’est pas possible d’y installer le Framework .NET. Les sites web ne peuvent être
que statiques. Si on souhaite outre passer cette limitation technique, il faudra basculer
vers un OS en Windows Server 2008 R2.
– Pour installer la version minimale de Windows Server 2008, il faut disposer au
moins :
256 Mo de RAM
3 Go d’espace disque libre
Un processeur x86 cadencé au minimum à 1 GHz
Un processeur x64 cadencé au minimum à 1,4 GHz
– L’installation minimale prend en charge « 9 rôles » et « 11 fonctionnalités ».
– Commandes de bases d’un « Server Core » :
Modifier le mot de passe administrateur : Net user administrator *
Définir une IP statique IPV4 : Netsh interface ipv4
Joindre un domaine : Netdom
Ajouter des rôles et des fonctionnalités : Ocsetup.exe
Afficher les rôles et fonctionnalités installées : Oclist.exe
Activer le bureau à distance : Cscript C:\windows\system32\scregedit.wsf /AR 0
Promouvoir un contrôleur de domaine : Dcpromo.exe
Configurer DNS : Dnscmd.exe
Configurer DFS : Dfscmd.exe
68
Chapitre 2
– Une console « mmc » possède 4 modes différents :
Mode auteur : Personnalisation complète
Mode utilisateur – accès total : Possibilités de parcourir tous les composants
Mode utilisateur accès limité, fenêtre multiple : Possibilité de configurer plusieurs fenêtres
correspondant à des composants spécifiques
Mode utilisateur accès limité, fenêtre unique : Pas de personnalisation de l’affichage ou de
la console
– L’emplacement d’enregistrement par défaut d’une console « mmc » est situé à
l’emplacement
suivant : %profilutilisateur%\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Outils d’administration
– Le composant logiciel enfichable « Schéma Active Directory » n’est pas
disponible par défaut car il n’est pas enregistré. Pour l’ajouter, tapez la commande :
« regsvr32 schmmgmt.dll »
69
– Dans les « Best Practices Microsoft », un administrateur doit toujours ouvrir une
session sur sa machine cliente avec un compte d’utilisateur standard, et démarrer les
outils d’administration en utilisant la commande « Exécuter en tant
qu’administrateur ».
– RSAT (Remote Server Administration Tool) : C’est l’équivalent de l’Admin
Pack sous Windows XP. Ce composant permet d’installer les outils d’administration à
distance sur Windows Server 2008, Windows Vista ou Windows 7
– MMC (Microsoft Management Console) : C’est un composant de Windows Server
qui permet de centraliser les outils d’administration au sein d’une même console en
rajoutant des composants logiciels enfichable (Snap In). L’extension est au format
« *.msc ».
– Pour créer une console d’administration personnalisée, il suffit de taper la
commande « mmc »
- Lors de la création d’une OU, on a désormais la possibilité de la protéger des
suppressions accidentelles en cochant une case :
– Lorsque l’on tente de supprimer une OU protégé par « la suppression
accidentelle », on obtient un message d’erreur même si on est Administrateur du
domaine :
70
– Pour supprimer une OU protégée contre « la suppression accidentelle », il
suffit d’activer les fonctionnalités avancés de la console « Utilisateurs et ordinateurs
Active Directory »…D’éditer les propriétés de l’OU et dans l’onglet « OBJET » et
décocher la case « Protéger l’objet des suppressions accidentelles » :
– Un suffixe UPN « User Principal Name » correspond au nom d’utilisateur dans
un domaine Active Directory auquel on rajoute un « @ » suivi du nom de domaine DNS.
Exemple : Si on a le login suivant « pduran » dans le domaine « contoso.com », le
suffixe UPN de cet utilisateur sera « [email protected] »
– Pour ouvrir le composant « Utilisateurs et Ordinateurs Active Directory », il
suffit de taper la commande « dsa.msc »
– « Les requêtes sauvegardées » : C’est une fonction introduite depuis Windows
Serveur 2003 qui permet de créer des requêtes de recherches personnalisée dans
l’Active Directory. Une requête est créée dans l’instance du composant logiciel
enfichable. Pour l’utiliser dans une autre instance ou la transmettre à un autre utilisateur,
il suffit de l’exporter au format *.xml.
– L’option « requêtes sauvegardée » n’apparait pas la console « Utilisateurs et
Ordinateurs Active Directory » présente dans la console « Gestionnaire de
serveur ». Pour avoir accès à cette option, il suffit de lancer « dsa.msc »
– La commande « DSQUERY » permet de trouver des objets dans l’Active
Directory.
DSquery user : permet de rechercher des utilisateurs
DSquery computer : permet de rechercher des ordinateurs
DSquery group : permet de rechercher des groupes
Exemple : DSquery user –name James*
Cette commande recherchera tous les utilisateurs dont le nom commence par
« James »
– DN (Distinguished Name) : Représente le chemin d’accès complet d’un objet
dans l’AD. Ce dernier est unique au sein du domaine.
Exemple : DN CN=James Fine,OU=Utilisateurs,DC=contoso,DC=com
71
– CN (Common Name) : Représente le nom commun d’un objet. Lorsqu’on créé un
objet dans un AD, le champ « Nom complet » permet de créer le CN de l’objet.
– RDN (Relative Distinguished Name) : Représente la portion du « DN » qui
précède la première « OU » ou le premier conteneur. Tous les RDN ne sont pas des
« CN »
Exemple 1 : CN=James Fine,OU=Utilisateurs,DC=contoso,DC=com
Le RDN de cet objet utilisateur est « CN=James Fine »
Exemple 2 : OU=Utilisateurs,DC=contoso,DC=com
Le RDN de cet objet unité d’organisation est « OU=Utilisateurs »
– Dans Active Directory, la délégation de contrôle permet à une organisation
d’assigner des tâches administratives spécifiques aux équipes et aux individus
appropriés.
– Les autorisations d’un objet sont appelés des entrées de contrôles d’accès (ACE,
Access Control Entries) et son affectés à des groupes ou des ordinateurs (appelés
entités de sécurité)
– Les ACE sont sauvegardés dans la liste de contrôle d’accès discrétionnaire
(DACL, Discretionary Access Control List).
– Pour accéder à l’ACL (Access Control List) d’un objet, il suffit d’afficher les
Fonctionnalités avancées de la console Utilisateurs et Ordinateurs Active Directory,
d’afficher les propriétés d’un objet et cliquer sur l’onglet « Sécurité ».
– Pour afficher la DACL d’un objet, il suffit de cliquer sur le bouton « Avancé »
dans l’onglet « Sécurité » d’un objet :
– La délégation est le résultat des autorisations, ou ACE, sur la DACL des objets
AD.
– Une délégation est l’action d’attribuer à une personne ou un groupe, des droits
administratifs sur des objets de l’AD.
– Pour déléguer des tâches administratives, il est recommandé d’utiliser l’assistant
de délégation de contrôle plutôt que de modifier les ACL d’un objet.
– Pour vérifier avec efficacité les autorisations d’un objet, tapez la commande
suivante :
Dsacls « OU=People, DC=Contoso, DC=com »
72
– Pour réinitialiser les autorisations d’un objet, tapez la commande suivante :
Dsacls « OU=People, DC=Contoso, DC=com » /resetDefaultDACL
– Best Practice : Lorsqu’on conçoit une structure d’où dans un AD, il faut créer des
OU par type d’objet. Par exemple, une OU nommée « People » sera dédiée à héberger
le compte des utilisateurs et non des ordinateurs.
– Par défaut et pour des raisons de sécurité, un compte d’utilisateur standard n’a
pas le droit de se connecter sur un contrôleur de domaine. Pour l’autoriser temporaire à
des fins de tests, vous pouvez ajouter le compte de l’utilisateur dans le groupe
« Opérateurs d’impression ».
– Avec Windows Server 2008, il est possible d’ouvrir plusieurs session localement
sur un contrôleur de domaine afin de switcher entre les sessions ouvertes sont fermer
les programmes de l’utilisateur en cours.
Chapitre 3
– Pour automatiser la création de comptes d’utilisateurs, il est possible d’utiliser
des outils en ligne de commandes comme CSVDE (Coma Separated Value Data
Exchange) ou LDIFDE (LDAP Data Interchange Format Data Exchange)
– Lorsqu’on utilise les commandes CSVDE ou LDIFDE, il faut utiliser les
paramètres « -i » pour spécifier le mode « importation », « -f » pour spécifier le nom du
fichier à importer et « -k » pour spécifier que l’on souhaite exécuter la commande en
ignorant les erreurs.
Exemple :
Csvde -i -f [Nom du fichier] -k
Ldifde -i -f [Nom du fichier] -k
– Active Directory comporte plusieurs utilitaires intégré à l’OS et qui permettent
d’exécuter plusieurs tâches administratives en ligne de commande :
Dsadd : Permet de créer un objet dans l’annuaire
Dsget : Permet d’afficher les attributs d’un objet
Dsmod : Permet de modifier les attributs d’un objet
Dsmove : Permet de déplacer un objet d’une OU à une autre
Dsrm : Permet de supprimer un objet ou une arborescence de l’annuaire
Dsquery : Permet d’exécuter des requêtes basées sur des critères spécifiques dans l’AD
73
Exemple :
Dsadd user « cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com »
Dsrm user » cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com »
Dsget user » cn=Mike Fitzmaurice, ou=People, dc=contoso, dc=com »
– CSVDE permet d’importer ou d’exporter des utilisateurs à l’aide d’un fichier au
format « txt » ou « csv ». Le fichier à importer est un fichier texte séparé par des virgules
dans lequel la première ligne définit les noms d’attributs importés par LDAP (Lightweight
Directory Access Protocol)
– LDIFDE permet d’importer ou d’exporter des utilisateurs
– En installant la fonctionnalité Windows PowerShell, il est possible de créer des
utilisateurs en ligne de commande.
– Il est également possible de créer des objets dans l’AD avec Vbscript.
Exemple :
Set objOU=GetObject(« LDAP://OU=People,DC=contoso,DC=com »)
set objUser=objOU.Create(« user », »CN=Mary North »)
objUser.Put « sAMAccountName », »mary.north »
objUser.SetInfo()
Chapitre 4
– Dans l’AD, il existe 7 types de groupes différents : Deux types de groupes de
domaine avec trois étendues chacun et des groupes de sécurité locaux.
– Un groupe AD possède, tout comme un compte d’utilisateur, un SID (Security
Identifier)
– Lorsqu’on créé des groupes dans AD, il faut s’assurer qu’on respecte une
convention de nommage définit à l’avance.
– Il existe deux types de groupe : Des groupes de sécurité et des groupes de
distribution.
– Il existe quatre types d’étendue : Domaine locaux, globaux, universelle,
locale
– Un groupe possède plusieurs étendues : Locale ou Globale
74
– Les groupes de distributions sont essentiellement utilisés par les applications
de messagerie. La sécurité n’y est pas activée : Ils n’ont pas de SID (Security IDentifier)
et ne peuvent donc pas recevoir d’autorisations vers des ressources. Envoyer un
message à un groupe de distribution revient à l’envoyer à tous les membres de ce
groupe.
– Les groupes de sécurité sont des entités de sécurité dotées d’identificateur de
sécurité (SID). En conséquence, ils peuvent faire office d’entrée d’autorisation dans des
ACL pour contrôler la sécurité de l’accès aux ressources. Les groupes de sécurité
peuvent être utilisé comme groupes de distribution par les applications de messagerie.
– Dans les best Practices, si vous avez un groupe qui ne sert que de liste de
distribution, il est recommandé de le créer en tant que groupe de distribution. Sinon le
groupe reçoit un SID qui est ajouté au jeton d’accès de sécurité de l’utilisateur ce qui
peut conduire à un problème d’augmentation des jetons (token bloat).
– Les groupes locaux ne servent qu’à gérer la sécurité des ressources sur un
système et sont créés uniquement dans la base de données SAM d’un serveur membre
du domaine. Les groupes locaux peuvent héberger tous types de ressource en
provenance de n’importe quel domaine approuvé.
– Les groupes de domaines locaux ne servent qu’à gérer des entités de sécurité
dans le domaine. Ils peuvent héberger tout type de ressource en provenance de
n’importe quel domaine approuvé et sont répliqués sur l’ensemble des contrôleurs de
domaine.
– Les groupes globaux ne servent qu’à définir des collections d’objets des
domaines basés sur des rôles. Ces derniers ne peuvent héberger uniquement des
ordinateurs, des utilisateurs ou des groupes globaux du même domaine. Ils sont
répliqués vers l’ensemble des contrôleurs de domaine.
– Les groupes universels s’utilisent surtout dans les environnements multi-
domaines. Ces groupes accueillent des users, ordinateurs ou des groupes (Globaux ou
universels) issue de toute la forêt. Ces groupes peuvent servir à gérer des ressources
dans des contextes multi-domaines. Ils sont répliqués sur le Catalogue Global (CG).
– Une fois qu’un groupe est créé, il est possible de modifier son étendue.
– Il est possible de modifier le type d’un groupe avec la commande dsmod :
dsmod group [DNgroup] -secgrp {yes | no} -scope {l | g | u}
75
– Lorsqu’on ajoute un utilisateur à un groupe, la modification n’est pas prise en
compte de suite. Il faut que l’utilisateur ferme sa session puis se reconnecte au domaine
afin de renouveler son jeton de sécurité avec le SID du groupe nouvellement ajouté.
– Un « Shadow Group » est un concept dans l’Active Directory qui consiste à créer
un groupe de sécurité qui contiendrait tous les utilisateurs d’une unité d’organisation afin
d’y gérer des droits d’accès sur des ressources.
– Les groupes par défaut sont des groupes qui existent à l’installation de l’OS ou
de l’AD. Exemple : Le groupe administrateur de l’entreprise, administrateur du domaine,
opérateur de serveur, opérateur de compte, opérateur d’impression etc.
– Une unité spéciale est un groupe particulier qui est gérer par le système
d’exploitation. Exemple : Groupe tout le monde, ouverture de session anonyme,
interactif, réseau, etc.
– L’onglet « gérer par » d’un groupe AD permet de déléguer la gestion de
l’appartenance aux groupes.
– La commande « run as » permet d’exécuter des programmes avec d’autres
informations d’identification. Exemple : runas /user :aasimane cmd.exe
Chapitre 5
– Un compte d’ordinateur dans un domaine AD possède à l’identique d’un compte
d’utilisateur, un SID, un mot de passe, un nom d’ouverture de session. Le mot de passe
est gérer par le système et ce dernier est renouvelé en moyenne tous les 30 jours.
– Par défaut lorsqu’une machine rejoint un domaine, un objet « Ordinateur »
correspondant au nom de la machine est créé dans l’OU « Computers ». L’OU
computer est un objet prédéfini à l’installation d’AD DS. Il n’est pas possible d’y appliquer
des GPO.
– Afin de rediriger le répertoire par défaut des ordinateurs qui joigne un domaine, il
suffit d’utiliser la commande « redircmp » : redircmp [DN pour les nouveaux objets
ordinateurs]
– La commande « redirusr » permet de rediriger le répertoire des utilisateurs par
défaut
– Il est recommandé de créer un compte d’ordinateur dans l’Active Directory avant
de joindre la machine au domaine.
– Par défaut, les utilisateurs peuvent joindre 10 machines au domaine avec leur
compte. Si on veut interdire la possibilité de joindre une machine au domaine pour un
76
compte standard, il suffit d’utiliser ADSI et de modifier l’attribut « ms-DS-
MachineAccountQuota » à 0.
– Lors de la création du premier contrôleur de domaine de la forêt, il faut penser à
bien architecture l’arborescence de ses OU. A savoir, il est recommandé de créer une
OU par type d’objet et les regrouper par site, par région, par Pays, par filiale afin de
faciliter l’administration et mieux se retrouver dans l’AD.
– Il est recommandé de nommé les comptes d’ordinateur de façon à pouvoir les
identifier rapidement dans l’AD ou même reconnaitre plus facilement la différence entre
un portable et un ordinateur fixe.
– Tout comme les objets utilisateurs, il est possible d’utiliser les
commandes Powershell, CSVDE, LDIFDE, NETDOM ou les commandes DS pour
gérer, importer ou exporter les comptes d’ordinateurs.
– Tout compte d’ordinateur d’un domaine possède un SID, un nom d’utilisateur
(sAMAccountName) et un mot de passe stocké sous la forme d’un secret LSA (Local
Security Authority) qui est changé tous les 30 jours.
– Pour recycler un ordinateur et l’utiliser à d’autres fins tout en gardant son
appartenance aux différents groupes de sécurité, il suffit juste de réinitialiser son mot de
passe et joindre une machine au domaine.
– La commande « nltest » permet de vérifier si le canal sécurisé entre l’ordinateur
et le domaine n’est pas rompue ou désynchronisé.
– Le service NETLOGON se charge d’authentifier la machine sur le domaine.
RAPPEL : Chaque objet Active Directory possède un GUID (Globally Unique
IDentifier) qui identifie de manière unique l’objet dans l’annuaire.
Chapitre 6
– Une stratégie de groupe (GPO, Group Policy Objet) est un objet qui permet
d’appliquer des paramètres personnalisés aux objets d’une OU.
– Pour éditer une GPO, il faut utiliser le composant « Gestion de Stratégie de
groupe » (GPMC, Group Policy Management Console)
– L’étendue d’une stratégie de groupe correspond à la collection d’objets qui
appliqueront le paramètre spécifié dans le GPO.
– Le jeu de stratégie résultant (RSoP, Resultant Set of Policy) permet de
déterminer l’ensemble des GPO qui s’appliquent à un objet utilisateur ou ordinateur.
77
– Les paramètres de stratégies s’appliquent à l’ouverture de session pour les
utilisateurs et au démarrage pour les ordinateurs. Ces paramètres s’appliquent à
nouveau toutes les 90 à 120 min qui suivent.
– Pour forcer l’actualisation des stratégies de groupe, il suffit d’utiliser la commande
suivante :
Gpupdate /target :computer ou Gpupdate /target :user
– La commande « Gpupdate » possède les commutateurs suivant :
/force : pour forcer les stratégies à s’appliquer
/logoff : pour forcer la fermeture de session après la mise à jour des GPO
/boot : pour forcer le redémarrage de l’ordinateur après la mise à jour des GPO
– Il existe deux types de GPO :
GPO locaux
GPO du domaine
– Les GPO locaux sont stockés
dans %SystemRoot%\System32\GroupPolicy. Par défaut, seul les stratégies
« Paramètres de sécurité » sont configuré.
– Les GPO basés sur le domaine sont stockés sur les contrôleurs de domaines.
– Le client de stratégie de groupe est un service qui se charge de télécharger les
GPO qui ne sont pas encore en cache. Une fois téléchargé, une série de processus
appelé extension côté client (CSE, Client-Side Extension) se chargent d’interpréter les
paramètres du GPO.
– Un GPO de domaine contient deux composants :
Un conteneur de stratégie de groupe (GPC, Group Policy Container).
Un modèle de Stratégie de groupe (GPT, Group Policy Template).
– Le GPC est un objet Active Directory stocké dans le conteneur Objets de stratégie
de groupe. Ce dernier définit les attributs du GPO mais ne contient aucuns paramètres.
Le GUID de cet objet définira le nom de la collection de fichier (GUID GPO)
– Le GPT désigne les paramètres du GPO qui sont stockés dans une collection de
fichiers stockée dans le dossier SYSVOL des contrôleurs de domaine à l’emplacement
suivant :
78
GPT de la GPO = %SystemRoot%\SYSVOL\Domain\Policies\GUID GPO
– Un GPO possède un numéro de version qui est incrémenté à chaque
changement. Ce numéro est stocké sous la forme d’un attribut du GPC dans le fichier
« GPT.ini ».
Contenu du fichier « GPT.INI » :
NB : Il est recommandé d’activer le paramètre de stratégie « Toujours attendre le réseau
lors du démarrage de l’ordinateur et de l’ouverture de session ». Grâce à ce dernier, un
utilisateur ouvrira toujours une session après avoir télécharger les dernières stratégies
du domaine.
Ce paramètre se trouve sous :
Configuration ordinateur\Stratégie\Modèles d’administration\Système\Ouverture de
session
– GPSI (Group Policy Software Installation) est un élément de la stratégie de
groupe qui permet de gérer l’installation de logiciel.
– Le client de stratégie de groupe détecte aussi la vitesse de connexion à un
domaine. Il est donc possible de configurer un GPO afin d’empêcher l’application des
paramètres lorsqu’une liaison lente est détecté. Par défaut, une liaison est considérée
comme lente lorsque le débit est inférieur à 500 kilobits par seconde (kbps).
– Dans un domaine AD, les GPC sont répliqués par l’Agent de Réplication
(DRA, Directory Replication Agent) et les GPT sont répliqués via le service de réplication
de fichiers (FRS, File Replication Service). Si tous les contrôleurs de domaine exécutent
Windows Server 2008, il est possible de configurer la réplication du répertoire SYSVOL
avec DFS (DFS-R, Distributed File System Replication).
– Si la réplication des GPC et GPT n’est plus synchrone, il est possible d’utiliser
l’outil « gpotool.exe » afin de dépanner l’état des GPO.
– Les modèles d’administration sont une collection de paramètres stockés dans un
fichier « *.ADM / *.ADMX / *.ADML ». Lorsqu’on importe un de ces fichiers, l’éditeur de
stratégie de groupe (GPME, Group Policy Management Editor) les extraits depuis le
poste local.
– Le Magasin Central est un dossier unique dans SYSVOL qui permet de
centraliser l’importation des fichiers d’administration pour l’ensemble des contrôleurs de
domaine.
79
– Windows Server 2008 offre la possibilité de filtrer les paramètres de Stratégie
de groupe d’un modèle d’administration afin de faciliter la recherche d’un paramètre
spécifique.
– Un GPO Starter est une nouvelle fonctionnalité de Windows Server 2008. Elle
permet de créer un nouveau GPO pré peuplé des paramètres du GPO Starter.
– On dit qu’un paramètre de stratégie est « géré » lorsque ce dernier n’applique
plus les paramètres du GPO une fois désactivé, supprimé ou que l’ordinateur n’est plus
dans l’étendue du GPO.
– On dit qu’un paramètre de stratégie est « non géré » lorsque ce dernier
s’applique encore après que le GPO soit désactivé, supprimé ou que l’ordinateur n’est
plus dans l’étendue du GPO.
– Windows Server 2008 donne la possibilité d’attacher des commentaires aux
GPO.
– Un GPO peut être lié à un Site, un domaine ou une OU.
– L’héritage des GPO fonctionne à l’aide d’un système de priorités. Un GPO avec
une priorité « 1 » prévaut sur les autres GPO. Par défaut, l’arborescence de l’AD contient
des niveaux de priorités différents (Un site AD étant le niveau le plus haut). Dans l’ordre
de priorité la plus élevé : Site, Domaine, OU
– Il est possible de bloquer l’héritage des droits administratifs sur une OU.
– L’option « Filtrage de Sécurité » d’un GPO permet de spécifier les utilisateurs
concernés par le GPO.
– L’option « Filtre WMI » permet de filtrer par rapport à des caractéristiques
« Ordinateur ». Les requêtes WMI sont écrites en langage WQL (WMI Query
Language)
– L’option « Appliqué » du paramètre d’un GPO permet de définir une priorité de
niveau supérieur aux autres GPO.
– « Le traitement par boucle de rappel de la stratégie » oblige le système à
modifier la manière dont il applique les GPO selon deux modes :
Fusionner : Une fois que les paramètres des GPO étendus à l’utilisateur sont appliqués, le
système applique les paramètres de stratégie de groupe étendus à l’ordinateur.
Remplacer : Les paramètres de la configuration utilisateur des GPO étendus à l’utilisateur ne
sont pas appliqués. En lieu et place, seuls les paramètres de la configuration utilisateur des
GPO étendus à l’ordinateur le sont.
80
– La GPMC possède un outil qui permet de générer des rapports du jeu de
stratégie résultant sur une machine distante ou locale. Les prés requis liés à cet outil
sont les suivants :
Il faut posséder des droits administratifs sur le système cible à auditer
L’ordinateur cible doit être équiper au minimum de Windows XP
Avoir accès à WMI sur le système cible qui doit être sous tension, accessible via le réseau via
les ports135 et 445.
– Les rapports du jeu de stratégie résultant sont disponibles au
format DHTML (HTML Dynamique)
– La GPMC possède un outil qui permet de modéliser l’application des paramètres
de Stratégie de groupe. Grâce à cet outil, il est possible de simuler l’impact des
paramètres d’une GPO sur un système avant de l’appliquer.
– L’équivalent des « rapports du jeu de stratégie résultant » est la commande
« gpresult.exe ». Cette commande possède les options suivantes :
/s nom ordinateur : Spécifie le nom ou l’adresse IP du système distant à auditer
/scope [user |computer] : Affiche l’analyse du jeu de stratégie résultant pour les paramètres
de l’utilisateur ou de l’ordinateur
/user nom utilisateur : Spécifie l’utilisateur pour lequel les données du jeu de stratégie
résultant sont affichées
/r : Affiche un résumé des données du jeu de stratégie résultant
/v : Affiche des données documentées sur le jeu de stratégie résultant
/z : Affiche des données extrêmement détaillés (mode plus verbeux)
/u domaine\utilisateur /p mot de passe : Fournit les informations d’identification
[/x | /h] nom fichier : Enregistre le rapport au format XML ou HTML
– L’observateur d’évènement Windows permet de visualiser les journaux
concernant les stratégies de groupe. Un nouveau journal nommée « Operational »,
fournit des informations détaillées sur le traitement de la stratégie de groupe.
Chapitre 7
– « La Stratégie des Groupes Restreints » permet de gérer l’appartenance des
groupes locaux d’une machine. Avec ce paramètre, il est possible de configurer dans un
GPO les groupes ou utilisateurs qui seront membre des groupes locaux d’un objet
computer.
– Le nœud « Groupes Restreints » possède deux paramètres :
81
Ce groupe est Membre de : Ce paramètre indique que le groupe spécifié par la stratégie est
membre d’un autre groupe. Lorsqu’il existe plusieurs GPO qui utilisent le paramètre
« Groupes restreints », chaque stratégie « Membre de » s’appliquent donc se cumulent.
Membres de ce groupe : Ce paramètre indique toute l’appartenance au groupe spécifié par
la stratégie. Tout membre non spécifié dans la stratégie est supprimé, y compris les
administrateurs du domaine. Le paramètre « Membres de ce groupe » est une stratégie qui
fait autorité. S’il existe plusieurs GPO avec des stratégies « Groupes restreints » qui utilisent
ce paramètre, c’est celui dont la priorité est la plus élevée qui prévaut.
– Tous les serveurs Windows 2008 possède un GPO local qui peut être configuré
via le composant « Editeur d’objet de stratégie de groupe » ou via la console
« Stratégie de sécurité locale ». Les contrôleurs de domaine quant à eux ne disposent
pas de GPO local mais des paramètres de sécurités configurés au niveau des GPO de
domaine nommé « Default Domain Policy » et « Domain Controllers Policy »
– Les « Modèles de sécurité » permettent de définir des paramètres de sécurité
stockées dans un fichier « *.inf ». Ce dernier s’utilise via un composant logiciel
enfichable :
– Pour déployer un modèle de sécurité, il suffit d’importer le fichier « *.inf » dans un
objet de stratégie de groupe au niveau du nœud « Paramètre de sécurité ». Il est
également possible de déployer un modèle de sécurité via le composant logiciel
enfichable « Configuration et analyse de la sécurité » ou l’utilitaire « Secedit.exe ».
– Lors de l’installation d’un contrôleur de domaine, un modèle de sécurité par défaut
est appliqué par Windows. Ce dernier est situé à l’emplacement suivant :
%SystemRoot%\Security\Templates\DC security.inf
– Le composant logiciel enfichable « Configuration et Analyse de la Sécurité »
permet d’appliquer un modèle de sécurité mais également d’analyser la configuration
actuelle de la sécurité d’un système et de la comparer à une base (fichier *.sdb)
enregistrée sous forme de modèle de sécurité.
– « Secedit.exe » est un utilitaire en ligne de commande qui permet d’effectuer les
mêmes opérations que le composant logiciel enfichable « Configuration et analyse de
la sécurité ». L’avantage de cet utilitaire est de pouvoir appliquer uniquement une partie
d’un modèle de sécurité à un ordinateur.
– « L’assistant Configuration de la sécurité » permet de configurer la sécurité
d’un serveur pas à pas afin de générer un fichier « *.xml » qui permettra de déployer la
82
configuration. Cet assistant est également disponible via la ligne de
commande « scwcmd.exe ».
– Par défaut, la base de données de configuration de la sécurité et l’ensemble des
fichiers « *.xml » qu’utilise « l’assistant Configuration de la sécurité » est situé dans :
« %SystemRoot%\Security\Msscw\Kbs ».
– Pour centraliser l’emplacement de la base de données de configuration de la
sécurité, il suffit de copier le contenu du répertoire
« %SystemRoot%\Security\Msscw\Kbs » dans un dossier préalablement partagé sur
le réseau, puis d’exécuter la commande suivante :
« scw.exe /kb \\serveur01\scwkb »
– Une stratégie de sécurité créée à l’aide de « l’assistant Configuration de la
sécurité » ou l’utilitaire en ligne de commande « scwcmd.exe » peut être transformé en
GPO.
Pour cela, il suffit d’utiliser la commande :
scwcmd.exe transform /p : »Sécurité DC Contoso.xml » /g : »GPO de sécurité DC
Contoso »
– GPSI (Group Policy Software Installation) permet de gérer l’installation de
logiciels via des GPO. Ce composant utilise Windows Installer pour installer, maintenir et
supprimer des logiciels. Il est possible de personnalisé des packages Windows Installer
à l’aide de fichiers de transformation au format « *.mst » ou des fichiers correctif au
format « *.msp ».
– GPSI gère deux types de package : les fichiers « *.msi » et « *.zap »
– Lorsqu’on utilise des GPO pour installer des logiciels, il est possible
d’attribuer ou publier des applications
Attribuer : Une application est dite « attribuée » lorsque celle-ci est installée sur l’ordinateur
lors du processus de démarrage. Une application peut être attribuée à un utilisateur ou à un
ordinateur.
Publier : Une application est dite « publiée » lorsque celle-ci est rendue disponible à
l’utilisateur dans le menu « Ajout suppression de programmes » à l’ouverture de session.
L’utilisateur a le choix d’installer l’application en cliquant dessus dans le panneau de
configuration ou en cliquant sur un type de fichier associé à l’application. Il n’est pas possible
de publier une application pour un ordinateur mais seulement à un utilisateur.
83
– Par défaut, GPSI test les performances du réseau avant d’appliquer le paramètre
de stratégie de groupe. Si une liaison lente est détecté (Moins de 500 Kbits/s), les
paramètres lié à GPSI ne seront pas traités. Il est possible de modifier la vitesse de
connexion qui définit une connexion lente en configurant un seuil plus bas via les
modèles d’administration d’un GPO à l’emplacement suivant :
Modèles d’administration\Système\Stratégie de groupe\
Editer les propriétés du paramètre : « Détection d’une liaison lente de stratégie de
groupe »
– La stratégie d’audit configure un système pour qu’il audite des catégories
d’activités. Par défaut, tous les évènements d’échec ne sont pas audités. Il est important
de définir à l’avance ce que l’on souhaite auditer car manipuler les audites via les
journaux d’évènement peut se relever bien compliquer à évaluer.
– Pour configurer l’audit, il faut accomplir trois opérations :
Spécifier les paramètres d’audit dans la SACL de l’objet (Fichier /Dossier)
Activer la stratégie d’audit dans la stratégie (Locale ou de Domaine)
Evaluer les évènements dans le journal de sécurité
– Auditer les évènements d’échec permet de contrôler les tentatives malveillantes
d’accès aux ressources pour lesquelles l’accès est refusé ou d’identifier les tentatives
d’accès à un fichier ou un dossier auquel l’utilisateur demande à accéder.
– Il ne faut pas abuser de l’audit Windows car les journaux ont tendance à grossir
très rapidement.
– Configurer les entrées d’audit sur un fichier ou un dossier n’active pas en soi
l’audit. L’audit doit être activé en définissant le paramètre « Auditer l’accès aux
objets » dans un GPO (Local ou de domaine étendu au serveur qui contient l’objet à
auditer).
– Pour évaluer les évènements relatifs à l’activation de l’audit sur un serveur, il suffit
d’ouvrir les journaux de sécurité Windows depuis les outils d’administration.
– Windows Server 2008 introduit une nouvelle catégorie d’audit appelée
« Modification du service d’annuaire ». Cela permet d’avoir accès aux valeurs
précédentes d’un objet audité lorsque ces attribues sont modifiés. Cette catégorie n’est
pas activé par défaut car il faut taper la ligne de commande suivante pour :
Auditpol /set /subcategory : »directory service changes” /success:enable
84
– Il faut toujours modifier la liste SACL d’un objet pour spécifier les attributs à
auditer.
Chapitre 8
– Une nouvelle notion dans Windows Server 2008, ce sont les contrôleurs de
domaine en lecture seul (RODC : Read Only Domain Controller)
– Par défaut, dans un domaine Windows Server 2008, les utilisateurs doivent
changer leur mot de passe tous les 42 jours. Ce mot de passe doit contenir au moins 7
caractères et répondre à des exigences de complexité.
– La stratégie de mot de passe se configure dans l’objet de stratégie de groupe
« Default Domain Policy ».
– L’exigence de complexité requiert au moins trois des quatre types de caractères
suivants :
Majuscule – Par exemple A à Z
Minuscule – Par exemple a à z
Numériques – 0 à 9
Symboles non alphanumériques – Par exemple !, #, %, ou &
– La stratégie « Enregistrer les mots de passe en utilisant un cryptage
réversible » permet de stocker en clair le mot de passe des utilisateurs car certaines
applications en ont besoin. Dans les Best Practices, il est recommandé de supprimer le
plus possible ce type d’applications car stocker un mot de passe en clair revient à créer
une faille de sécurité.
– « Les stratégies de mot de passe à grain fin » permettent de configurer une
stratégie de mot de passe dont l’étendue sera un ou plusieurs groupes, ou un ou
plusieurs utilisateurs. Pour utiliser ces nouvelles stratégies, il faut être dans un niveau
fonctionnel de domaine Windows Server 2008. Les paramètres de cette nouvelle
stratégie sont identiques aux paramètres de stratégie de mot de passe du domaine, sauf
qu’ils ne s’appliquent pas en tant que GPO mais son contenu dans une classe d’objet
spécifique qui maintient le paramétrage de ces stratégies : PSO, Password Settings
Objet
– Un PSO possède dispose d’un attribue qui définit sa priorité. Cette priorité est
définie par un nombre supérieur à 0. Le chiffre 1 indique que la priorité est la plus élevé.
85
– L’audit permet de journaliser des évènements qui concernent plusieurs types
d’activités qu’ils soient une réussite ou un échec.
– L’audit « Evènement de connexion au compte » consiste à journaliser la
tentative de connexion d’un utilisateur au domaine. Le contrôleur de domaine qui
authentifie l’utilisateur va générer un évènement de connexion au compte dans le
journal de sécurité du contrôleur de domaine.
– L’audit « Evènement de connexion » consiste à journaliser sur un poste client
les évènements d’authentification d’un utilisateur qui ont été relayé à un contrôleur de
domaine. Un poste client n’authentifie pas l’utilisateur mais transmet la connexion
interactive à un contrôleur de domaine pour validation. Cette action enregistre un
évènement de connexion dans le journal de sécurité du poste client.
– Un RODC (Read Only Domain Controller) permet d’authentifier des utilisateurs
situés dans une succursale d’une entreprise et qui contient une copie de tous les objets
du domaine et de tous les attributs à l’exception des données confidentielles comme les
mots de passe. Pour authentifier un utilisateur, un RODC transmet les requêtes
d’authentification à contrôleur de domaine principal (en écriture).
– Etant données que les mots de passes des utilisateurs ne sont pas stockées sur
les RODC, il est possible de configurer une stratégie de réplication des mots de passe
appelé PRP (Password Replication Policy).
– Pour déployer un RODC, il est impératif que le niveau fonctionnel de domaine soit
au minimum en Windows Server 2003 et qu’un contrôleur de domaine Windows
Server 2008 en écriture soit accessible.
– Si la forêt possède certains domaines fonctionnant sous Windows Server 2003, il
faudra d’abord exécuter la commande suivante : Adprep /rodcprep
- Pour séparer les rôles d’administratif sur un RODC, il suffit de taper la commande
suivante :dsmgmt
86
Chapitre 9
– DNS (Domain Name System) est une composante essentielle des services AD
DS. Sans DNS il n’y aurait pas d’Internet car ce système permet de convertir une
adresse IP en nom de domaine plus commode à mémoriser.
– DNS fonctionne sur les protocoles IPv4 (32 bits) et IPv6 (128 bits)
– Lorsqu’un ordinateur démarre, le client commence par identifier
les enregistrements de ressources SRV (Service Location Records) d’un
serveur DNS afin d’identifier le contrôleur de domaine (DC) le plus proche. Une fois que
la localisation DNS a été effectuée, le processus d’identification entre l’ordinateur et
le DC peut débuter. Sans serveurs DNS, il n’y aurait pas d’authentification d’ordinateurs
sur un domaine.
– DNS communique sur l’Internet ou le réseau interne via le port TCP/IP 53. Tous
les clients DNS sont configurés sur ce port pour localiser des informations sur les noms
des ordinateurs.
– IPv6 est intégré à Windows Server 2008, et les adresses IP sont composées de
huit sections de 16 bits pour créer une adresse en 128 bits généralement affiché au
format hexadécimal.
– Lorsqu’il n’y a pas de serveur DHCP (Dynamic Host Configuration Protocol) sur le
réseau, les cartes réseaux configurées avec le protocole IPv6 reçoivent l’adresse
« FE80 :: » qui est l’équivalent de l’adresse APIPA (Automatic Private IP Adressing).
– Dans l’adresse « FE80 :: », les deux doubles points représentent toutes les
sections de 16 bits qui sont composés de zéros.
– Adresses de liaison locale (IPv6) : FE80 ::
Attribué par défaut lorsqu’IPv6 est activé. C’est l’équivalent de l’adressage APIPA sur IPv4
(169.254.0.0/16)
– Adresses de site local (IPv6) : FEC0 ::
Ces adresses peuvent être routées localement uniquement. Il n’est pas possible de les router
vers Internet. C’est l’équivalent des adresses de classe A, B et C sous IPv4 (10.0.0.0/8,
172.16.0.0/12, 192.168.0.0/16)
– Adresses de monodiffusion globales (IPv6) : Toutes les autres IP
87
Ces adresses sont routables sur Internet et permettent une communication directe avec tout
type de périphérique. C’est l’équivalent des adresses IP publique sous IPv4. L’avantage sous
IPv6 est que l’attribution des adresses IP peut atteindre au totale 340 milliards de milliards de
milliards de milliards – soit 2 puissance 128 adresses.
– Adresse de bouclage (IPv6) : ::1
Permet à un nœud de s’envoyer des paquets à lui-même. C’est l’équivalent de l’adresse de
loopback 127.0.0.1 dans IPv4.
– Le protocole PNRP (Peer Name Resolution Protocol) est un système de
résolution de nom comme DNS sauf que la résolution s’effectue sur un système
différent. C’est un système de nommage distribué qui interroge les hôtes à proximité
pour résoudre les noms de domaine.
– Le protocole PNRP peut s’étendre à des milliards de noms contrairement
à DNS qui n’héberge qu’un petit nombre de noms. Grâce à ce système
distribué, PNRP est donc tolérant aux pannes. La publication de noms est instantanée,
gratuite et n’exige pas d’intervention humaines.
– Les serveurs DNS dynamiques (DDNS, Dynamique Domain Name Server)
autorisent la mise à jour automatique des clients qui peuvent s’auto-inscrire sur le
serveur DNS.
– Les serveurs DNS en lecture-écriture sont également nommés « serveur DNS
Principal » et autorise la mise à jour manuel via des opérateurs autorisés.
– Les serveurs DNS en lecture seule sont également nommés « serveur DNS
secondaire ». Les données ne peuvent pas être modifiées manuellement car la
réplication est unidirectionnelle du serveur principal. Ce type de serveur est également
installé sur les RODC.
– Le « split-brain » est le fait d’utiliser un nom de domaine Internet identique au
nom de domaine DNS du domaine Active Directory.
– Le « Whole-brain » est le fait d’utiliser un nom de domaine Internet différent que
celui du domaine Active Directory interne. Il est recommandé d’utiliser cette méthode.
88
– Processus de résolution de noms DNS :
Un utilisateur demande la page web http://www.google.com/
La requête est envoyée au serveur DNS local sur le réseau interne
Le serveur DNS local envoyé une requête de redirection au serveur de nom « .com »
La requête est envoyée au serveur DNS faisant autorité pour le nom « google.com »
Le serveur DNS pour « google.com » envoi l’adresse IP correspondante au client
Le traducteur de noms du client utilise l’adresse IP pour demander la page web
La page web est envoyée à l’utilisateur et s’affiche sur l’écran
– Termes et concepts DNS :
Zone DNS intégrée à Active Directory : C’est une zone qui est hébergé dans la base de
données des services AD DS (NTDS.Edit).
Vieillissement : On donne cette appellation à un enregistrement DNS qui a expiré en raison
de sa durée de vie jugée trop vieux pour être considéré comme toujours actif.
Partition d’annuaire d’application : C’est une partition personnalisée qui peut héberger les
données d’annuaire liés aux applications ou des données DNS liés au domaine racine d’une
forêt.
DDNS : Ce service DNS peut être mis à jour automatiquement par les clients possédant un
compte AD DS. Par défaut, l’installation des services AD DS installent le service DDNS.
Notification DNS : Ce sont des alertes automatiques qui avertissent un serveur DNS
secondaire que des mises à jour sont disponibles afin de lancer le processus de transfert de
zone vers des serveurs en lecture seule.
Zone DNS de domaine : C’est une zone qui contient les enregistrements d’un domaine
particulier qu’il soit issue d’un domaine racine, d’un domaine enfant ou au sein d’une forêt AD
DS.
Zone DNS de forêt : C’est une zone qui contient les enregistrements qui se rapportent à
l’ensemble d’une forêt AD DS.
Recherche directe : Ce mode de fonctionnement du serveur DNS a pour but de faire
correspondre les requêtes FQDN (transmise par un client) à une adresse IP
Zone de recherche directe : C’est un conteneur DNS qui contient les correspondances
FQDN/IP pour les recherches directes
Redirecteur : C’est un mécanisme qui permet aux serveurs DNS de transférer les requêtes
inconnues reçus des clients vers des serveurs DNS externes approuvé.
Zones GlobalNames Zone : C’est une zone DNS qui a été conçu pour remplacer les
serveurs WINS sur un réseau Windows. Ces zones gèrent des noms NetBIOS.
Zone de stub : C’est une zone spéciale qui n’héberge que les enregistrements des autres
serveurs DNS qui assurent la maintenance de la zone en cours.
TTL (Time to Live) : C’est la valeur qui est attribué à un enregistrement et qui détermine sa
durée de vie avant de considérer l’enregistrement comme expiré.
Recherche inversée : Ce mode de fonctionnement du serveur DNS a pour but de faire
correspondre les requêtes de résolution d’adresses IP en nom FQDN.
Enregistrement SOA (Start of Authority) : C’est un enregistrement qui contient des
informations de domaine, comme la planification des mises à jour des enregistrements, les
89
intervalles utilisés par les autres serveurs pour vérifier les mises à jour et la date et l’heure de
la dernière mise à jour…
Enregistrement SRV : Désigne l’emplacement d’un service dans un enregistrement DNS qui
comprend l’adresse IP du serveur et le port associé au service.
Alias (CNAME) : C’est un enregistrement DNS utilisé pour indiquer un alias d’un nom déjà
spécifié comme étant un autre type d’enregistrement dans une zone spécifique. On l’appelle
aussi enregistrement de nom canonique.
Serveur de messagerie (MX) : Cet enregistrement désigne les noms des serveurs de
messagerie vers lesquels les messages électroniques d’un domaine doivent être acheminés
– Le protocole WPAD (Web Proxy Automatic Discovery Protocol) est utilisé par les
navigateurs web pour rechercher automatiquement les paramètres de proxy.
– Le protocole ISATAP (Intrasite Automatic Tunnel Adressing Protocol) est utilisé
pour permettre aux protocoles IPv4 et IPv6 de cohabiter ensemble. Les paquets IPv6
sont encapsulés au format IPv4 pour être transmis via des routeurs.
– Les listes rouges de requêtes globales permettent d’accroitre la sécurité des
protocoles WPAD et ISATAP en bloquant des plages d’adresses spécifiques.
– Par défaut, lors de l’installation du service DNS dans un environnement AD
DS, une zone de recherche directe sera créée pour toute la forêt et portera le nom
suivant :
_msdcs.nomdomain
– Lorsqu’on installe un contrôleur de domaine, la zone de recherche directe est
créée automatiquement. Par contre, la zone de recherche indirecte doit être ajoutée
manuellement pour prendre en charge la recherche inversée.
– La configuration de l’option de « nettoyage des enregistrements » et « la
suppression automatique des enregistrements obsolètes » doit s’effectuer
manuellement.
– L’attaque des serveurs DNS par déni de service (DoS, Denial-of-Service) est la
plus fréquente. Cette opération consiste à inonder de requête le service DNS jusqu’à ce
qu’il ne puisse plus répondre à des requêtes valides.
– L’attaque des serveurs DNS par encombrement du réseau consiste à modifier
les données d’un serveur afin de le rediriger vers un serveur DNS qui est sous le
contrôle du pirate.
– Chaque enregistrement de noms se voit attribuer un TTL. Lorsque cette valeur
expire, l’enregistrement doit être supprimé pour que les utilisateurs effectuant une
90
recherche n’obtiennent pas de résultats faussement positifs. C’est pourquoi il est
important de configurer le nettoyage de la zone pour tous les serveurs DNS.
– Les enregistrements SOA indique les divers intervalles et paramètres temporels
des enregistrements, l’intervalle d’actualisation et la durée de vie.
– Il est utile de créer des ZRI (Zone de Recherche Inversée) si vous possédez des
applications sur votre réseau qui nécessite d’utiliser la résolution d’une adresse IP en
nom ou si votre réseau dépasse les 500 ordinateurs.
– Les indications de racine permette à un serveur DNS d’interroger d’autres
serveurs DNS principaux en direct sur Internet. Un redirecteur permet de transférer une
requête DNS afin qu’un autre serveur exécute la recherche. Dans les réseaux sécurisés,
les serveurs DNS interne sont configurés pour utiliser un redirecteur qui renvois les
requêtes DNS vers un autre serveur DNS chargés de communiquer en direct avec
Internet. Dans ce cas précis, il faut désactiver la recherche via des indications de racine
sur les DNS interne pour les interdire d’accéder en direct sur Internet.
– Pour créer des enregistrements dans une Zone de recherche directe
GlobalNames (Fonction de remplacement du Wins), il faut d’abord activer la fonction via
la commande suivante :
Dnscmd /config /enableglobalnamessupport 1
– Une fois la ZRD GlobalNames activée, il faut ajouter des enregistrements de
noms en une seule partie via la commande suivante :
Dnscmd nomserveurdns /recordadd globalnames nomenuneseulepartie cname
nomdns
– Pour modifier une liste rouge de requêtes globale, il faut exécuter la commande
suivante :
Dnscmd /config /globalqueryblocklist wpad isatap manufacturing
91
Chapitre 10
– Sous Windows Server 2003, les réplications AD étaient gérer via le
système FRS (File Replication Service). Avec Windows Server 2008, une nouvelle
fonctionnalité visant à remplacer FRS a été ajouté : DFS-R (Distributed File System
Replication)
– Pour installer un contrôleur de domaine, il est possible d’utiliser « un fichier de
réponses » ou de remplir les informations nécessaires à la création du contrôleur de
domaine via une ligne de commande « dcpromo ».
– Pour créer un contrôleur de domaine via un fichier de réponse, il suffit de taper la
ligne de commande suivante :
Dcpromo /unattend : »chemin vers le fichier de réponse »
– Un fichier de réponse est enregistré dans le format suivant :
[DCINSTALL]
ReplicaOrNewDomain=domain
NewDomain=forest
NewDomainDNSName=Nom DNS complet
DomainNetBiosName=Nom NetBIOS du domaine
ForestLevel={0=Windows 2000 Server Native;
2=Windows Server 2003 Native;
3=Windows Server 2008 Native}
DomainLevel={0=Windows 2000 Server Native;
2=Windows Server 2003 Native;
3=Windows Server 2008 Native}
InstallDN S=yes
DatabasePath= »chemin vers un dossier d’un volume local »
LogPath= »chemin vers un dossier d’un volume local »
SYSVOLPath »chemin vers un dossier d’un volme local »
SafeModeAdminPassword=mot de passe
RebootOnCompletion=yes
92
– Il est possible d’inclure les options du fichier de réponses en ligne de
commande :
Dcpromo /unattend /installDNS :yes /dnsOnNetwork:yes
/replicaOrNewDomain:domain /newDomain:forest
/newDomainDNSName:contoso.com /DomainNetbiosName:contoso
/databasePath: »e:\ntds » /logPath: »f:\ntds.logs » /sysvolpath : »g:\sysvol »
/safeModeAdminPassword :motdepasse /forestLevel :3 /domainLevel :3
/rebootOnCompletion :yes
– Si on souhaite installer un contrôleur de domaine Windows Server 2008 dans
une forêt qui contient des serveurs Windows 2000 ou Windows 2003, il est important
de préparer la forêt afin de mettre à jour le schéma Active Directory existant avec les
nouveaux objets de l’AD 2008.
– Pour préparer une forêt Windows 2000 ou Windows 2003, il faut identifier le
contrôleur de domaine ayant le rôle FSMO « Contrôleur de schéma », puis copier le
contenu du répertoire « \Sources\Adprep » du DVD de Windows Server 2008. Ensuite,
il faut ouvrir une invite de commande en se positionnant dans le dossier « Adprep »
pour taper la commande suivante :
adprep /forestprep
Une fois la forêt préparée. Il faut identifier le contrôleur de domaine ayant le rôle FMSO
« Maître d’infrastructure » pour y copier le contenu du répertoire « \Sources\Adprep » du
DVD de Windows Server 2008. Ensuite, il faut ouvrir une invite de commande en se
positionnant dans le dossier « Adprep » pour taper la commande suivante :
adprep /domainprep /gpprep
– Pour installer un RODC dans un domaine de la forêt possédant des contrôleurs
de domaine avec Windows 2000 Server ou Windows Server 20003, il faut aussi préparer
le domaine avec la commande suivante :
Adprep /rodcprep
– Lorsqu’on installe un contrôleur de domaine supplémentaire via le mode
« avancé » on a la possibilité de choisir le contrôleur de domaine source pour la
réplication des données ou bien demander une installation à partir d’un
support (équivalent d’une sauvegarde – IFM : Install From Media).
– Pour organiser l’installation d’un contrôleur de domaine en lecture seule dans une
succursale qui ne dispose pas de personnel informatique, il est possible de créer le
compte d’ordinateur pour le RODC soit même dans l’OU « Domain Controller » :
93
Ensuite, il ne reste plus qu’à utiliser une ligne de commande sur le serveur RODC pour
joindre le domaine :
Dcpromo /useexistingaccount :attach
Ou
Dcpromo /useexistingaccount :attach /unattend : »c:\rodcanswer.txt »
– L’installation IFM correspond à l’installation d’un contrôleur de domaine à partir
d’un support. Pour créer ce support d’installation, il faut exécuter les commandes
suivantes sur un contrôleur de domaine Windows Server 2008 en écriture :
Exécuter Ntdsutil.exe dans une invite de commande et taper : activate instance
ntds puis ifm
Ensuite, il faut taper une des lignes de commande suivante pour créer le
support :
Create sysvol full [chemin] : Crée le support d’installation avec SYSVOL pour un DC
accessible en écriture dans le dossier spécifié par [chemin]
Create full [chemin] : Crée le support d’installation sans SYSVOL pour un contrôleur de
domaine accessible en écriture ou une instance AD LDS (Active Directory Lightweight
Directory Services) dans le dossier spécifié par [chemin]
Create sysvol rodc [chemin] : Crée un support d’installation avec SYSVOL pour un
contrôleur de domaine en lecture seule dans le dossier spécifié par [chemin]
Create rodc [chemin] : Crée le support d’installation sans SYSVOL pour un contrôleur de
domaine en lecture seule dans le dossier spécifié par [chemin]
Quand le support est créé, il faut exécuter l’assistant Installation des services de
domaine Active Directory en cochant la case « Utiliser l’installation en mode
avancé ». Choisir ensuite « Répliquer les données à partir d’un support à
l’emplacement suivant ».
– Pour supprimer un contrôleur de domaine, il faut utiliser la commande
« dcpromo »
– Si le contrôleur de domaine à supprimer ne peut contacter le domaine, il faut
utiliser la commande « dcpromo /forceremoval »
94
– Les opérations à maître unique se nomment également :
Maîtres d’opérations
Rôles de maîtres d’opérations
Rôles de maître unique
Jetons d’opérations
Rôles FSMO (Flexible Simple Master Operations)
– Il existe 5 rôles FSMO :
Maître d’attribution des noms de domaines (Unique dans la forêt)
Contrôleur de schéma (Unique dans la forêt)
Maître RID (Unique dans un domaine)
Maître d’infrastructure (Unique dans un domaine)
Emulateur PDC (Unique dans un domaine)
– Le rôle de maître d’attribution de noms de domaine sert à ajouter ou à
supprimer des domaines dans la forêt. Lorsqu’on ajoute ou supprime un domaine, le
maître d’attribution des noms de domaine doit être accessible, sous peine que
l’opération échoue.
– Le contrôleur de schéma est chargé d’apporter des changements au schéma
de la forêt. Tous les autres contrôleurs de domaine contiennent des réplicas en lecture
seule du schéma. Pour modifier le schéma ou installer une application qui modifie le
schéma, il est recommandé de le faire sur le contrôleur de schéma. Dans le cas
contraire, les changements demandés doivent être envoyés au contrôleur de schéma
pour qu’il les inscrive dans le schéma.
– Le maître RID (Relative Identifier) joue un rôle majeur dans la génération des SID
(Identificateur de sécurité) pour des entités de sécurité telles que les utilisateurs, les
groupes et les ordinateurs. Le SID d’une entité de sécurité doit être unique. Comme
n’importe quel contrôleur de domaine peut créer des comptes et donc des SID, il doit
exister un mécanisme qui garantisse que les SID générés par un contrôleur de domaine
soient uniques. Les contrôleurs de domaine Active Directory génèrent des SID en
assignant un ID relatif (RID) au SID du domaine pour chaque objet de l’annuaire. Le
maître RID du domaine alloue des pools de RID uniques à chaque contrôleur de
domaine du domaine. Ainsi, chacun d’eux peut être certains que les SID qu’il génère
sont uniques.
NB : Le maître RID se comporte exactement un serveur DHCP pour les SID. Au lieu
d’affecter des adresses IP unique aux ordinateurs d’un réseau, le maître RID affectera
des pools RID aux contrôleurs de domaine pour la création des SID.
95
– Le maître d’infrastructure agit plus particulièrement dans des environnements
multi domaine afin de mettre à jour la liste des groupes qui hébergent des utilisateurs
provenant d’un autre domaine. C’est une sorte de dispositif de suivi pour les membres
des groupes issus d’autres domaines. Si ces membres sont renommés ou supprimés de
l’autre domaine, le maître d’infrastructure du domaine du groupe actualise l’attribut
« member » du groupe conséquent.
– Le maître d’émulateur PDC accomplit plusieurs fonctions cruciales dans un
domaine :
Il émule un contrôleur principal de domaine pour la compatibilité ascendante
Il participe à la gestion spéciale de l’actualisation des mots de passe du domaine
Il gère l’actualisation des stratégies de groupe d’un domaine
Il fournit une horloge principale au domaine
Il agit comme un navigateur de maître de domaine
– Il est recommandé de placer les rôles « contrôleur de schéma » et « maître
d’attribution de noms de domaine » sur un même contrôleur de domaine qui fait office
de catalogue global.
– Il est recommandé de placer les rôles « maître RID » et « maître d’émulateur
PDC » sur le même contrôleur de domaine.
– Il est recommandé de placer les rôles « maître d’infrastructure » sur un
contrôleur de domaine qui n’est pas un serveur de catalogue global. Si tous les
contrôleurs de domaine d’un domaine sont des serveurs de catalogue globaux, il importe
peu de savoir quel serveur tient le rôle de maître d’infrastructure.
– Pour identifier les contrôleurs de domaine qui possèdent les « rôles de maître
RID », « maître d’émulateur PDC » et « maître d’infrastructure », il suffit d’ouvrir le
composant logiciel enfichable « Utilisateur et ordinateurs Active Directory », de faire
un clic droit sur le domaine et de cliquer sur « Maîtres d’opérations » :
– Pour identifier le contrôleur de domaine qui héberge le rôle « maître d’attribution
des noms de domaines », il suffit d’ouvrir le composant logiciel enfichable « Domaines
et approbations Active Directory », de faire un clic droit sur le nœud racine et de
cliquer sur « Maîtres d’opérations » :
– Pour identifier le contrôleur de domaine qui héberge le rôle « contrôleur de
schéma », il suffit d’ouvrir le composant logiciel enfichable « Schéma Active
Directory », de faire un clic droit sur le nœud racine et de cliquer sur « Maîtres
d’opérations » :
96
– Pour identifier les maîtres d’opérations, il est possible d’utiliser les commandes
suivantes :
« ntdsutil », « dcdiag » ou « netdom »
Ntdsutil roles connections connect to server « list roles for connected server »
Dcdiag /test :knowsofroleholders /v
Netdom query fsmo
– Pour transférer des rôles FSMO, il est possible d’utiliser les outils d’administration
correspondant à chaque rôle. En se connectant sur le contrôleur de domaine adéquat, il
est possible de transférer le rôle via le menu « Maître d’opérations » :
– Si un contrôleur de domaine crash alors qu’il héberge un rôle FSMO, il est
possible de prendre le rôle FMSO manquant et le dédier à un autre contrôleur de
domaine en récupérant le jeton des opérations.
– Lorsqu’on prend possession d’un des rôles suivant, il n’est pas possible de
remettre en ligne le contrôleur de domaine qui accomplissait le rôle :
Maitre RID
Contrôleur de schéma
Maître d’attribution des noms de domaine
– Lorsqu’on prend possession d’un des rôles suivant, il est possible de remettre
en ligne le contrôleur de domaine qui accomplissait le rôle puis de lui transférer de
nouveau le rôle à sa reconnexion :
Emulateur PDC
Maître d’infrastructure
97
– Pour prendre possession d’un rôle, il faut utiliser la commande « ntdsutil » :
Ntdsutil
Roles
Connections
Connect to server [FQDN_DU_SERVEUR]
Quit
Seize role
o Contrôleur de schéma
o Maître de schema
o Maître d’attribution des noms de domaine
o Maître RID
o Emulateur PDC
o Maître d’infrastructure
– Dans les précédentes versions de Windows Server, le répertoire SYSVOL était
répliqué sur l’ensemble des contrôleurs de domaine via le service FRS (File Replication
Service). Sous Windows Server 2008, nous disposons désormais du service DFS-
R (Distributed File System – Replication) qui est plus fiable et plus robuste que le
système FRS.
– Afin de répliquer le répertoire SYSVOL avec le nouveau système de
réplication DFS-R, il faut d’abord s’assurer que le niveau fonctionnel du domaine
est Windows Server 2008.
– Pour migrer vers le système de réplication DSF-R, il faut utiliser la commande :
« dfsrmig.exe »
– La migration vers DFS-R est composée de 4 étapes :
0 (start) : Etape par défaut du contrôleur de domaine. Seul FRS est utilisé pour répliquer
« SYSVOL » à cette étape.
1 (prepared) : Une copie du répertoire « SYSVOL » est créée dans un dossier nommé
« SYSVOL_DFSR » puis ce dernier est ajouté au jeu de réplication existant. DFS-R réplique
ensuite le contenu des dossiers « SYSVOL_DFSR » vers tous les contrôleurs de
domaine. FRS continue toujours de répliquer les dossiers « SYSVOL » d’origine et les clients
continuent d’utiliser « SYSVO L » à cette étape.
2 (redirected) : Le partage « SYSVOL\sysvol » est redirigé pour être désormais
« SYSVOL_DFSR\sysvol ». Les clients utilisent désormais le dossier « SYSVOL_DFSR »
pour obtenir les scripts d’ouverture de session et les modèles de stratégies de groupe.
3 (eliminated) : Le service de réplication FRS est interrompu, ce qui arrête automatiquement
la réplication du dossier « SYSVOL ».
– La commande « dsfrmig.exe » comporte 3 options :
98
Setglobalstate [state] : Cette option configure l’état de la migration DFS-R globale en cours
qui s’applique à tous les contrôleurs de domaine. L’état est spécifié par le paramètre [state],
qui est compris entre 0 et 3. Chaque contrôleur de domaine sera notifié du nouvel état de la
migration DFS-R et migrera automatiquement vers cet état.
Getglobalstate : Cette option rapporte l’état de migration DFS-R globale en cours.
Getmigrationstate : Cette option rapport l’état de migration en cours de chaque contrôleur de
domaine. L’option « gestmigrationstate » permet de surveiller l’avancement des contrôleurs
de domaine vers l’état de migration DFS-R global en cours.
NB : En cas de problème lors du passage d’un état vers un autre, il est possible de
revenir aux états précédents en utilisant l’option « setglobalstate ». Toutefois, après
avoir utilisé l’option « setglobalstate » pour spécifier l’état 3 (eliminated), il est
impossible de revenir aux états précédents.
Chapitre 11
– Les sites Active Directory sont des objets de l’annuaire qui se trouvent dans le
conteneur « Configuration » : CN=Configuration,DC=domaine racine de la forêt
– Un site a pour objectif de gérer le trafic de réplication et faciliter la localisation
des services.
– Un réseau fortement connectée représente un site Active Directory dans
lequel les réplications des changements apportés à l’AD sont presque instantanées.
– Un réseau moins fortement connectés est représenté par des connexions
lentes, moins fiables ou coûteuses. Il n’est donc pas indispensable de répliquer les
changements immédiatement sur ce type de réseau afin d’optimiser les performances,
réduire les coûts ou économiser de la bande passante.
– La localisation de service permet à des clients d’un site de localiser le contrôleur
de domaine le plus proche ou un service à proximité du site.
– Les sites Active Directory aident à localiser les services, y compris ceux fournis
par les contrôleurs de domaine. A l’ouverture de session, les clients Windows sont
automatiquement dirigés vers un contrôleur de domaine de leur site. Si aucun DC n’est
disponible dans le site, ils sont redirigés vers le DC d’un autre site qui sera capable de
les identifier.
– Certains documents indiquent qu’une liaison est lente lorsque son débit est
inférieur à 512 Kbit/s. Il est donc recommandé de créer un site pour déterminer cette
partie du réseau.
99
– Il est recommandé de créer un site pour une partie du réseau qui héberge au
minimum un contrôleur de domaine ou un service de ressource DFS répliquée.
– Pour définir un site, il faut créer un objet de classe « Site ». Cet objet est un
conteneur qui permet de gérer la réplication entre les contrôleurs de domaines.
– Il est recommandé de renommer le site par défaut afin de lui donner un nom plus
représentatif de la situation de l’entreprise.
– Un site est utile que lorsque les clients et les serveurs savent à quel site ils
appartiennent. Pour ce faire, l’adresse IP du système client doit être associée au site, et
ce sont les objets sous-réseau qui réalisent cette association. Il faut donc définir les sous
réseaux :
– Un sous réseau est associé à un site. Lorsqu’un client se connectera au domaine,
il sera identifié avec son adresse IP afin d’être redirigé vers le contrôleur de domaine de
son site.
– Il est important de définir chaque sous réseau IP en tant qu’objet sous-réseau
Active Directory (LAN, WAN, VPN). Si l’adresse IP d’un client n’est pas comprise dans la
page d’adresses d’un sous réseau, ce client sera incapable de déterminer à quel sous-
réseau il appartient et cela peut entrainer des problèmes de performance.
– Chaque serveur qui rejoint un domaine annonce ces services en créant des
enregistrements DNS « Emplacement de service » ou enregistrement SRV :
– Chaque contrôleur de domaine contient un réplica de plusieurs contextes de
nommage. Un contexte de nommage correspondant aux éléments suivants :
Domaine : Contient tous les objets stockés dans un domaine (users, ordinateurs et groupes
et stratégies de groupes).
Configuration : Contient les objets qui représentent la structure logique de la forêt – les
domaines – et la topologie physique – les sites, les sous-réseaux et les services.
Schéma : Définit les classes d’objets et leurs attributs
– Un contrôleur de domaine ayant pour fonction d’être un catalogue
global contient un jeu d’attributs partiel ou PAS (Partial Attribute Set) de l’ensemble
des domaines de la forêt. Cela lui permet d’effectuer des recherches d’objet dans un
domaine A et B avec plus d’efficacité. Une application interroge un catalogue global en
envoyé des requêtes LDAP sur le port 3268.
– Un groupe universel peut contenir des objets provenant de tous les domaines de
la forêt. L’appartenance aux groupes universels est répliquée dans le catalogue global.
100
– Lorsqu’un utilisateur ouvre une session, son appartenance au groupe
universel est obtenue depuis un serveur de catalogue global. Si le serveur de
catalogue global est indisponible, l’appartenance au groupe universel l’est également.
Pour empêcher un incident de sécurité, Windows empêche un utilisateur appartenant à
groupe universel de s’authentifier sur le domaine lorsque le catalogue global est
indisponible. Ce fonctionnement ne se produit pas si tous les contrôleurs de domaine
font office de catalogue global.
– Pour éviter un problème de compte bloqué appartenant à un groupe universel, il
est possible d’activer la mise en cache des membres des groupes universels à l’aide
d’UGMC (Universal Group Membership Caching). Lorsque « UGMC » est activé, un
utilisateur appartenant à un groupe universel qui ouvre une session sur le domaine aura
ses informations d’appartenance au groupe mise en cache indéfiniment sur le serveur de
catalogue global et actualisé toutes les 8 heures.
– Pour configurer UGMC, il faut ouvrir le composant logiciel enfichable « Sites et
service Active Directory », sélectionner le site dans l’arborescence de la console. Dans
le volet de détails, il faut cliquer droit sur « NTDS Site Settings » et sélectionner
« Propriétés » :
– Pour examiner les partitions d’annuaire d’application, il faut utiliser l’outil
« Modification ADSI », de cliquer sur « Connexion » puis de sélectionner
« Configuration » dans la liste déroulante du « contexte d’attribution de noms
connu » :
– Lorsque l’on créé un contrôleur de domaine, ce dernier est ajouté
automatiquement dans la console « Site et Services Active Directory ». Le vérificateur
de cohérence des données également appelé KCC (Knowledge Consistency Checker)
crée automatiquement un objet connexion afin de créer les relations bidirectionnelle
entre les contrôleurs de domaine. Si un contrôleur de domaine est supprimé,
les KCC mettent à jour les objets de connexion en réorganisant dynamiquement la
topologie de réplication.
– Il est également possible de créer des objets de connexion manuellement afin
de gérer soit même la topologie de réplication. Un objet de connexion créé
manuellement ne sera jamais supprimé par la gestion dynamique des KCC.
– Lorsqu’une modification est effectuée sur un contrôleur de domaine, ce dernier
envoi une notification de mise à jour à son premier partenaire de réplication 15
secondes après (Délais de notification initiale). Une fois la notification envoyée, le
contrôleur de domaine attend 3 secondes (Délais de notification ultérieure) pour notifier
101
ses autres partenaires de réplication. Ces délais décalés de quelques secondes
permettent de réduire le trafic réseau causé par les réplications intrasite.
– A réception de la notification, le contrôleur de domaine demande à son partenaire
de réplication de lui envoyer l’attribut modifié via l’agent de réplication d’annuaire (DRA,
Directory Replication Agent).
– Dans une topologie de réplication, il ne peut y avoir plus de trois sauts. Cela
permet d’optimiser la réplication et limiter le trafic sur le réseau. Dans un réseau
composé de 3 à 5 contrôleurs de domaine, à raison d’environs 15 secondes d’attente par
saut, une modification dans l’AD sera entièrement répliquée en moins d’une minute.
– Dans une topologie de réplication automatique, si un des contrôleurs de domaine
n’est pas disponible, certains partenaires de réplication ne pourront recevoir de
notifications lors d’une modification. C’est pourquoi il existe un processus de scrutation
des modifications également appelé « polling ». Ce processus permet de vérifier auprès
de son partenaire de réplication si une mise à jour a été effectuée (Par défaut la
scrutation est effectuée toutes les heures). Si le serveur interrogé ne répond pas, le
partenaire de réplication lance le KCC afin de vérifier la topologie qui sera reconstruite si
le contrôleur de domaine est réellement déconnecté.
– Les liens de sites permettent de définir les chemins que la réplication doit
emprunter en créant des objets « Liens de sites ». Un lien de site contient deux ou
plusieurs sites. Le générateur de topologie inter-sites (ITSTG, Intersite Topology
Generator), un composant du KCC, construit des objets connexion entre les serveurs de
chacun des sites pour permettre la réplication inter-sites.
– Par défaut lorsqu’on crée une forêt, l’objet lien de sites « DEFAULTIPSITELINK »
est créé dans le composant logiciel enfichable « Sites et services Active Directory ».
Dans une structure AD composé de plusieurs sites, il est recommandé de créer
manuellement des liens de sites qui reflètent la topologie physique du réseau.
102
– Les modifications sont répliquées entre contrôleurs de domaine au moyen de
deux protocoles :
DS-RPC (Directory Service Remote Procedure Call) : DS-RPC apparaît dans le composant
logiciel enfichable Sites et services Active Directory sous la forme IP. IP est utilisé pour toute
réplication intrasite et est le protocole de prédilection par défaut pour la réplication inter-sites
ISM-SMTP (Inter-site Messaging – Simple Mail Transfert Protocol) : Ce protocole n’est utilisé
que lorsque les connexions réseaux entre sites ne sont pas fiables ou ne sont pas toujours
disponibles. SMTP ne peut pas être utilisé pour répliquer le contexte de nommage du
domaine. C’est pourquoi la réplication via STM vers le reste de l’entreprise doit être un
domaine séparé. Très peu d’organisation utilise SMTP pour la réplication à cause de la
charge administrative requise pour configurer et gérer une autorité de certification (CA).
– Un serveur de tête de pont est un serveur responsable de toute la réplication
d’une partition, dans le site et hors du site. Ces derniers sont chargés de répliquer les
modifications d’une partition reçues des serveurs têtes de pont des autres sites.
– Chaque site peut être configuré pour disposer d’un serveur de tête de pont qui
répliquera les données vers un serveur de tête de pont d’un autre site :
– Les liens de sites sont transitifs par défaut, ce qui veut dire qu’ils sont reliés
entre eux pour augmenter la tolérance de panne lié à la réplication. Pour désactiver la
transitivité des liens de sites, il suffit de désactiver la case « Relier tous les liens de
sites » dans les propriétés du protocole « IP » :
– Les coûts de liens de site sont utilisés pour gérer le flux du trafic de réplication.
Les coûts les plus élevés sont utilisés pour les liens lents et les coûts les plus faibles
pour les liens rapides. Par défaut, tous les liens sont configurés avec un coût de
« 100 » :
– Lorsque la transitivité des liens de sites a été désactivée, il est possible de créer
soit même des liens de sites via des « ponts de sites ».
– La réplication Inter-site est basée sur la scrutation : Il n’y a pas de notification
de modification pour démarrer le processus de réplication. Par défaut, toutes les 3
heures (180 minutes), un serveur de tête de pont va interroger ses partenaires de
réplication pour déterminer si des modifications sont disponibles. Il est possible de
modifier cette valeur pour réduire l’intervalle de scrutation sachant que la valeur
minimale est de 15min.
103
– Afin de surveiller et gérer la réplication dans le but de la dépanner ou l’optimiser, il
est possible d’utiliser l’un de ces deux outils de reporting :
Repadmin.exe : Outil de diagnostic de la réplication
Dcdiag.exe : Outil de diagnostic des services d’annuaires
– « Repadmin.exe » est un outil en ligne de commande qui permet de connaître
l’état de la réplication sur chaque contrôleur de domaine. Il est possible d’utiliser
« repadmin.exe » pour créer la topologie de réplication et forcer la réplication entre
contrôleurs de domaine.
– Exemple de commandes « repadmin.exe » :
NB : Dans les exemples suivants, « DSA_LIST » représente un identifiant réseau
(nom DNS, NetBIOS ou adresse IP d’un contrôleur de domaine)
Repadmin /showrepl DSA_LIST : Permet d’afficher les partenaires de réplication d’un
contrôleur de domaine
Repadmin /showconn DSA_LIST : Permet d’afficher les objets connexion d’un contrôleur de
domaine
Repadmin /showobjmeta DSA_LIST : Permet d’afficher les métadonnées sur un objet, ses
attributs et la réplication
Repadmin /kcc : Force le KCC à recalculer la topologie de réplication entrante pour le
serveur
Repadmin /replicate Destination_DSA_LIST Source_DSA_Nom_Contexte_Nommage :
Permet de forcer la réplication entre deux partenaire
Repadmin /syncall DSA /A /e : Permet de synchroniser un contrôleur de domaine avec tous
ces partenaires, y compris ceux des autres sites.
– « Dcdiag.exe » est un outil en ligne de commande qui permet de diagnostiquer
l’état des services d’annuaires. Cet outil effectue un certain nombre de tests et génère
un rapport sur la santé globale de la réplication et de la sécurité des services de
domaine Active Directory. Exécuté seul, « dcdiag.exe » exécute des tests récapitulatifs
et affiche les résultats.
– Exemple de commandes « dcdiag.exe » :
Dcdiag /c : exécute presque tous les tests
Dcdiag /FrsEvent : Affiche toutes les erreurs de fonctionnement du service de réplication de
fichiers (FRS)
Dcdiag /DFSREvent : Affiche toutes les erreurs de fonctionnement du service de réplication
de fichiers (DFS-R)
Dcdiag /Intersite : Détecte les défaillances qui pourraient empêcher ou retarder la réplication
inter-sites
104
Dcdiag /KccEvent : Identifie les erreurs du vérificateur de cohérence des données
Dcdiag /Replications : Vérifie la ponctualité de la réplication entre contrôleurs de domaine
Dcdiag /Topology : Vérifie que la topologie de réplication est complètement connectée pour
tous les DSA
Dcdiag /VerifyReplicas : Vérifie que toutes les partitions d’annuaire d’applications sont
complètements instanciées sur les DC hébergeant des réplicas
Chapitre 12
– Les niveaux fonctionnels de domaine apportent de nouvelles fonctionnalités au
domaine et permettent aussi de définir les systèmes d’exploitation autorisé sur les
contrôleurs de domaine.
– Il existe trois niveaux fonctionnels de domaine :
Windows 2000 Natif : Autorise les systèmes d’exploitation suivant sur les
serveurs : Windows 2000 Server, Windows Server 2003 et Windows Server 2008
Windows Server 2003 : Autorise les systèmes d’exploitation suivant sur les
serveurs : Windows Server 2003 et Windows Server 2008. Ce niveau fonctionnel apporte
plusieurs nouvelles fonctionnalités comme le renommage d’un contrôleur de domaine,
l’attribut « LastLogonTimestamp », l’attribut « userPassword », la redirection du conteneur
d’utilisateur et d’ordinateurs par défaut, la stratégie du gestionnaire d’autorisation, la
délégation contrainte et l’authentification sélective.
Windows Server 2008 : Autorise uniquement les systèmes d’exploitation Windows Server
2008. Ce niveau fonctionnel de domaine apporte de nouvelles fonctionnalités au domaine
comme la réplication DFS-R de SYSVOL, les services de chiffrement avancé (AES 128 et
AES256 pour Kerberos), l’enregistrement des dernières informations d’ouverture de session
interactive et la stratégie de mot de passe à grain fin.
– Il existe trois niveaux fonctionnels de forêt :
Windows 2000 : Dans ce niveau fonctionnel, les domaines peuvent s’exécuter dans tous les
niveaux fonctionnels de domaine pris en charge.
Windows Server 2003 : Dans ce niveau fonctionnel, les domaines peuvent s’exécuter dans
les niveaux fonctionnels Windows Server 2003 et Windows Serveur 2008. Ce niveau
fonctionnel de forêt apporte de nouvelle fonctionnalité comme l’approbation de forêt, le
renommage de domaine, la réplication de valeurs liées, les algorithmes du vérificateur de
cohérences des données (KCC) améliorés, la conversion d’objets inetOrgPerson en objet
utilisateur, la prise en charge de la classe auxiliaire dynamicObjet, la prise en charge des
groupes d’applications et des groupes de requêtes LDAP et les contrôleurs de domaine en
lecture seul.
Windows Server 2008 : Ce niveau fonctionnel de forêt autorise uniquement des domaines
s’exécutant dans un niveau fonctionnel de forêt Windows Serveur 2008 et n’apporte aucunes
nouvelles fonctionnalités.
105
– Pour augmenter le niveau fonctionnel d’un domaine, il faut ouvrir le composant
logiciel enfichable « Domaines et approbations Active Directory », de faire un clic
droit sur le domaine puis de choisir « Augmenter le niveau fonctionnel du
domaine » :
– Pour augmenter le niveau fonctionnel d’une forêt, il faut ouvrir le composant
logiciel enfichable « Domaines et approbations Active Directory », de faire un clic
droit sur la racine et cliquer sur « Augmenter le niveau fonctionnel de la forêt » :
– Les domaines qui exécutent des niveaux fonctionnels de domaine inférieurs à
Windows Server 2008 ne peuvent prendre en charge qu’une seule stratégie de mot de
passe et de verrouillage des comptes. Seuls les domaines au niveau fonctionnel de
domaine peuvent utiliser les stratégies de mot de passe à grain fin.
– Dans un contexte multi domaine, un administrateur peut être amené à déplacer
des objets d’un domaine A vers un domaine B (Utilisateurs, ordinateurs, etc).
– Une migration intraforêt consiste à déplacer des objets issus de domaines Active
Directory de la même forêt.
– Une migration inter forêt consiste à déplacer des objets issus de domaines Active
Directory distinct. L’opération consiste à conserver le domaine source et cloner/copier
des comptes dans le domaine cible. Cette méthode permet de revenir en arrière en cas
de problèmes.
– Pour effectuer des migrations d’objets, il faut utiliser un outil tiers ou tout
simplement l’outil de migration Active Directory version 3 nommé ADMT
v3 (Administration Domain Migration Tools : Disponible sur Internet).
– Lors de la migration d’un objet dans un autre domaine, ce dernier est copié dans
le domaine cible, récupérant ainsi un nouveau SID. Du fait que l’objet récupère dans
un nouveau SID, il ne possède donc plus d’accès aux ressources du domaine source.
Pour contourner ce problème, il existe ce que l’on appelle les sIDHistory qui sont des
attributs de l’objet contenant le SID de l’objet dans le domaine source. Cet astuce permet
à un compte d’utilisateur copié dans un nouveau domaine de pouvoir accéder aux
mêmes ressources malgré le fait que sont SID ai été recréé dans le nouveau domaine.
– Lorsqu’un utilisateur ouvre une session dans un domaine Active Directory, le
jeton de l’utilisateur est peuplé avec le SID principal et l’attribut sIDHistory du compte
de l’utilisateur et des groupes auxquels ce dernier appartient. Le processus
système LSASS utilise les SID de l’attribut de sIDHistory comme tout autre SID situé
dans le jeton pour maintenir l’accès de l’utilisateur vers des ressources du domaine
source.
106
– Le processus qui consiste à remapper des ACL vers des comptes migrés dans
le domaine cible est également appelé re-ACLing. Il suffit d’utiliser l’utilitaire ADMT pour
ce type d’opérations.
– ADMT traduit les descripteurs de sécurité des objets :
Des autorisations de fichier et de dossier
Des autorisations d’imprimante
Des autorisations de partage
Des autorisations de Registre
Des droits d’utilisateur
Des profils locaux, qui impliquent des changements d’autorisations de fichier, de
dossier et de registre
Des appartenances aux groupes
– Dans une migration AD inter forêts, il faut d’abord migrer les groupes du domaine
source vers le domaine cible car s’il s’agit de groupe Globaux, par défaut, ces derniers
ne peuvent accepter que des utilisateurs issue du même domaine, ce qui poserait un
problème pour la migration des utilisateurs. Ces groupes une fois migré maintiendront
les SID des groupes source dans leurs attributs sIDHistory, ce qui contribuera à
conserver l’accès aux ressources.
– Dans une migration AD intra forêts, un groupe global est créé dans le domaine
cible en tant que groupe universel afin de pouvoir contenir un utilisateur des domaines
source et cible. Le nouveau groupe obtient un nouveau SID et son
attribut sIDHistory est peuplé avec le SID du groupe global du domaine source. Une fois
la migration terminée, le groupe universel est converti en groupe global.
– ADMT permet également de migrer des mots de passe. Il est possible de
conserver le mot de passe du domaine source mais ADMT ne gère pas les stratégies de
mot de passe du domaine cible. Sinon il est possible de déterminer un mot de passe lors
de la migration du compte d’utilisateur.
– ADMT permet également d’automatiser l’actualisation des comptes de services
qui auront été migrés.
– ADMT à du mal à migrer les objets qui sont intégrés dans les groupes « Admins
du domaine » ou dans le groupe local « Administrateurs du domaine ». Il existe
cependant une option de contournement dans le mode d’emplois d’ADMT.
107
Chapitre 13
– Même si AD DS compacte régulièrement sa base de données (Ntds.dit), il est
recommandé de le faire manuellement.
– « AcctInfo.dll » permet de rajouter un onglet supplémentaire dans le composant
logiciel enfichable « Utilisateurs et ordinateurs Active Directory »
– Le bouton « Domain PW Info… » De l’onglet « Additional Account Info »
affiche la stratégie de mot de passe affecté au compte d’utilisateur :
– Le bouton « SID History » de l’onglet « Additional Account Info » permet
d’afficher l’attribut SID History d’un objet.
– Le bouton « Set PW On Site DC… » De l’onglet « Additional Account Info »
permet de modifier le mot de passe d’un compte d’utilisateur directement sur le
contrôleur de domaine pour éviter les délais de réplication.
– « Specops Gpudate » permet d’ajouter des fonctionnalités supplémentaires au
composant logiciel enfichable « Utilisateurs et ordinateur Active Directory » :
Actualisation à distance des GPO d’un objet de l’annuaire
Démarrage d’ordinateurs à distance avec Wake-on-LAN s’il est activé localement
Redémarrage et arrêt à distance de l’ordinateur sélectionné
Génération d’un rapport graphique sur les résultats de l’opération
NB : Il faut télécharger cet outil sur le site de l’éditeur « Specops Gpupdate » :
http://www.specopssoft.com/products/specops-gpupdate/specops-gpupdate-download
– Récapitulatif des outils d’administrations Windows :
Domaines et approbations Active Directory : Administrer les relations d’approbations
Schéma Active Directory : Modifier le schéma pour les annuaires AD DS ou AD LDS
Sites et services Active Directory : Configurer et gérer les étendues de réplications
Utilisateurs et ordinateurs Active Directory : Configurer et gérer les rôles FSMO
Modifications ADSI : Interroger, visualiser et modifier les objets de l’annuaire
CSVDE.exe : Importer des données dans les annuaires AD DS ou AD LDS
DCDIAG.exe : Diagnostiquer les annuaires AD DS ou les instances AD LDS
DCPROMO.exe : Ajouter ou supprimer des contrôleurs de domaine
DFSRadmin.exe : Gère la réplication DFS
Gestionnaire DNS : Assurer la maintenance générale des serveurs DNS
DNSCMD.exe : Gérer les aspects des serveurs DNS
DSACLS.exe : Gère les listes de contrôles d’accès aux objets
DSADD.exe : Ajouter des types d’objets spécifiques (user/computer)
DSAMAIN.exe : Monter des sauvegardes ou des clichés instantanés d’AD DS
108
DSBUTIL.exe : Assurer la maintenance de la base de données AD DS
DSGET.exe : Visualiser les propriétés d’un objet donnée (user/computer)
DSMGMT.exe : Gérer les partitions d’applications et les rôles de maîtres d’opérations
DSMOD.exe : Modifier un objet existant d’un type donnée (user/computer)
DSMOVE.exe : Transférer un objet à un autre emplacement de l’annuaire
DSQUERY.exe : Rechercher dans l’annuaire un type d’objet donné
DSRM.exe : supprimer un objet dans l’annuaire
Observateur d’évènements : Auditer les journaux d’évènements Windows
GPfixup.exe : Répare les dépendances de noms de domaines dans les GPO
Group Policy Diagnostic Best Practices Analyzer : Vérifier les GPO
Console gestion de la Stratégie de groupe : Créer, gérer, sauvegarder les GPO
Ipconfig : Afficher et modifier les détails de la configuration IP
Ksetup.exe : Configurer un client pour utiliser un domaine Kerberos V5
Ktpass.exe : Configurer un service Kerberos non Windows
LDIFDE.exe : Importer des données dans les instances AD LDS
Ldp.exe : Effectuer des opérations LDAP dans l’annuaire
Movetree.exe : Transférer des objets entre des domaines d’une forêt
Netdom.exe : Gérer les comptes d’utilisateurs, les domaines et les approbations
Nltest.exe : Vérifier l’état de la réplication ou les relations d’approbations
Nslookup.exe : Afficher les informations sur les serveurs DNS
Ntdsutil.exe : Assurer la maintenance de la base de données AD DS
Repadmin.exe : Diagnostiquer et dépanner la réplication FRS
Gestionnaire de serveur : Gérer les domaines AD DS existants ou les instances AD LDS
Moniteur système : Créer des graphiques des performances d’un serveur
Ultrasound.exe : Outil graphique pour diagnostiquer la réplication FRS avec WMI
W32tm.exe : Visualiser les paramètres, gérer la configuration Windows Time
Sauvegarde de Windows Server : Sauvegarder ou restaurer AD DS ou AD LDS
– Une base de données AD DS fonctionne comme toutes les bases de données.
Lorsqu’un enregistrement est inscrit dans la base, le système alloue de l’espace
supplémentaire. Lorsqu’un enregistrement est détruit, l’espace alloué n’est pas récupéré.
C’est pourquoi il est important d’effectuer des tâches d’administration visant
à compacter la base de données.
– Contrairement aux autres versions de Windows, pour effectuer la maintenance
des services AD DS, il n’est pas utile de redémarrer le contrôleur de domaine en mode
« Restauration des services d’annuaire » mais il est possible d’utiliser la « Maintenance
Hors ligne ».
– Le service AD DS compacte automatiquement la base de données, mais ce
compactage ne récupère pas l’espace et se contente de réorganiser les données. Pour
récupérer l’espace perdu, il faut placer la base de données hors-ligne et exécuter une
séquence de compactage et de défragmentation.
109
– Dans Windows Server 2008, le service AD DS n’est qu’un service Windows qui
peut être arrêté et démarré comme n’importe quel service Windows. Pour mettre un
contrôleur de domaine hors ligne et exécuter une maintenance, il faut qu’il y ait au
minimum deux DC dans le domaine. Lorsqu’on arrête le service AD DS, le DC
communique avec un autre DC afin de vérifier qu’au moins un DC est disponible en
permanence au moment de l’arrêt.
– Windows Server 2008 possède 4 fonctionnalités qui augmentent la sécurité des
données :
Protection des objets contre une suppression accidentelle
Audit de l’accès aux services AD DS, qui permet la journalisation des anciennes et nouvelles
valeurs et permet de retourner à la valeur d’origine lorsque les propriétés d’un objet ont été
modifiées.
Le conteneur « tombstone » qui permet de stocker tous les objets supprimés de l’annuaire.
Un objet supprimé dispose d’une période de grâce durant laquelle il peut encore être
récupéré.
Les fonctionnalités de sauvegarde et restauration prises en charge par l’utilitaire de
sauvegarde Windows Server.
– La protection des données contre les suppressions accident est activée par
défaut pour les objets unité d’organisation. Pour les autres objets, il faut activer cette
option explicitement via l’onglet « Objet » de l’objet sélectionné :
– L’audit des modifications de l’annuaire permet de journaliser toutes les
modifications apportées aux différents objets. Toutes les modifications sont enregistrées
avec un ID d’évènement unique dans le journal des modifications du service d’annuaire.
Il est possible de vérifier qu’elle était l’ancienne valeur et la nouvelle apporté à l’objet
pour corriger les modifications qui n’avaient pas lieu d’être.
– Lorsqu’un objet est supprimé de l’annuaire accidentellement, il est possible de le
récupérer via la commande « Ldp.exe » tant que la période de grâce n’a pas expiré. La
restauration d’un objet avec cet utilitaire récupère seulement l’objet et son SID mais ne
permet pas de récupérer le reste de ses attributs. Il faudra donc les spécifier à nouveau.
– L’utilitaire « Quest Object Restore for Active Directory » permet également de
restaurer des objets supprimés qui sont encore contenue dans le répertoire « Deleted
Objects,DC=contoso,DC=com ». Ce conteneur des objets supprimé s’appelle
« conteneur tombstone ». La restauration d’un objet avec cet utilitaire récupère
seulement l’objet et son SID mais ne permet pas de récupérer le reste de ses attributs. Il
faudra donc les spécifier à nouveau.
110
– Tout objet supprimé de l’annuaire à un délai de grâce de 180 jours par défaut.
Les objets sont déplacé dans le répertoire « Deleted Objects ». Au-delà de cette
période, les objets sont définitivement supprimés de l’annuaire par les opérations de
nettoyage de la base de données.
– L’utilitaire de sauvegarde Windows permet de restaurer des objets supprimés tout
en conservant tous les attributs de l’objet. Windows Server 2008 possède un outil qui
permet de monter une base de données Active Directory à partir d’un jeu de sauvegarde
afin de visualiser le contenu avant l’opération de restauration. Lorsqu’on utilise l’utilitaire
de sauvegarde Windows, il est possible d’exécuter plusieurs opérations :
Sauvegarder le serveur entier, y compris son système d’exploitation
Ne sauvegarder que les données sur l’état du système, qui comprennent les données de
configuration du serveur et la base de données de l’annuaire, Ntds.dit.
Restaurer les données ne faisant pas autorité, qui seront ajoutées au DC mais seront
actualisées par la réplication multi maître quand le DC sera reconnecté
Effectuer des installations IFM (Install From Media) d’un DC qui s’appuient sur une copie
de Ntds.dit venant d’un autre DC pour réduire le volume de réplication nécessaire pour créer
le DC durant l’installation.
Les sauvegardes sont effectuées avec Windows Server Backup ou avec l’outil en ligne
de commande correspondant « Wbadmin.exe ». Ce sont des fonctionnalités qui doivent
être ajouté au serveur.
Il n’est pas possible de faire une sauvegarde sur un lecteur de bande ou des volumes
dynamique. Il faut des lecteurs réseau, des disques durs amovibles ou des DVD/CD.
– Si un serveur tombe en panne, il est possible d’utiliser WinRE (Windows
Recovery Environnent) pour restaurer le système. WinRE peut être installé localement
ou localisé sur le support d’installation de Windows Server 2008.
– Pour utiliser la sauvegarde avec Wbadmin.exe, il suffit d’exécuter une ligne de
commande :
Wbadmin start backup –allcritical –backuptarget :[chemin cible] –quiet
111
– Pour utiliser la sauvegarde avec Windows, il faut aller dans les outils
d’administration et démarrer « Sauvegarde de Windows Server » :
– Lorsque l’on sauvegarde l’état du système sur un serveur exécutant le rôle AD
DS, les données sauvegardées sont les suivantes :
Le registre
La base de données d’enregistrement de classes COM+
Les fichiers de démarrage
Les systèmes de fichiers protégés par WRP (Windows Resource Protection)
La base de données des services de domaine Active Directory (Ntds.dit)
Le répertoire SYSVOL (GPO du domaine / Scripts d’ouverture de session)
– La sauvegarde Windows Server prend en charge 3 modes de restauration :
Restauration complète du serveur
Restauration de l’état du système seulement
Restauration d’un fichier ou d’un dossier seulement
– Pour créer une sauvegarde complète, il suffit de lancer l’utilitaire « Sauvegarde
de Windows Server » après avoir installé la « fonctionnalité de la sauvegarde
Windows Server ».
– Pour planifier une sauvegarde de Windows Server, il faut lancer l’utilitaire
« Sauvegarde de Windows Server » depuis les outils d’administration, puis de cliquer
sur « Planification de la sauvegarde » dans le menu « Actions » :
NB : Il n’est pas possible d’utiliser des lecteurs mappés avec « Sauvegarde de
Windows Server »
– pour planifier une sauvegarde avec l’utilitaire « wbadmin.exe », il faut exécuter
les lignes de commandes suivantes :
Identifier l’identificateur du disque : wbadmin get disks > diskidentifers.txt
Planifier : wbadmin enable backup –addtarget:IDdisque –schedule:heures –
include:disquessource
Exemple : wbadmin enable backup –addtarget:{f0e2788d-0000-0000-0000-
000000000000} –schedule:21:00,06:00 –include:C:
Cette commande planifie une sauvegarde du disque C:\ à 9h et à 18h sur le disque cible
désigné par le GUID spécifié.
NB : La cible sera formatée à chaque nouvelle exécution de la sauvegarde planifiée.
112
– Pour restaurer des données sur un DC, il n’est pas possible de le faire pendant le
système est en cours d’exécution. Il faut impérativement redémarrer le DC en
mode DSRM (Directory Services Restore Mode). Il suffit de redémarrer le serveur,
d’appuyer sur la touche F8 pendant le démarrage et de sélectionner « mode de
restauration des services d’annuaire ».
– DSRM restaure les données de l’annuaire, tandis que WinRE récupère le
système entier.
– Avec Windows Server 2008, il est possible de visualiser le contenu des données
avant d’entamer une restauration. Pour cela, il suffit de monter le jeu de données avec
l’outil de montage des clichés instantanées de la base de données.
– Pour créer un cliché instantané de la base de données, il faut taper la
commande suivante :
Ntdsutil « activate instance NTDS » snapshot create quit quit
– Une fois le cliché instantané créé, il est possible de le monter et de
le charger en tant serveur LDAP pour en visualiser son contenu (Voir TP).
– Pour restaurer des données, il est donc possible d’utiliser soit l’utilitaire de
« Sauvegarde Windows Server », soit la ligne de commande « wbadmin ». Pour
restaurer les données de l’annuaire, il faut effectuer une restauration du système en
utilisant les lignes de commandes suivante en mode DSRM (Directory Services Restore
Mode) :
Redémarrer le DC en « Mode restauration des services d’annuaire » :
– Exécuter cette ligne de commande pour lister les sauvegardes disponibles :
Wbadmin get versions –backuptarget :[lecteur] –machine:[nomserveur]
– Exécuter cette ligne de commande pour récupérer l’état du système à partir d’un
backup :
Wbadmin start systemstaterecovery –version :[date] –backuptarget:[lecteur] –
machine:nomserveur –quiet
– Lorsque la restauration est terminée, il faut redémarrer le serveur en mode
normal. AD DS sait qu’il a été récupéré à partir d’une sauvegarde et vérifie l’intégrité de
la base de données.
113
– Pour exécuter une sauvegarde faisant autorité, il faut marquer les données en
tant que telles en tapant les commandes suivantes en mode DSRM :
Ntdsutil « authoritative restore » “restore database” quit quit
NB : La commande « Restaure Database » marque toutes les données de la base de
données NTDS.dit du contrôleur de données comme faisant autorité. Pour restaurer une
portion de l’annuaire, il faut utiliser la commande restore dans ntdsutil :
Restore subtree OU=OUname,DC=nomDC,DC=nomDC
– Pour la tolérance aux pannes, installer un DC sur une machine virtuelle est une
bonne pratique car en cas de crash, il suffit de revenir à une version précédente de
la VM. Une fois restauré, la réplication multi maître se charge du reste pour effectuer les
mises à jour.
– Le service VSS (Volume Shadow Copy Service) sous Windows Server 2008,
prend des clichés instantanés du contenu d’un disque à intervalles réguliers. En cas de
pertes de données, il suffit d’utiliser les versions précédentes. Cette fonctionnalité est
présente par défaut dans Windows Server 2008 et Windows Vista. Chaque
cliché VSS pèse 100 Mo, car il ne capture que les pointeurs de disques et non la
structure de disque entière. Il est possible de stocker jusqu’à 512 clichés à la fois.
Quand on atteint ce maximum, VSS écrase automatiquement les clichés les plus
anciens. C’est pourquoi il faut dimensionner les disques en conséquence.
– Pour activer les clichés instantanés, il suffit d’ouvrir les propriétés d’un lecteur
et de cliquer sur l’onglet « clichés instantanées ». Pour configurer le service VSS, il faut
cliquer sur « Paramètres » puis sur le bouton « Activer » pour mettre en place
les VSS :
– Il est également possible d’activer les clichés instantanés via une ligne de
commande :
Vssadmin add shadowstorage /for=d : /on=e: /maxsize=6000mb
Vssadmin create shadow /for=d:
Vssadmin list shadowstorage
Vssadmin list shadows
– Les planifications de clichés instantanés sont des tâches planifiées. Pour
contrôler une tâche planifiée, il est possible d’utiliser la commande « Schtasks.exe »
(Schedule Tasks) ou le planificateur de tâches depuis la console de Gestion de
l’ordinateur :
114
– Pour identifier les goulets d’étranglement, il est possible d’utiliser les outils
suivants :
Gestionnaire des tâches
Observateur d’évènements
Moniteur de fiabilité
Analyseur de performances
Gestionnaire de ressources système Windows (WSRM, Windows System Manager)
– Dans l’onglet « Performances » du « Gestionnaire des tâches », il y a un
bouton « Moniteur des ressources » qui permet d’afficher des graphiques sur
l’utilisation de l’UC, du disque, du réseau et de la mémoire en une seule fenêtre :
– L’observateur d’évènements permet d’obtenir des informations essentielles sur
l’état de santé du système. Par défaut, l’observateur d’évènements maintient les
journaux Windows suivant :
Application
Sécurité
Configuration
Système
Evènements transmis
– Les contrôleurs de domaine hébergent des journaux supplémentaires dédiés aux
services AD DS :
Réplication DFS
Service d’annuaire
Serveur DNS
– Le moniteur de fiabilité est un outil qui permet d’identifier les problèmes
potentiels. Ce dernier conserve les traces des modifications apportées à un système
(Modification système, installations ou désinstallations de logiciels, défaillances des
applications, pannes matériels…)
– L’analyseur de performances est un outil qui permet de tracer des données de
performances sur un système.
– WSRM (Windows System Ressources Manager) est une nouvelle fonctionnalité
de Windows Server qui permet de profiler des applications afin de déterminer les
ressources nécessaires à une application. Cette fonctionnalité permet également de
fonctionner en mode de gestion des processus exécuté sur un serveur afin surveiller la
charge de chaque processus, utilisateurs ou sessions et bloquer l’un des processus qui
115
aurait dépassé son seuil autorisé. L’ensemble de ces règles de gestion ne s’applique
pas si la charge totale du serveur n’excède pas 70% du CPU.
Chapitre 14
– AD LDS (Active Directory Lightwey Directory Services) est un annuaire autonome
dédié aux applications. Certaines applications nécessitent de modifier le schéma Active
Directory pour fonctionner. Il est recommandé de modifier le moins possible le schéma.
Pour installer ce type d’applications, il est recommandé d’utiliser AD LDS qui est une
portion de l’annuaire AD DS dédié à l’installation des applications. Chaque application
spécialisée peut posséder sa propre instance AD LDS. Les modifications du schéma
n’auront lieu que sur l’instance AD LDS dédiée et pas sur le schéma AD DS.
– Les instances AD LDS sont basées sur le protocole LDAP.
– AD LDS n’est qu’une sorte d’application que l’on installe sur un serveur ou un
poste client.
– AD LDS ne supporte pas les stratégies de groupe.
– AD LDS peut être installé ou désinstallé sans redémarrage du système.
– AD LDS peut utiliser sur la réplication multi maître pour assurer la cohérence des
données.
– AD LDS peut être installé et configuré indifféremment sur des installations
complètes ou minimales de Windows Server 2008.
– Il faut autant que possible éviter d’installer AD LDS sur des contrôleurs de
domaine. La cohabitation avec le rôle AD DS fonctionne très bien mais il est
recommandé de considérer AD LDS comme un rôle spécial du réseau.
– Pour désinstaller AD LDS, il faut d’abord supprimer toutes les instances AD
LDS existante, puis employer le « Gestionnaire de server » pour enlever le rôle AD
LDS.
– Pour installer AD LDS, il suffit de rajouter le rôle depuis le « Gestionnaire de
server ». Sur une installation minimale de Windows Server 2008, il faut procéder de la
manière suivante :
Identifier le package à installer en tapant : oclist | more
Installer le package : start /w ocsetup DirectoryServices-ADAM-ServerCore
NB : Lorsque l’on installe le package, il faut faire attention à la casse.
116
– L’installation d’AD LDS sur une installation complète va créer 20 fichiers et 2
sous-dossiers dans le répertoire %SystemRoot%\ADAM
– L’installation d’AD LDS sur une installation minimale va créer 19 fichiers et 1
sous-dossier dans le répertoire %SystemRoot%\ADAM
– Le répertoire %SystemRoot%\ADAM contient des fichiers « *.LDF » qui sont
utilisés pour peupler les instances d’AD LDS quand elles sont créés.
– Pour créer une instance AD LDS, les éléments suivant doivent être réunis :
Un disque de données présent sur le serveur, distinct du système d’exploitation, qui servira
à héberger les bases de données de l’annuaire.
Un nom significatif pour l’instance AD LDS qui servira à identifier l’application qui sera
attachée à l’instance.
Définir les ports qui seront utilisés pour communiquer avec l’instance. Bien qu’il est possible
d’utiliser les mêmes ports que les services AD DS, il est toutefois recommandé d’utiliser la
plage 50 000.
Définir le nom de la partition d’application qui sera utilisé avec l’instance.
Un compte de service pour faire fonctionner l’instance. S’il existe plusieurs instances, il
est recommandé d’utiliser un compte de service nommé pour chaque instance plutôt que
d’utiliser le compte Service réseau par défaut. La bonne pratique veut que l’on crée un
compte de domaine portant le même nom que l’instance AD LDS, et que ce compte bénéficie
des droits « Ouvrir une session en tant que service » dans la stratégie locale de chaque
serveur qui hébergera l’instance.
Définir un groupe qui contiendra les comptes d’utilisateurs qui administreront l’instance.
Déposer tous les fichiers LDIF supplémentaires dans le dossier %SystemRoot%\ADAM. Il
est également possible d’importer des fichiers LDIF par la suite.
NB : Petit rappel sur les ports AD DS et AD LDS :
Port LDAP : 389
Port LDAP sur SSL / Secure LDAP : 636
Port Catalogue Global : 3268
Port Catalogue Global Sécurisé : 3269
– Les fichiers LDIF par défaut sont les suivants :
MS-ADAM-Upgrade-1.ldf : Met le schéma d’AD LDS au niveau de la dernière version
MS-adamschemaw2k3.ldf : Pré requis pour synchroniser une instance avec Active Directory
sous Windows Server 2003
MS-adamschema2K8.ldf : Pré requis pour synchroniser une instance avec Active Directory
sous Windows Server 2008
MS-AdamSyncMetedata.ldf : Requis pour synchroniser les données entre la forêt AD DS et
une instance d’AD LDS via ADAMSync
117
MS-ADLDS-DisplaySpecifiers.ldf : Requis pour le composant logiciel enfichable Sites et
services Active Directory
MS-AZMan.ldf : Requis pour supporter le Gestionnaire d’autorisations Windows
MS-InetOrgPerson.ldf : Requis pour créer les classes d’utilisateurs InetOrgPerson
MS-User.ldf : Requis pour créer les classes d’utilisateurs et les attributs associés
MS-UserProxy.ldf : Requis pour créer une classe userProxy élémentaire
MS-UserProxyFull.ldf : Requis pour créer une classe userProxy complète
– Pour migrer une instance précédente de LDAP ou ADAM vers AD LDS, il faut
d’abord exporter les données au format « *.ldif » puis les importer à l’aide de la
commande LDIFDE.
– Pour exporter une instance avec LDIFDE, il faut taper la commande suivante :
Ldifde –f [NomDeFichier] –s [NomDeServer:NuméroDePort] –m –b [NomUtilisateur]
[NomDomaine] [MotDePasse]
– Pour importer une instance avec LDIFDE dans AD LDS, il faut taper la
commande suivante :
Ldifde –i [NomDeFichier] –s [NomDeServer:NuméroDePort] –m –b [NomUtilisateur]
[NomDomaine] [MotDePasse]
NB : Le commutateur « –h » permet d’importer les mots de passe de l’instance héritée.
Ce commutateur chiffrera tous les mots de passe en utilisant SASL (Simple
Authentification Security Layer).
– AD LDS crée des journaux pendant la création de l’instance. Ces fichiers sont
localisés dans le dossier %SystemRoot%\Debug et sont
nommés ADAMSetup.log et ADAMSetup_loader.log.
– Pour importer l’un des fichiers « *.ldif » présent dans le
répertoire %SystemRoot%\ADAM, il faut taper la commande suivante :
Ldifde –i –f MS-ADLDS-DisplaySpecifiers.ldf –s [NomDeServer:NomDePort] –m –a
[NomUtilisateur] [NomDomain] [MotDePasse]
118
Chapitre 15
– Le rôle AD CS est basé sur une infrastructure à clé publique (PKI, Public Key
Infrastructure)
– AD CS peut fournir des services de certificat à l’intérieur et à l’extérieur du
réseau
– AD CS comprend les composants suivants :
Autorités de certification (CA) : Les CA (Certificate Authority) sont des serveurs qui peuvent
émettre et gérer des certificats. AD CS prend en charge les CA racine et les CA secondaires,
ou enfants.
Inscription via le web : C’est une interface web à laquelle les clients peuvent se connecter
pour demander un certificat, utiliser des cartes à puce ou obtenir des listes de révocation de
certificat (CRL, Certification Revocation Lists).
Répondeur en ligne : Permet de répondre à des requêtes de validation spécifique et met en
œuvre le protocole OCSP (Online Certificate Status Protocol). Ce système évite de demander
une liste de révocation des certificats complète et permet de soumettre une demande de
validation pour un certificat donné.
Service d’inscription de périphérique réseau : permet d’affecter des certificats à des
équipements réseau tel que des routeurs, des switchs, ou firewall. Grâce aux services
d’inscription NDES (Network Device Enrollment Service) et SCEP (Simple Certificate
Enrollment Protocole), ces équipements qui exécutent des systèmes d’exploitation de bas
niveau peuvent aussi participer à une PKI gérée et maintenue par une installation AD CS.
– AD CS prend en charge deux types de CA : CA Autonome et CA d’entreprise
– Une CA autonome n’est pas nécessairement intégré dans un service d’annuaire
et peut s’exécuter sur des postes de travail. Ce type de CA est souvent utilisé
comme CA racine interne et placées hors ligne pour des raisons de sécurité après qu’on
les a utilisées pour générer des certificats. Les CA autonomes peuvent s’exécuter sur
Windows Serveur 2008 Standard Edition, Windows Server 2008 Enterprise
Edition et Windows Server 2008 Datacenter Edition.
119
– Une CA d’entreprise est intégré à un service d’annuaire AD DS. Ce type
de CA émet des certificats aux utilisateurs finaux et aux autres d’extrémités. Comme ce
type de CA est intégré à AD DS, une CA d’entreprise peut émettre et approuvé des
certificats automatiquement en réponse aux requêtes des membres de l’annuaire.
Les CA d’entreprises peuvent s’exécuter sur Windows Server 2008 Enterprise
Edition et Windows Server 2008 Datacenter Edition.
– Chaque fois qu’un certificat est présenté, ce dernier doit être validé par
une CRL ou par un répondeur en ligne.
– Pour accroitre la sécurité, il faut créer des hiérarchies de CA. Mais attention tout
de même car toute attaque d’une CA de haut niveau ou racine compromet l’ensemble
des certificats qui en dépendent. C’est pourquoi il faut sécuriser les CA racine autant
que possible.
– Il est recommandé de créer une CA racine et au moins une CA émettrice.
La CA racine donnera un certificat à la CA émettrice pour fonctionner. Une fois que
la CA émettrice est opérationnelle, il faudra mettra la CA racine hors ligne pour
empêcher toute attaque éventuelle.
– Exemple de hiérarchie à deux couches :
– Exemple d’architecture à trois couches dans un déploiement
géographique :
NB : Il est conseillé de ne pas créer d’architecture de plus de trois couches. Plus on crée
de couches et plus l’administration deviendra complexe.
– Affectation des CA selon le type de modèle :
Type de CA Une couche Deux couches Trois couches
CA racine
CA d’entreprise (en
ligne)
CA autonome (hors
ligne)
CA autonome (hors
ligne)
CA intermédiaire
CA autonome (hors
ligne)
CA émettrice CA d’entreprise (en
ligne
CA d’entreprise (en
ligne)
NB : Il faut éviter les infrastructures monocouche car elles sont difficiles à protéger
NB : Les CA racines et les CA intermédiaires doivent être mise hors ligne pour plus de
sécurité
120
NB : Il n’est pas possible de transformer une CA autonome en CA d’entreprise et vice
versa une fois AD CS installé, tout comme il n’est pas possible de renommer un serveur
par la suite. Il faut donc prévoir les noms de serveurs en conséquence pour les
conserver longtemps.
NB : Il faut éviter d’installer AD CS sur un contrôleur de domaine même si cela est
possible.
– Les certificats générés contiennent généralement deux clés : Une clé privée et
une clé publique. Pour chiffrer les données ont utilisé la clé privée. Pour déchiffrer les
données il faudra utiliser la clé publique. Ce jeu de clé à une durée de vie limité qui
nécessite un renouvellement de la clé après expiration du certificat afin de générer un
nouveau jeu de clés.
– Les CA racines fonctionnent avec un certificat dont la durée doit être la plus
longue possible. Il y a ensuite les CA intermédiaires et les CA émettrices qui
possèdent également un certificat. Il est possible de fixer un intervalle de 10 ans pour
chaque couche de l’architecture.
– Dans une architecture à trois couches, il est recommandé de définir 30 ans pour
la CAracine, 20 ans pour les CA intermédiaires et 10 ans pour les CA émettrices.
Ensuite, on peut affecter un ou deux ans aux certificats que l’on émettra pour les
utilisateurs.
– Lorsqu’un certificat de serveur expire, tous les certificats enfants expirent
également. C’est pourquoi il faut donner une durée de vie plus longue aux serveurs.
– Il y a révocation quand on doit annuler un certificat pour une raison donnée. La
révocation est la seule méthode pour invalider un certificat mal utilisé.
– La CPS (Certificate Practice Statement) est un document qui relate la politique de
gestion des certificats ainsi que la politique de révocation. Ce document doit être remis
aux utilisateurs sous quelconque forme sur Internet ou des intranets.
– Le rôle AD CS ne peut pas être installé sur Server Core et nécessite une
installation complète de Windows Server 2008.
– AD CS ne peut être installé sur des serveurs basé sur Itanium.
– Il faut penser à sauvegarder chaque CA émettrice avec des sauvegardes :
– Pour restaurer une autorité de certification, il suffit d’opérer comme suit :
121
Chapitre 16
– AD RMS permet d’assurer l’intégrité des données. A l’image des DRM sur les
morceaux de musique, Windows Serveur 2008 améliore le service AD RMS de
Windows Server 2003 afin d’apporter une fonctionnalité de protection supplémentaire
pour la propriété intellectuelle.
– AD RMS s’intègre aux services AD DS et peut également avoir recours aux
Services de Certificat Active Directory. AD CS peut générer les certificats de
l’infrastructure à clés publiques (PKI) qu’AD RMS peut incorporer dans des documents.
– AD FS étend les stratégies AD RMS au-delà du pare-feu.
– AD RMS s’appuie sur une base de données SQL Server 2005 ou 2008 pour y
stocker la configuration et la journalisation d’AD RMS. Dans un environnement de test, il
est possible d’installer AD RMS sur une base de données locale WIS (Windows Internal
Database), qui ne prend pas en charge les connexions à distance.
– AD RMS fonctionne avec un client AD RMS. Ce client est déjà présent dans les
versions de Windows Vista, Windows 7 et Windows Server 2008.
– Les services Internet IIS (Internet Information Services) 7.0 offrent des services
web dont dépendent AD RMS.
– La première fois qu’on installe AD RMS, on créé un cluster racine AD RMS par
défaut. Ce cluster est conçu pour gérer les requêtes de certificat.
– AD RMS est administré via une « mmc ».
– Un serveur AD RMS s’auto-inscrit lors de la création. L’inscription crée un
certificat de licence serveur (SLC, Server Licensor Certificate), ce qui lui permet de
s’exécuter également sur des réseaux isolés sans accès Internet.
– AD RMS contient 4 rôles d’administration qui permettent de déléguer des
tâches :
Administrateur d’entreprise : Permet de gérer tous les aspects du service
Administrateur de modèles : Permet de lister, créer, modifier et exporter des modèles de
stratégie de droits
Auditeurs AD RMS : Permet de gérer des journaux et des rapports.
Groupe de service AD RMS : Contient le compte de service lié à AD RMS
– Un modèle de stratégie de droits AD RMS est une définition des actions
autorisé ou refusé sur une ressource (Autorisation de lire, écrire, copier, imprimer ou
coller).
122
– AD RMS n’est pas pris en charge et ne s’exécute pas dans les installations
Server Core de Windows Server 2008.
– AD RMS utilise des licences au format XrML (Extensible Rights Markup
Language)
– Les prés requis pour l’installation d’AD RMS :
Processeur : un Pentium 4,3 GHz (Recommandé : Deux processeurs Pentium 4,3 GHz)
RAM : 512 Mo (Recommandé : 1024 Mo)
Espace disque : 40 Go (Recommandé : 80 Go)
OS : Windows Server 2008 sauf Web Edition et systems bases sur Itanium (Recommandé :
Windows Server Enterprise Edition ou Datacenter)
Système de fichiers : FAT32 ou NTFS (Recommandé : NTFS)
Messagerie : Message Queuing
Service Web : IIS avec ASP.NET
– Les considérations d’AD RMS :
URL du serveur Web : Réserver des URL qui ne changeront pas
AD DS : Un domaine AD DS exécutant Windows 2000 SP3, Windows Server
2003 ou Windows Server 2003
Emplacement de l’installation : AD RMS doit être installé sur le même domaine que les
utilisateurs
Comptes d’utilisateur du domaine : Adresse de messagerie configurée dans AD DS
Compte de service : Le compte doit être du domaine
Serveurs de base de données : WID (Windows Internal Database) ou SQL Server
2005 avec SP2
Certificat d’installation : Il faut un certificat SSL pour le cluster AD RMS.
Protection de la clé du cluster : Stockez la clé du cluster dans la base de données de
configuration AD RMS
Configuration DNS : créez des enregistrements CNAME personnalité pour l’URL du cluster
racine et le serveur de base de données
Client activé pour AD RMS : Un navigateur ou une application activée pour AD RMS (Word,
Outlook, PowerPoint, IE)
Système d’exploitation client : Windows Vista, Windows 7 ou Windows XP avec le
client AD RMS
– Certificats AD RMS :
Certificat de licence serveur : Certificat auto-signé et généré à l’installation (250 ans)
Certificat de compte de droits : Transmis à des utilisateurs approuvés (certificat RM)
Certificat de licence client : Généré lors du lancement d’une application protégé
Certificat d’ordinateur : Est créé lors de l’activation d’une application pour RMS
Licence de publication : Est créé lorsqu’un utilisateur enregistre du contenu protégé
Licence d’utilisation : Attribué à un utilisateur qui ouvre un contenu protégé
