Guide du certifié 70-646

Guide du certifié 70-646

AZIRI Saïda, MARTINEAU Matthieu et THOBOIS Loïc

www.egilia-learning.com 2/57 EGILIA © All Rights Reserved

Table des matières

1 Implémenter Hyper-V .................................................................. 4

1.1 Présentation d'Hyper-V ................................................................................. 4

1.2 Les technologies de virtualisation actuelles .................................................. 6

1.3 Présentation du rôle Hyper-V ........................................................................ 7

1.4 Pré-requis et licences ..................................................................................... 9

1.5 Installation du rôle Hyper-V ......................................................................... 10 1.5.1 Installation sur une édition Windows Server Core ........................................................ 10 1.5.2 Gestion sur une édition Core ......................................................................................... 11 1.5.3 Installation sur une édition complète ............................................................................ 12

1.6 Administration d’un ou plusieurs serveurs Hyper-V ................................... 14 1.6.1 Introduction aux outils d'administration ....................................................................... 14 1.6.2 Sauvegarde….................................................................................................................. 14 1.6.3 Suivi des performances .................................................................................................. 16 1.6.4 Gestion des machines virtuelle ...................................................................................... 16 1.6.5 Virtual Machine Connection .......................................................................................... 22

1.7 Hyper-V et la haute disponibilité ................................................................. 23

2 Installer une édition Core .......................................................... 25

2.1 Présentation de l’édition Core ..................................................................... 25

2.2 Installation d’une édition Core .................................................................... 25

2.3 Administration d’une édition Core .............................................................. 26

3 Préparation du déploiement d’un système ................................ 27

4 Déployer à l’aide de WDS .......................................................... 28

4.1 Présentation de WDS ................................................................................... 28

5 Gestion d’accès aux ressources .................................................. 30

5.1 Contrôle d’accès........................................................................................... 30 5.1.1 Les entités de sécurité ................................................................................................... 30 5.1.2 Le SID ............................................................................................................................. 30 5.1.3 DACL - Discretionary Access Control List ....................................................................... 30

5.2 Autorisations ................................................................................................ 31 5.2.1 Autorisations standards ................................................................................................. 31 5.2.2 Autorisations spéciales .................................................................................................. 31

5.3 Administration des accès aux dossiers partagés ......................................... 31 5.3.1 Description des dossiers partagés ................................................................................. 31 5.3.2 Partages administratifs .................................................................................................. 32 5.3.3 Création de dossiers partagés ....................................................................................... 32 5.3.4 Publication des dossiers partagés .................................................................................. 32 5.3.5 Autorisations sur les dossiers partagés ......................................................................... 33 5.3.6 Connexion à un dossier partagé .................................................................................... 33

5.4 Administration des accès aux fichiers et dossiers NTFS .............................. 34


5.4.1 Présentation de NTFS .................................................................................................... 34 5.4.2 Autorisations sur les fichiers et dossiers NTFS .............................................................. 34 5.4.3 Impact de la copie et du déplacement sur les autorisations NTFS ................................ 35 5.4.4 Présentation de l’héritage NTFS .................................................................................... 36 5.4.5 Identification des autorisations effectives..................................................................... 36 5.4.6 Cumul des autorisations NTFS et des autorisations de partage .................................... 37

5.5 Mise en place des fichiers hors connexion .................................................. 37 5.5.1 Présentation des fichiers hors connexion ...................................................................... 37

6 Implémentation de l’impression ................................................ 39

6.1 Présentation de l’impression ....................................................................... 39 6.1.1 Terminologie de l’impression ........................................................................................ 39 6.1.2 Types de clients d’impression supportés ....................................................................... 39 6.1.3 Fonctionnement de l’impression ................................................................................... 40

6.2 Installation et partage d’imprimantes ......................................................... 40 6.2.1 Imprimantes locales et imprimantes réseau ................................................................. 40 6.2.2 Installation et partage d’une imprimante ...................................................................... 41

6.3 Autorisations d’imprimantes partagées ...................................................... 41

6.4 Gestion des pilotes d’imprimantes .............................................................. 42

6.5 Changement de l’emplacement du spouleur d’impression ........................ 42

6.6 Définition des priorités d’imprimantes ........................................................ 43

6.7 Planification de la disponibilité des imprimantes ........................................ 43

6.8 Configuration d’un pool d’impression ......................................................... 44

7 Administrer avec PowerShell ..................................................... 45

7.1 1 Présentation .............................................................................................. 45

7.2 Premiers pas ................................................................................................ 45

7.3 Recherche d'aide.......................................................................................... 46

7.4 5 Les commandes courantes ....................................................................... 47

7.5 6 Gestion des alias ( get-alias ) .................................................................... 47

7.6 7 Variables et boucles .................................................................................. 48

7.7 Fonctions ...................................................................................................... 48

7.8 Scripting WMI (Windows Management Instrumentation) .......................... 49

7.9 Le profile PowerShell ................................................................................... 49

7.10 11 Navigation ............................................................................................. 50

7.11 12 Pour aller plus loin... ............................................................................. 50

8 Mise en place d’un Cluster ......................................................... 51

8.1 Windows Server Failover Clustering ............................................................ 51

8.2 Configuration de Windows Server 2008 ...................................................... 53

8.3 Configuration du Quorum MNS à partage témoin ...................................... 55


1 Implémenter Hyper-V

1.1 Présentation d'Hyper-V

Microsoft fait un pas en avant important dans le monde de la virtualisation avec une intégration poussée de cette technologie dans la dernière génération de son système d’exploitation serveur, Windows server 2008.

Ce module de virtualisation sera disponible en version finale 180 jours après la sortie du système d’exploitation.

Cet article a pour but de vous fournir un aperçu des fonctionnalités d’Hyper-V, aussi connu sous le nom de Windows Server Virtualisation ou Viridian.

Toutes les notions et procédures présentées dans cet article sont basées sur la version de Windows Server 2008 RC1 avec Hyper-V bêta.


Un système d’exploitation dédié à la virtualisation appelé Microsoft Hyper-V Server est aussi en préparation. Ce système verra le jour par la suite mais il ne faudra pas confondre Hyper-V (fonctionnalité de Windows 2008) et Hyper-V Server (système dédié et autonome).

1.1 Pourquoi passer à la virtualisation ?

La Virtualisation présente de nombreux avantages :

Réduction des coûts d’acquisition du matériel. Le besoin en serveurs est moins important et l’utilisation du matériel et des ressources est optimisée.

Réduction de la consommation électrique et de la place occupée par les serveurs.


Simplification la mise en place de plateformes de test ou de production en réduisant le temps de mise à disposition d’un serveur. La gestion du parc machine est plus facile ce qui allège la charge des administrateurs.

Augmentation de la disponibilité des serveurs avec une reprise d’activité plus rapide que pour une machine physique…

Réduction du coût total de possession ou TCO (Total Cost of Ownership).

1.2 Les technologies de virtualisation actuelles

Avant de rentrer dans les spécificités de l’implémentation réalisée par Microsoft, voici un état des lieux des technologies et des différentes mises en oeuvre que l’on trouve sur le marché.

La virtualisation peut être définie comme un ensemble de technologies qui permettent de faire fonctionner simultanément plusieurs systèmes d'exploitation sur une seule machine.

Pour cela, on passe par un moniteur de machines virtuelles (aussi appelé hyperviseur ou VMM) qui aura pour charge la virtualisation et la répartition des ressources du matériel physique.

Pour atteindre cet objectif, il est nécessaire que l’exécution des instructions du processeur du système émulé ne soient pas directement réalisée par le CPU physique ce qui outrepasserait le moniteur de machines virtuelles et interférerait avec le système hôte.

Hors l’architecture x86 possède 17 instructions qui sont justement interprétées directement par le processeur ce qui nécessite la mise en place de moyen détournés pour sa virtualisation.

On dénombre trois grandes techniques pour la virtualisation d’un processeur x86 :

L’émulation qui a pour objectif de créer un interpréteur de toutes les instructions du processeur. Les instructions de la machine émulée ne sont donc jamais directement exécutées par le processeur physique. Cette solution est très coûteuse en ressource mais permet une indépendance totale entre l’architecture physique et l’architecture émulée (On peut notamment citer l’émulation d’un processeur x86 sur une architecture PowerPC avec Virtual PC pour Mac).

La virtualisation telle qu’on la connaît (avec des produits comme Virtual Server ou VMware ESX) analyse les instructions pour identifier celles qui sont sensibles et émule le fonctionnement de celles-ci. Les autres


instructions sont exécutées par le processeur ce qui est moins pénalisant que de tout émuler.

La para-virtualisation met en place pour sa part une communication entre le moniteur de machine virtuelle (hyperviseur) et le système invité (émulé). Pour éviter les 17 instructions problématiques, les systèmes invités effectuent des appels au moniteur de machine virtuelle (hypercalls) afin de le prévenir. C’est le principe le plus performant mais il nécessite un système émulé modifié pour fonctionner.

Suite au déploiement rapide de la virtualisation dans les entreprises, les fabricants de processeur Intel et AMD ont intégrés de nouvelles instructions permettant entre autres de faciliter cette virtualisation. Elles permettent notamment de ne plus utiliser les 17 instructions sensibles dans les systèmes émulés et rendent donc les techniques précédentes inutiles dans la plupart des cas.

Tout ceci serait plutôt "simple" si la virtualisation ne concernait que le processeur. Hors tous les composants d’une machine doivent être virtualisés : la mémoire, les contrôleurs de disques et les contrôleurs réseaux.

Concernant la mémoire, il faut intercepter les accès des environnements émulés afin de les rediriger vers des zones mémoires dédiées.

Pour les contrôleurs de disques et réseau, il faut virtualiser les cartes contrôleurs afin d’en tirer le meilleur rendement. La plupart des produits actuels ne font qu’émuler ces périphériques, et perdent ainsi beaucoup en performance.

1.3 Présentation du rôle Hyper-V

Hyper-V se caractérise par les fonctionnalités suivantes:


Virtualisation des serveurs physiques 32 et 64 bits. Permet d’héberger des machines virtuelles multiprocesseurs et 64 bits ce que Virtual Server ne permet pas.

Support de la mise en cluster des machines virtuelles (jusqu'à 16 nœuds). Permet d’assurer la haute disponibilité des machines virtualisées. Les fonctions de géo-cluster permettant de mettre en oeuvre des PRA (plans de reprise d’activité) de grande envergure.

Nouvelle architecture de prise en charge matérielle. Exploite au mieux les instructions dédiées à la virtualisation des processeurs actuels. Facilite l'accès aux périphériques de base (disques, mise en réseau, vidéo, etc.) ainsi que leur utilisation avec l’architecture VSP/VSC (fournisseur et client de services virtuels).

Plus connu sous le nom de « hyperviseur » ou encore « viridian », Hyper-V s’intègre complètement dans Windows Server 2008. Il permet l’émulation de nombreuses machines virtuelles sur une seule machine physique sans qu’il soit nécessaire d’installer un logiciel tiers.

Chaque machine virtuelle tourne dans son propre environnement, ce qui permet une grande flexibilité pour faire tourner plusieurs systèmes d’exploitation et applications.

Actuellement, une multitude de couches se superposent entre le système d’exploitation principal, les pilotes de périphériques, le logiciel de virtualisation et les machines virtuelles. Ce mode de fonctionnement alourdit l’exécution des machines virtuelles qui se retrouvent éloignées du matériel.


L’architecture d’Hyper-V a pour objectif de donner aux machines virtuelles l’accès le plus direct au matériel de la machine physique en réduisant le nombre de couches. Pour cela, le système d’exploitation principal devient une machine virtuelle (appelé parent) fonctionnant au même niveau que les autres. Dans cette architecture, les pilotes s’exécutent dans chaque des machines virtuelles pour un accès rapide aux périphériques.

1.4 Pré-requis et licences

Hyper-V requiert la configuration matérielle minimum suivante pour être installé :

Un processeur 64 bits. En effet, l’hyperviseur ne fonctionne qu’avec des plateformes 64 bits comme Windows Server 2008 x64 Standard, Windows Server 2008 x64 Enterprise et Windows Server 2008 x64 Datacenter.

Une Virtualisation assistée par matériel AMD-V (AMD Virtualization, connu sous le nom de code " Pacifica") ou Intel VT (Virtualization Technologie).

Une protection matérielle de l'exécution des données (Cette fonctionnalité empêche le processeur d’exécuter des instructions en mémoire qui n’ont pas été chargés en tant que programme mais en tant que données).

Concernant les coûts, le prix est très attractif car la licence sera de 28$.

Cette licence intégrera non seulement les droits d’utilisation du rôle Hyper-V mais aussi des licences pour les instances virtuelles qu’il exécutera. Le nombre d’instance fourni avec la licence varie en fonction des éditions de Windows Server 2008. En l’occurrence :

Une instance virtuelle pour Windows Server 2008 Standard. Quatre instances virtuelles pour Windows Server 2008 Enterprise.

Un nombre illimité d’instance pour Windows Server 2008 Datacenter.


1.5 Installation du rôle Hyper-V

L'installation d’Hyper-V peut se faire soit sur une version complète de Windows server 2008, soit sur une version Windows Server 2008 Core Edition

Attention : Pour installer Hyper-V dans la version RC1 de Windows Server 2008, il faut que tous les paramètres lors de l’installation soient en anglais.

Une fois l’installation d’Hyper-V terminée, vous pouvez repasser en Français et en clavier AZERTY.

1.5.1 Installation sur une édition Windows Server Core

L'installation d’Hyper-V sur une version Windows Server 2008 Core Edition se fait en ligne de commande en utilisant la commande ocsetup.exe.


Pour lancer l'installation d'Hyper-V, taper les commandes suivantes :

bcdedit /set hypervisorlaunchtype auto

Start /w ocsetup Microsoft-Hyper-V

Redémarrer le serveur une fois les commandes exécutées.

La première commande permet de charger l’hyperviseur pendant le redémarrage. (Si vous n’exécutez pas cette commande, vous devrez redémarrer deux fois le serveur).

L’hyperviseur est à présent installé sur votre serveur Core.

1.5.2 Gestion sur une édition Core

L’administration de l’hyperviseur se fait depuis une édition complète de Windows Server 2008. En effet, l’interface graphique et beaucoup de composants ne sont pas présents, ce qui a pour effet de réduire les risques de faille de sécurité. De plus, cette configuration permet d'économiser les ressources du serveur sur lequel elle est exécutée (mémoire, processeur etc.).

Pour se connecter à un serveur core distant, utilisez soit la console Hyper-V Manager, soit sélectionnez le composant logiciel enfichable Microsoft Hyper-V Servers dans une console MMC et choisissez « Se connecter à ».


1.5.3 Installation sur une édition complète

L’installation du rôle Windows Server Virtualisation s’effectue depuis la console Server Manager à partir de laquelle on installe le rôle Hyper-V sur le serveur.


La console Server Manager permet une administration simplifiée en utilisant une console centralisée pour ajouter et gérer différents rôles, cette console permet aussi de définir l'état du serveur, visualiser les évènements critiques et analyser les erreurs de configurations.

Une fois installé, le rôle Hyper-V s'ajoute dans la console Server Manager. Déroulez l'arborescence de Rôles. Aller dans Hyper-V depuis la console Server Manager.

Pour supprimer le rôle : Allez dans la console Server Manager. Dans la zone roles Summary, cliquez sur remove roles.


1.6 Administration d’un ou plusieurs serveurs Hyper-V

1.6.1 Introduction aux outils d'administration

Plusieurs moyens sont offerts à l’administrateur pour administrer les machines virtuelles ainsi que le rôle Hyper-V.

Tout d’abord, la console de gestion qui se présente sous la forme d’un composant logiciel enfichable MMC 3.0. Fini donc les consoles sous la forme de page Web. L’interface est simple et intuitive et permet de contrôler au mieux les machines virtuelles. Le rôle Hyper-V est un service qui peut-être arrêté ou redémarré.

Des commandes Powershell ainsi que des API WMI ont été ajoutées pour l’administration et le pilotage d’Hyper-V. Il est donc possible de scripter et de surveiller le rôle avec des scripts PowerShell et VBS.

L’outil de centralisation de la gestion des environnements virtuels de Microsoft SCVMM (System Center Virtual Machine Manager) intégrera aussi dans sa future version la gestion non seulement de l’Hyper-V mais aussi celle de son principal concurrent VMware ESX.

1.6.2 Sauvegarde…

Une nouvelle fonctionnalité est apparue avec Hyper-V. Il s’agit de l’utilisation des snapshots sur les machines virtuelles.


Les snapshots permettent de sauvegarder l’état d’une machine virtuelle lorsqu’elle est en fonctionnement.

Ils archivent les modifications sur le disque virtualisé et enregistrent le contenu de la mémoire vive. Cette mécanique permettant de restaurer le disque à un état antérieur (état au moment de la sauvegarde). Les snapshots utilisent le service VSS (Volume Shadow Service) de Windows Server 2008.

Pour activer les snapshots, il suffit de sélectionner la machine virtuelle, et d’effectuer un clic droit sur Snapshot :

Une fois sélectionné, une sauvegarde de l’état de la machine s’effectue :

La console Server manager offre une vue détaillée des snapshots effectifs sur une machine virtuelle.

On peut effectuer de nombreux snapshots pour une machine virtuelle et revenir sur l’état antérieur d’une machine en appliquant le snapshot souhaité. Même si la machine virtuelle est démarrée, il suffit de cliquer sur revert pour revenir à l’état d’un snapshot antérieur.

Concernant l’administration, il sera possible de créer, d’appliquer, de renommer et de supprimer.


Les snapshots permettent d’effectuer de nombreux tests sur des machines virtuelles et facilitent le diagnostic en environnement de test.

1.6.3 Suivi des performances

L’intégration du rôle Hyper-V installe de nombreux compteurs dans l’analyseur de performance de Windows Server 2008.

Sans détailler l’ensemble des 27 compteurs de performance ajoutés, on remarquera qu’il est possible d’analyser aussi bien l’hyperviseur, que les éléments d’infrastructure (Switch…), que les machines virtuelles ou les services de gestions du rôle Hyper-V.

Une analyse détaillée sera donc réalisable sur l’ensemble des composants du système de virtualisation.

1.6.4 Gestion des machines virtuelle

1.6.4.1 Création d’une machine virtuelle.

Un assistant nommé New Virtual Machine Wizard permet de créer de très simplement une nouvelle machine virtuelle. Cet assistant est disponible dans la console Hyper-V Manager, dans le menu Action en cliquant sur New.


Vous devez ensuite spécifier les informations suivantes pour la machine virtuelle :

Le nom et l’emplacement de la machine virtuelle : Choisir un nom vous permettant d’identifier rapidement la machine et précisez l’emplacement de stockage de l’image si vous ne souhaitez pas la stocker dans le répertoire par défaut.

La quantité de mémoire allouée : La quantité de mémoire vive doit être suffisante pour faire tourner votre configuration avec pour limite 64 Go par machine virtuelle.

La configuration du réseau : Dans l’assistant, vous allez configurer le réseau qu’utilisera la carte réseau virtuelle. La configuration des réseaux utilisables sera détaillée un peu plus loin dans l’article.

Pour ajouter d’autres cartes, il suffira une fois la machine créée de modifier sa configuration et ainsi ajouter un maximum de 8 cartes réseaux virtuelles (optimisées) ainsi que 4 cartes réseaux émulées (compatible PXE).

La configuration des disques durs : Pendant la création, il sera possible de créer un disque sans avoir à passer par l’assistant (nous n’aurons donc pas accès à toutes les options que nous aborderons plus loin) ou de sélectionner un disque existant ou encore de configurer ce paramètre plus tard.

En modifiant la configuration de la machine, il est possible d’ajouter jusqu’à 4 contrôleurs SCSI par machine virtuelle avec 255 disques par contrôleur.

Les paramètres d’installation du système d’exploitation : Si vous souhaitez installer le système d’exploitation juste après avoir créé la machine virtuelle, il suffit de spécifier la méthode d’installation (CD/DVD, disquette virtuelle, réseau) et indiquer le média si nécessaire.


Une fois ces informations saisies, vous pouvez commencer à utiliser votre machine virtuelle ou personnaliser de manière plus détaillée sa configuration.

1.6.4.2 Création d’un disque virtuel

Un disque dur virtuel est représenté par un fichier dont le contenu est utilisé comme un disque physique au sein d’une machine virtuelle.

Lors de la création du disque virtuel à l’aide de l’assistant New Virtual Hard Disk Wizard, on peut choisir entre 3 modes de fonctionnement :


Disques à extension dynamique

Un disque virtuel dynamique a pour but d’optimiser l’espace disque réel utilisé par le fichier (.vhd) représentant le disque dur virtuel.

Le fichier fera environ 3 Mo à sa création même si le disque qu’il représente fait plusieurs Go. Il grossira au fur et à mesure de l’ajout de fichiers.

A noter que la suppression des données sur ce type de disque ne permet pas pour autant d’en réduire la taille. Il faudra compacter le disque en utilisant l’assistant Edit Virtual Hard Disk.

L’objectif du disque de différence est de permettre à une image virtuelle d’avoir comme base une autre image afin que seules les modifications soient enregistrées. Il s’agit d’un cliché différentiel. Cette fonction permet de personnaliser des configurations virtuelles existantes sans modifier les fichiers originaux du disque de la configuration.

Il existe une différence entre les disques d’annulation et les disques de différence : un disque de différence s'applique à un disque dur virtuel uniquement alors que les disques d'annulation s'appliquent à tous les disques durs virtuels associés à une machine virtuelle.

Une fois le type de disque sélectionné, il faut alors choisir entre :

Disques de taille fixe

Un disque virtuel de taille fixe signifie que le fichier occupe sur la partition le même espace que le disque qu’il représente. Si le disque virtuel fait 30Go, le fichier (.vhd) fera 30Go.


L’avantage de cette configuration est qu’il y aura moins de soucis de fragmentation et que le changement de taille à la volée du fichier ne nécessitera pas de ressource.

Il est malgré tout possible d’augmenter la taille du disque virtuel en utilisant l’assistant Edit Virtual Hard Disk qui permettra aussi de passer d’un disque fixe à un disque dynamique et inversement.

Disques d’annulation ou disque de différence.

La création d’un nouveau disque virtuel (Spécifier la taille du disque virtuel).

La copie des données d’un disque physique existant : (crée un VHD qui contient les données du disque physique)

1.6.4.3 Création d’un réseau virtuel

A l’aide de l’assistant Virtual Network Manager, disponible dans la console Hyper-V Manager, il est possible de créer des réseaux virtuels permettant de créer une topologie personnalisée.

Pour cela on distingue trois configurations :

Le réseau interne : permet aux machines virtuelles de communiquer entre-elles via un bouclage local. Cela permet de mettre en place un environnement sécurisé puisque les cartes réseau du serveur physique ne sont jamais utilisées (toutes les entrées/sorties du réseau interne sont stockées dans la mémoire vive).

Les réseaux externes permettent à une ou à plusieurs machines virtuelles d'utiliser l'une des cartes réseau physiques de la machine hôte


pour joindre le réseau de l'entreprise. Chaque réseau externe correspond à une carte réseau sur la machine physique

Les réseaux virtuels personnalisés. Ces réseaux peuvent être isolés des cartes réseau physiques ou bien utiliser l'une d'elles pour se connecter au réseau de l'entreprise

Vous pouvez ajouter, modifier et supprimer des réseaux virtuels pour fournir de nombreux moyens de communications. Chacune de vos cartes réseaux peut être connectée à différents réseaux virtuels.

1.6.4.4 Optimisation de la machine virtuelle

Hyper-V a une orientation clairement tournée vers le marché de la virtualisation des systèmes serveur et seuls les systèmes invités (émulés) suivants bénéficient pour le moment d’une optimisation poussée :

Windows Server 2008 (4 processeur virtuel maximum) Version 32 ou 64 bits.


Windows 2003 server (1 processeur virtuel maximum) Version 32 ou 64 bits.

Pour bénéficier du gain de performances apportées par l'hyperviseur, un ensemble de pilotes et de composants spécifiques doivent être installés dans les machines virtuelles.

Dans le cas d’une migration des machines virtuelles à partir de Virtual Server ou de Virtual PC, il faudra les désinstaller avant la migration).

L’intégration de composants pour les autres OS devrait voir le jour dans les futures versions d’Hyper-V. (Avant la RTPM).

Concernant la prise en charge du système d’exploitation Linux, elle est assurée par une association avec XenSource dont les images sont prises en charge nativement par Hyper-V.

1.6.5 Virtual Machine Connection

L’outil Virtual Machine Connection permet de prendre le contrôle des machines virtuelles distantes ou locales. Grâce à cet outil, vous pouvez vous connecter sur le serveur virtuel distant et utiliser votre clavier et votre souris physique. Vous contrôlez ainsi la machine virtuelle de la même façon qu’avec l’outil VMRC sous Virtual server.


Cet outil utilise le protocole RDP pour transférer le déport de l’écran, du clavier et de la souris des machines virtuelles.

1.7 Hyper-V et la haute disponibilité

Les services de mise en cluster de Windows Server 2008 prennent en charge la haute disponibilité des machines virtualisées.

L’intégration forte dont bénéficie la virtualisation avec le système d’exploitation apporte des avantages importants par rapport à ce qui était réalisable avec Virtual Server 2005 R2.

En effet, sous Virtual Server, c’était l’application Virtual Server elle-même qui était mise en cluster par l’intermédiaire de scripts. Il était donc difficile de granulariser la configuration de mise en cluster au niveau de la machine virtuelle et donc tout aussi difficile de répartir la charge des machines virtuelles sur plusieurs nœuds du cluster.

Avec Windows Server 2008, se sont les machines virtuelles qui deviennent les ressources du système de clustering. Il est donc possible de créer une


configuration de mise en cluster spécifique à chaque machine virtuelle et ainsi définir sur quel nœud chaque machine va s’exécuter.

Associé aux de géo-cluster, le système permettra de déployer des plans de reprise d’activité. Ceci assurera une haute disponibilité aussi bien dans le cas d’interruptions planifiées (pour maintenance) que dans le cas de catastrophes.

Voici les étapes permettant de mettre en place la haute disponibilité d’une machine virtuelle :

Installez à l’aide de la console Server Manager le rôle « Hyper-V » ainsi que la fonctionnalité « Failover Clustering » sur chaque serveur physique qui sera membre du cluster.

Créez le cluster à l’aide de l’assistant de création de cluster. Créez une nouvelle machine virtuelle à l’aide de l’assistant de création de

machine virtuelle en vous assurant de stocker l’image dans un emplacement accessible à l’ensemble des serveurs du cluster.

Dans l’outil d’administration du cluster, lancez l’Assistant Haute disponibilité afin de configurer la mise en cluster de la machine virtuelle de votre choix.


2 Installer une édition Core

2.1 Présentation de l’édition Core

Lorsque vous installez Windows Server 2008, vous avez le choix entre une installation complète ou réduite (les fameuses versions Core).

Server Core est une édition épurée de toutes les applications et outils non nécessaires à l’exécution des 8 rôles suivants :

Serveur Web (IIS) Serveur de fichiers et d’impression Virtualisation (Hyper-v) Contrôleur de domaine (AD DS) Annuaire applicatif (AD LDS) Serveur DHCP Serveur DNS Serveur de streaming multimédia(QWAVE)

Les fichiers applications et services non utiles à l’exécution de ces huit rôles ont été purement et simplement retirés du système. En sus d’occuper moins d’espace disque, cet environnement minimaliste offre :

De meilleures performances (moins de services sont exécutés) Une sécurité accrue (en réduisant la surface d’attaque) Une maintenance simplifiée (de nombreux patchs ne seront pas

nécessaires aux versions Core)

2.2 Installation d’une édition Core

L’installation est classique jusqu’au démarrage où l’on ne voit qu’une invite de commande. Cette invite sera le seul compagnon de l’administrateur étant donné que l’interface graphique (explorer.exe et autres dépendances) n’est pas incluse.


Pour faciliter l’administration à partir de cette invite, de nouvelles commandes ont été intégrées au système pour permettre le contrôle de toutes les fonctionnalités.

2.3 Administration d’une édition Core

Certains composants graphiques restent utilisables comme le Bloc-notes ou le Gestionnaire des tâches. Cependant tous les logiciels volumineux ou critiques en termes de sécurité ont été retirés. Voici quelques exemples d’applicatifs qui ne sont pas intégrés aux versions Core :

Windows Explorer Panneau de configuration Internet Explorer / Windows Mail Media Player Les consoles MMC Wordpad/ Paint

Focus :

La commande dcpromo ne pouvant pas être lancée en mode graphique, il est nécessaire d’utiliser un fichier de réponse pour installer Active Directory (rôle AD DS).

Ce fichier de réponse doit être généré à partir d’une installation classique (non Core) de Windows Server 2008.


3 Préparation du déploiement d’un système


4 Déployer à l’aide de WDS

4.1 Présentation de WDS

WDS correspond au nouveau système de déploiement de Microsoft. D’abord intégré comme composant additionnel de Windows Server 2003 (avec le SP2), il est dorénavant devenu un rôle à part entière.

Rappelons que WDS supporte le format d’image WIM, qui est le nouveau format des package des OS Microsoft et que Windows VISTA et Windows 2008 sont distribué dans ce format.

La principale nouveauté de WDS sous Windows Server 2008 est l’intégration d’un composant nommé « Transport Server » et ajoutant le support du multicast.

Plusieurs options sont disponibles pour déployer des images en multicast :

Session automatique (Auto-Cast) : le serveur WDS envois les données dès que le premier client se connecte (si un second client se connecte il récupère les données en cours d’upload)

Session programmées (Scheduled Cast) : dans ce cas, l’envoi des données démarre à une heure précise ou bien lorsqu’il y a un nombre précis de client connectés au serveur.


Remarque : Microsoft ne fournit pas de client multicast graphique (la connexion des clients au serveur WDS passe par l’exécution de la commande « wdsmcast.exe »). Les images de Windows PE n’intègrent pas toutes ce composant. Il peut être récupéré dans le kit d’installation automatisé (WAIK) pour Windows Server 2008.


5 Gestion d’accès aux ressources

5.1 Contrôle d’accès

Le système de contrôle d’accès dans Windows Server est basé sur trois composants qui permettent la définition du contexte de sécurité des éléments du système.

Ces trois éléments sont :

Les entités de sécurité (utilisateurs, ordinateurs, groupes)

Le SID

DACL – Discretionary Access Control List

5.1.1 Les entités de sécurité

Les entités de sécurité peuvent être un compte utilisateur, d’ordinateur ou un groupe. Ils permettent d’affecter l’accès à un objet en le représentant dans le système informatique.

5.1.2 Le SID

Toutes les entités de sécurité sont identifiées dans le système par un numéro unique appelé SID.

Ce SID est lié à la vie de l’objet, ainsi si l’on supprime un groupe et qu’on le recrée ce même groupe juste après (même nom, mêmes propriétés), celui-ci se verra attribuer un nouveau SID.

L’ensemble des définitions de sécurité étant basé sur ce SID, les accès donnés au groupe supprimé ne seront pas transférés au nouveau groupe.

5.1.3 DACL - Discretionary Access Control List

Les DACL sont associées à chaque objet sur lequel on va définir un contrôle d’accès.

Les DACL sont composées d’ACE (Access Control Entry) qui définissent les accès à l’objet.

Les ACE se composent de la façon suivante :

Le SID de l’entité à qui l’on va donner ou refuser un accès.

Les informations sur l’accès (ex : Lecture, Ecriture, …)


Les informations d’héritage.

L’indicateur de type d’ACE (Autoriser ou refuser).

A chaque tentative d’accès à une ressource, cette liste sera parcourue afin de déterminer si l’action voulue peut être réalisée.

5.2 Autorisations

5.2.1 Autorisations standards

Les autorisations permettent de fixer le niveau d’accès qu’ont les entités de sécurité (pour un compte utilisateur, groupe d’utilisateurs ou ordinateur) sur une ressource.

Les ressources utilisant ce système d’autorisations pour réguler leurs accès sont multiples (Registre, Fichiers, Imprimantes, Active Directory, …)

5.2.2 Autorisations spéciales

Les autorisations standards sont limitées aux actions de base sur un objet (ex : Lecture, Modifier, Contrôle Total, …). Aussi pour pouvoir granuler de façon plus précise les autorisations, vous avez accès via le bouton « Avancé » à une liste étendue d’autorisations.

5.3 Administration des accès aux dossiers partagés

5.3.1 Description des dossiers partagés

Le partage d’un dossier permet de rendre disponible l’ensemble de son contenu via le réseau.

Par défaut, lors de la création d’un partage, le groupe « Tout le monde » bénéficie de l’autorisation « Lecture ».

Il est possible de cacher le partage d’un dossier en ajoutant le caractère « $ » à la fin du nom. Pour pouvoir y accéder, il sera obligatoire de spécifier le chemin UNC complet (\\nom_du_serveur\nom_du_partage$).


5.3.2 Partages administratifs

Windows Server crée automatiquement des partages administratifs. Les noms de ces partages se terminent avec un caractère $ qui permet de cacher le partage lors de l'exploration par le réseau. Le dossier système (Admin$), la localisation des pilotes d'impression (Print$) ainsi que la racine de chaque volume (c$, d$, …) constituent autant de partages administratifs.

Seuls les membres du groupe « Administrateurs » peuvent accéder à ces partages en accès Contrôle Total.

Le partage IPC$ permet l’affichage des ressources partagées (dossiers partagés, imprimantes partagées).

5.3.3 Création de dossiers partagés

Sur des machines Windows Server en mode autonome ou serveur membre, seuls les membres des groupes « Administrateurs » et « Utilisateurs avec pouvoirs » peuvent créer des dossiers partagés.

Sur des machines contrôleurs de domaine Windows Server, seuls les membres des groupes « Administrateurs » et « Opérateurs de serveurs » peuvent créer des dossiers partagés.

Pour pouvoir créer un partage vous avez trois possibilités :

L’outil d’administration Gestion de l’ordinateur à l’aide du composant logiciel enfichable « Dossiers partagés ».

L’explorateur par le biais du menu contextuel de tous les dossiers de l’arborescence.

La commande NET SHARE (net share NomDossierPartagé=Unité:Chemin).

5.3.4 Publication des dossiers partagés

Grâce à Active Directory, il est possible aux utilisateurs de retrouver un partage du domaine en faisant une recherche sur des mots clés.

Pour mettre en place cette fonctionnalité, il suffit de créer un objet « Dossier partagé » à l’aide de la console « Utilisateurs et ordinateurs Active Directory » et de spécifier lors de sa création, le chemin UNC permettant d’accéder physiquement à ce partage (l’objet Active Directory n’étant qu’un raccourci vers la ressource physique).


Il est aussi possible d’automatiser cette tâche en cochant l’option « Publier ce partage dans Active Directory » à l’aide de l’outil d’administration « Gestion de l’ordinateur » et du composant enfichable « Dossiers Partagés » directement sur le serveur qui héberge la ressource.

Suite à la publication, rien ne vous empêche si le serveur hébergeant le partage de fichier tombe en panne de modifier le raccourci de l’objet Active Directory pour le faire pointer vers un nouveau serveur accueillant le partage temporairement. Les utilisateurs ne perdent donc pas la trace de leurs ressources.

5.3.5 Autorisations sur les dossiers partagés

Chaque dossier partagé peut être protégé par une ACL qui va restreindre son accès spécifiquement aux utilisateurs, groupes ou ordinateurs qui y accèdent via le réseau.

Il existe trois niveaux d’autorisations affectables :

Lecture : Permet d’afficher les données et d’exécuter les logiciels.

Modifier : Comprend toutes les propriétés de l’autorisation lecture avec la possibilité de créer des fichiers et dossiers, modifier leurs contenus et supprimer leurs contenus.

Contrôle total : Comprend toutes les propriétés de l’autorisation Modifier avec la possibilité de modifier aux travers le réseau les autorisations NTFS des fichiers et dossiers.

Les trois niveaux d’autorisations sont disponibles en « Autoriser » ou en « Refuser » en sachant que les autorisations de refus sont prioritaires.

Pour affecter des autorisations de partage, vous avez deux solutions :

A l’aide de l’outil d’administration « Gestion de l’ordinateur » et du composant enfichable « Dossiers Partagés ».

A l’aide de l’explorateur dans les propriétés du dossier partagé.

5.3.6 Connexion à un dossier partagé

Afin qu’un client puisse accéder à un dossier partagé, plusieurs moyens sont disponibles :

Favoris réseau : Permet de créer des raccourcis vers les partages désirés.

Lecteur réseau : Permet d’ajouter le dossier partagé directement dans le poste de travail en lui attribuant une lettre.

Exécuter : Permet d’accéder ponctuellement à la ressource en spécifiant simplement le chemin UNC d’accès à la ressource.


5.4 Administration des accès aux fichiers et dossiers NTFS

5.4.1 Présentation de NTFS

NTFS est un système de fichiers qui offre les avantages suivants :

Fiabilité : NTFS est un système de fichiers journalisé. En cas de problème, ce journal sera utilisé pour analyser les parties du disque qui ont posé problème (cela évite le scandisk de l’intégralité du disque que l’on avait sous Windows 98).

Sécurité : Le système NTFS prend en charge le cryptage de fichiers avec EFS. EFS permet d’éviter des problèmes comme l’espionnage industriel en empêchant l’exploitation des données même si le disque dur est volé. NTFS permet aussi l’utilisation d’autorisations NTFS qui permettent de restreindre l’accès aux données de la partition.

Gestion du stockage : NTFS permet la compression de données transparente pour tous les fichiers stockés sur la partition. Il permet aussi l’implémentation de la gestion de quotas pour restreindre de façon logique l’espace dont peut bénéficier un utilisateur sur une partition.

L’utilisation de systèmes de fichiers comme FAT et FAT32 est recommandée uniquement pour faire du dual boot entre des systèmes Windows recents et d’autres systèmes d’exploitation tels que DOS 6.22, Win 3.1 ou Win 95/98.

Utilisez convert.exe pour convertir les partitions FAT ou FAT32 vers NTFS.

Les partitions NTFS ne peuvent pas être converties vers FAT ou FAT32, la partition doit

alors être effacée et recréée en tant que FAT ou FAT32.

5.4.2 Autorisations sur les fichiers et dossiers NTFS

Les autorisations NTFS permettent de définir les actions que vont pouvoir effectuer les utilisateurs, groupes ou ordinateurs sur les fichiers.

Autorisations sur les fichiers

Contrôle total : Dispose de toutes les autorisations de Modification avec la prise de possession et la possibilité de modifier les autorisations du fichier.

Modification : Permet de modifier, supprimer, lire et écrire les fichiers.

Lecture et exécutions : Permet de lire les fichiers et d’exécuter les applications.

Ecriture : Permet d’écraser le fichier, de changer ses attributs et d’afficher le propriétaire.


Lecture : Permet de lire le fichier, d’afficher ses attributs, son propriétaire et ses autorisations.

Autorisations sur les dossiers

Contrôle total : Dispose de toutes les autorisations de « Modification » avec la prise de possession et la possibilité de modifier les autorisations du dossier.

Modification : Dispose de toutes les autorisations de « Ecriture » avec la possibilité de supprimer le dossier.

Lecture et exécutions : Permet d’afficher le contenu du dossier et d’exécuter les applications.

Ecriture : Permet de créer des fichiers et sous-dossiers, de modifier ses attributs et d’afficher le propriétaire.

Lecture : Affiche les fichiers, sous-dossiers, attributs de dossier, propriétaire et autorisations du dossier.

Affichage du contenu des dossiers : Affichage seul du contenu direct du dossier.

5.4.3 Impact de la copie et du déplacement sur les autorisations NTFS

Toutes les opérations de copie héritent des autorisations du dossier cible. Seul le déplacement vers la même partition permet le maintien des autorisations.

Les fichiers déplacés depuis une partition NTFS vers une partition FAT perdent leurs attributs et leurs descripteurs de sécurité.

Les attributs de fichiers pendant la copie/déplacement d’un fichier à l’intérieur d’une partition ou entre deux partitions sont gérés ainsi:

Copier à l’intérieur d’une partition : Crée un nouveau fichier identique au fichier original. Il hérite des permissions du répertoire de destination.

Déplacer à l’intérieur d’une partition : Ne crée pas un nouveau fichier. Il y a seulement une mise à jour des pointeurs du dossier. Garde les permissions appliquées à l’origine au fichier.

Déplacer vers une autre partition : Crée un nouveau fichier identique à l’original et détruit le fichier original. Le nouveau fichier hérite des permissions du répertoire de destination.


5.4.4 Présentation de l’héritage NTFS

Sur le système de fichiers NTFS, les autorisations que vous accordez à un dossier parent sont héritées et propagées à tous les sous-dossiers, et les fichiers qu’il contient. Tous les nouveaux fichiers et dossiers créés dans ce dossier hériteront aussi de ces permissions.

Par défaut, toutes les autorisations NTFS d’un dossier créé seront héritées par les dossiers et fichiers qu’il contiendra.

Il est possible de bloquer cet héritage (pour des raisons de sécurité) afin que les permissions ne soient pas propagées aux dossiers et aux fichiers contenus dans le dossier parent.

Pour bloquer l’héritage des permissions, afficher les propriétés du dossier, allez dans l’onglet Sécurité, puis cliquez sur le bouton « Paramètres avancés » désactiver la case à cocher « Permettre aux autorisations héritées du parent de se propager à cet objet et aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici.».

Dans la nouvelle fenêtre, cliquez sur Copier si vous souhaitez garder les autorisations précédemment héritées sur cet objet, ou alors cliquez sur Supprimer afin de supprimer les autorisations héritées et ne conserver que les autorisations explicitement spécifiées.

5.4.5 Identification des autorisations effectives

Lorsque vous accordez des autorisations à un utilisateur, à un groupe ou à un utilisateur, il est parfois difficile de s’y retrouver avec par exemple les groupes auxquels un utilisateur peut appartenir et les autorisations héritées.

Lorsque l’on définit des autorisations, il est possible qu’un même utilisateur obtienne plusieurs autorisations différentes car il est membre de différents groupes.

Dans ce cas, les autorisations se cumulent et il en résulte l’autorisations la plus forte (ex : lecture + contrôle total contrôle total).

Lorsqu’un utilisateur ne se trouve pas dans la DACL de l’objet, il n’a aucune autorisation dessus. C’est une autorisation « Refuser » implicite.

Les autorisations sur les fichiers sont prioritaires aux autorisations sur les dossiers.


Les autorisations « Refuser » sont prioritaires sur les autres autorisations et ceci dans TOUS les cas (ex : contrôle total + refuser lecture La lecture sera bien refusée).

Le propriétaire à la possibilité d’affecter les autorisations qu’il désire sur tous les fichiers dont il est le propriétaire même si il n’a pas d’autorisations contrôle total dessus.

Un administrateur qui doit modifier les autorisations sur un fichier NTFS doit tout

d’abord se l’approprier.

Il est possible de vérifier les permissions effectives d’un utilisateur à l’aide de l’onglet Autorisations effectives de la fenêtre de paramètres de sécurité avancé.

5.4.6 Cumul des autorisations NTFS et des autorisations de partage

Lorsqu’ un utilisateur est sujet aussi bien aux autorisations NTFS qu’aux autorisations de partage, ses permissions effectives s’obtiennent en combinant le niveau maximum d’autorisations indépendamment pour les autorisations NTFS et pour les autorisations de partage (ex : Lecture pour les autorisations de partage et modification pour les autorisations NTFS).

Une fois les deux autorisations définies, il suffit de prendre la plus restrictive des deux.

Exemple :

Partage – lecture + NTFS – contrôle total lecture

et inversement

Partage – contrôle total + NTFS – lecture lecture

5.5 Mise en place des fichiers hors connexion

5.5.1 Présentation des fichiers hors connexion

Les fichiers Hors Connexion remplacent le Porte-Documents et fonctionnent de manière similaire à l’option « Visualiser Hors-Connexion » d’Internet Explorer. Ainsi il est possible pour les utilisateurs itinérants de continuer à accéder à leurs ressources réseau alors qu’ils sont déconnectés de celui-ci.


Pour activer la fonction de mise hors-connexion côté serveur, il suffit de partager un dossier et d’activer son cache afin de le rendre disponible hors connexion. Trois modes de mise en cache sont alors disponibles :

- Cache manuel pour les documents : réglage par défaut. Les utilisateurs doivent spécifier quels documents ils souhaitent rendre disponibles hors connexion.

- Cache automatique pour les documents : tous les fichiers ouverts par un utilisateur sont mis en cache sur son disque dur pour une utilisation hors connexion – les versions anciennes du document sur le disque sont automatiquement remplacées par des versions plus récentes du partage quand elles existent.

- Cache automatique pour les programmes : cette mise en cache est unidirectionnelle et ne concerne que les fichiers dont les modifications des utilisateurs doivent être ignorées (ex : tarifs, applications, …). Elle permet notamment un gain de performance car les fichiers sont alors consultés en local et non pas sur le réseau. Elle est activée via l’option « Optimisé pour les performances ».

La mise en cache peut être aussi activée par la commande NET SHARE et le

commutateur /cache.

L’utilitaire de Synchronisation, vous permet de spécifier les fichiers qui seront synchronisés, le type de connexion employée pour cette synchronisation (pour empêcher par exemple une synchronisation lorsque l’on est connecté au réseau à distance via un modem) et le moment où cette synchronisation est effectuée (lors d’une connexion, d’une déconnexion, lorsque l’ordinateur est en veille,…).

Lorsque vous synchronisez, si vous avez édité un fichier hors connexion et qu’un autre utilisateur a fait de même, alors, il vous sera demandé si vous souhaitez :

Garder et renommer votre exemplaire

Écraser votre exemplaire avec la version disponible sur le réseau

Écraser la version disponible sur le réseau et perdre les modifications de l’autre utilisateur


6 Implémentation de l’impression

6.1 Présentation de l’impression

6.1.1 Terminologie de l’impression Pilote d’impression : Logiciel permettant d’implémenter sur l’ordinateur le langage

de communication de l’imprimante.

Tâche d’impression : Tout document qui est envoyé pour être imprimé.

Serveur d’impression : Ordinateur centralisant les tâches d’impression et gérant la file d’attente d’impression. Il contient le pilote d’imprimante propre à chacun des périphériques d’impression connectés. Ce pilote est disponible dans la version de chacun des clients qui vont utiliser le serveur pour demander des travaux d’impression (Windows 95, 98, NT, 2000, 2003, …).

Imprimante : C’est l’interface logicielle qu’il y a entre le périphérique d’impression et Windows. Concrètement, le file d’attente du périphérique d’impression (à ne pas confondre avec votre Epson ou votre Canon).

Spouleur d’impression : Le spouleur d’impression est chargé de recevoir, stocker et d’envoyer vers le bon périphérique d’impression, les tâches d’impression.

File d’attente d’impression : C’est l’ensemble des tâches d’impression dans leurs ordre d’arrivée.

Port Imprimante : Interface logique de communication avec le périphérique d’impression.

Périphérique d’impression : C’est le périphérique physique réalisant les tâches d’impression (c’est votre Epson, votre Canon, …).

6.1.2 Types de clients d’impression supportés

Clients Microsoft

Les clients 32 bits & 64 bits Microsoft (à partir de Windows 95), sont capables de télécharger les pilotes d’impressions directement à partir du serveur d’impression. Ceci se fait à l’aide du partage administratif print$.

Pour les clients 16 bits Microsoft (famille MS-DOS), l’installation des pilotes est manuelle sur chaque poste client en ayant pris soin de télécharger les bonnes versions de pilotes.

Clients UNIX

Les clients UNIX nécessitent l’installation des services d’impression Microsoft pour UNIX. Les clients se connectent au serveur LPD en suivant les spécifications LPR.

Clients IPP (Internet Printing Protocol)


Le support des clients IPP est assuré sous Windows à la suite de l’installation de IIS (Internet Information Services) ou de PWS (Personal Web Server).

6.1.3 Fonctionnement de l’impression

Il existe deux méthodes dans un environnement Windows d’imprimer :

Impression sans serveur d’impression

Dans ce cas, les différents clients se connectent directement à l’imprimante réseau (cette imprimante doit être équipée d’une carte réseau intégrée).

Inconvénients de cette méthode:

Chacun des clients hébergent sa propre file d’attente, impossible de connaître sa position par rapport aux autres clients.

Les messages d’erreur sont retournés uniquement vers le client dont la tâche d’impression est en cours.

Le spouling est réalisé sur le client et non pas sur le serveur ce qui engendre une charge de travail supplémentaire sur le client.

Impression avec serveur d’impression

Dans ce cas, les différents clients se connectent via un serveur d’impression qui peut être lui-même connecté à une imprimante réseau ou directement relié au périphérique d’impression.

Avantages de cette méthode:

Le serveur gère la distribution des pilotes aux clients.

La file d’attente est unique pour tous les clients qui peuvent donc voir de façon effective leur position dans la file d’attente.

Les messages d’erreur sont retournés sur tous les clients dont la tâche d’impression est en cours.

Certains traitements sont transmis et réalisés directement par le serveur d’impression.

6.2 Installation et partage d’imprimantes

6.2.1 Imprimantes locales et imprimantes réseau

Une imprimante locale est une imprimante qui va être directement reliée au serveur d’impression par un câble de type USB, parallèle (LPT) ou Infrarouge (IR).


Une imprimante réseau est une imprimante qui va être reliée au serveur d’impression via l’infrastructure réseau et la mise en place d’un protocole réseau comme TCP/IP, IPX/SPX ou AppleTalk.

6.2.2 Installation et partage d’une imprimante

Vous devez avoir les privilèges d’Administrateur afin d’ajouter une imprimante à votre serveur. L’assistant d’Ajout d’imprimante vous guide pendant tout le processus qui vous permettra de définir quel périphérique d’impression est disponible, sur quel port physique le périphérique d’impression est branché, quel pilote utiliser, ainsi que le nom du périphérique d’impression sous lequel il sera connu sur le réseau.

Dans le cas d’une imprimante réseau, il est nécessaire de créer un port TCP/IP avec l’adresse IP de l’imprimante réseau.

Le partage d’une imprimante se fait dans les mêmes conditions que l’ajout d’une imprimante, c’est à dire qu’il faut être Administrateur. Un clic droit sur l’imprimante, puis Propriétés, là il faut choisir l’onglet Partage. Choisir le nom de partage de l’imprimante sur le réseau, et ensuite ajouter tous les pilotes nécessaires aux clients qui vont utiliser cette imprimante (en cliquant sur ‘Pilotes supplémentaires’).

Le partage d’une imprimante sur un serveur membre publie l’imprimante

automatiquement dans Active Directory. Pour annuler cette publication, décocher

l’option « Lister dans l’annuaire ».

6.3 Autorisations d’imprimantes partagées

Il existe trois niveaux d’autorisations pour définir les accès d’une imprimante partagée :

Impression : L’utilisateur peut imprimer des documents.

Gestion des documents : L’utilisateur ne peut pas imprimer mais il peut gérer complètement la file d’attente de l’impression.

Gestion d’imprimantes : Permet de modifier les autorisations de l’imprimante, de gérer la file d’attente et d’imprimer.

Le principe de gestion de cette ACL est identique à la gestion des ACL du système de fichiers NTFS.


6.4 Gestion des pilotes d’imprimantes

Windows Server 2008 offre le téléchargement automatique des pilotes pour les clients qui tournent sous Windows 2008, Windows Vista, Windows 2003 et Windows XP.

La plate-forme 64 bits est aussi supportée.

Cela est transmis au client via le partage administratif print$ sur le serveur d’impression.

6.5 Changement de l’emplacement du spouleur d’impression

Le spouleur d’impression est un exécutable prenant en charge la gestion de l’impression.

Il effectue notamment les taches suivantes :

Gestion de l’emplacement des pilotes imprimantes.

Récupération des documents, stockage et envoi à l’imprimante.

Planification du travail d’impression.

Par défaut, le spouleur d’impression se trouve dans le répertoire système à l’emplacement %SystemRoot%\System32\Spool\Printers.

Il peut être nécessaire de changer son emplacement pour des questions de performances ou d’espace disque.

En effet, l’accès aux fichiers système et au répertoire du spouleur simultanément réduit les performances du serveur car la tête de lecture du disque va faire des allers-retours incessants.

De plus, des problèmes de fragmentation de fichiers pourraient apparaître sur le disque au vu des écritures multiples.

Le déplacement du fichier du spouleur est aussi utile dans le simple cas de la saturation du disque dur qui le contient.

Il est aussi intéressant de pourvoir définir des quotas (en terme de taille de fichier et non en terme de nombre d’impressions) en utilisant la fonctionnalité de quotas du système de fichiers NTFS. Pour cela il est indispensable d’isoler les fichiers du spouleur sur un volume dédié.


Pour finir, une simple implémentation d’un système de disques durs à tolérance de pannes incite à déplacer les fichiers du spouleur.

En prenant en compte l’ensemble de ces considérations, il est conseillé de déplacer les fichiers du spouleur sur un disque dédié possédant son propre contrôleur de disques.

Une fois la décision prise, il suffit d’aller dans le panneau de configuration « Imprimantes et télécopieurs », puis dans le menu fichier et de cliquer sur « Propriétés de Serveur d’impression ».

Ensuite dans « Avancé », de modifier le champ « Dossier du spouleur ».

Une fois la modification effectuée, il vous suffit de redémarrer le spouleur (NET STOP SPOOLER et NET START SPOOLER).

Il est recommandé que les travaux d’impression en cours soient finis avant de déplacer

les fichiers du spouleur.

6.6 Définition des priorités d’imprimantes

Les priorités d’impression sont fixées en créant plusieurs imprimantes logiques qui pointent vers le même périphérique d’impression et en leur assignant individuellement des priorités.

L’échelle des priorités va de 1 (la plus faible, par défaut) à 99, la plus forte. Il faut ensuite limiter via l’onglet sécurité l’utilisation de chacune des imprimantes aux bons utilisateurs.

Pour mettre en place les priorités d’une imprimante, il suffit de se rendre dans l’onglet Avancé, puis de remplir la zone ‘Priorité’ avec la valeur voulue.

Les priorités ne sont prises en compte qu’au niveau de la file d’attente, donc si un long

travail d’impression est en cours, même l’arrivée d’un travail prioritaire n’arrètera pas le

travail en cours.

6.7 Planification de la disponibilité des imprimantes

Afin de pouvoir relayer un certain nombre d’impressions à des plages horaires précises (des gros travaux d’impression que l’on souhaite réaliser la nuit), il est possible de spécifier dans les propriétés de l’imprimante une plage horaire de disponibilité qui permettra à tous les documents envoyés


à cette imprimante (et ce, quelque soit le moment de la journée) de pouvoir être réalisés uniquement pendant la plage horaire de disponibilité de l’imprimante.

Il est conseillé lors de la mise en place de la planification de la disponibilité de l’imprimante de créer deux imprimantes pointant vers le même périphérique d’impression et de restreindre l’accès de cette imprimante à l’aide de l’onglet sécurité.

6.8 Configuration d’un pool d’impression

Si vous avez de grosses charges d’impression, vous pouvez utiliser un ou plusieurs périphériques d’impression identiques pour ne faire qu’une imprimante logique. C’est le Print Pooling (Pool d’impression). Le pool d’impression ne comporte pas nécessairement que des périphériques d’impression locaux, il peut aussi comporter des périphériques d’impression munis de carte (interface) réseau.

Quand un travail d’impression sera réceptionné par le serveur, alors, il sera envoyé au premier périphérique d’impression qui sera disponible.

Pour créer un pool d’impression, il faut se rendre dans l’onglet « Port », puis cliquer sur la case « Activer le pool d’imprimante » et il ne reste plus qu’à choisir sur quels ports sont connectés les périphériques d’impression.


7 Administrer avec PowerShell

7.1 1 Présentation

PowerShell s’apparente fortement aux différents Shell que l’on peut trouver dans le monde UNIX en en reprenant la philosophie de base mais en ajoutant des fonctionnalités supplémentaires.

On utilise ainsi de petites commandes simples que l’on va combiner à l’aide de pipe pour créer des fonctions complètes.

Les principales caractéristiques de PowerShell sont les suivantes:

Langage orienté objet: Ainsi lorsque l'on récupère une liste à la suite d'une commande, il ne sagit pas d'une simple liste mais bien d'objet avec leurs propriétés et leurs méthodes.

Accès complet aux assemblies du framework .NET 2.0: Tous les objets du framework .NET peuvent être instancié dans PowerShell donnant accès à un nombre trés importants de fonctions.

Extensibilité: Vous pouvez créer vos propres cmdlets (nom d'une commande PowerShell) afin de rendre scriptable vos applications facilements.

Objet COM: Vous pouvez utiliser les objets COM Windows dans vos scripts.

XML: Intégration poussée avec le XML.

7.2 Premiers pas

La convention de nom des cmdlets est composée de deux parties:

Le verbe qui va indiquer l'action qui va être réalisée (new, set, get, enable, disable, remove, ...).

Le nom de l'objet sur lequel la cmdlets va s'appliquer (Service, Mailbox, MailBoxDatabase, ...).

PS > Get-Service

Dans cet exemple, la commande Get-Service renvoie la liste des objets services du serveur avec leurs états.


PS > Get-Service | Get-Member

En ajoutant le pipe vers la commande Get-Member, on liste l'ensemble des méthodes membres des objets retournées par Get-Service.

PS > Get-Service schedule | Format-List -Property *

En utilisant la cmdlets Format-List, on va pouvoir séléctionner les propriétés ainsi que leurs états pour le service schedule.

Voici quelques autres formats de sorties utilisables:

PS > get-service | Format-List PS > get-service | Format-Custom PS > get-service | Format-Table PS > get-service | Format-Wide PS > get-service | format-table name, Servicetype, Canshutdown

PS > ipconfig | findstr "Address"

On peu dans le cas de commande classique retournant du texte, faire un filtre pour rechercher une chaine de caractère précise.

7.3 Recherche d'aide

Pour lister l'ensemble des paramètres d'une cmdlets, vous pouvez utiliser la commande Get-Help que l'on peut comparer à la commande man du monde unix.

Plusieurs niveau de détail peuvent aussi être solicité par la commande get-help en ajoutant les paramêtres suivants:

PS > Get-Help Get-Command -Detailed

Le paramètre -detailled affiche en détail toutes les informations concernant les propriétés de la cmdlets get-command.

PS > Get-Help Get-Command -Full

Le paramètre -full affiche en détail toutes les rubriques d'aide de la cmdlets get-command.

PS > Get-Help Get-Command -Examples


Le paramètre -examples affiche des exemples d'utilisation de la cmdlets get-command.

PS > Get-Help Get-Command -Parameter commandType

Le paramètre get-help affiche en détail toutes les informations concernant le paramètre commandType de la cmdlets Get-Command.

7.4 5 Les commandes courantes

PS > Get-Command

Affiche les informations de base des cmdlets et des autres commandes PowerShell.

PS > Get-Process

Affiche la liste des processus tournant sur la machine locale.

PS > Get-Service

Affiche la liste des services s'executant sur la machine locale.

PS > Get-Eventlog

Affiche les informations du journal d'évènement local ainsi que son contenu.

PS > Start-Transcript

PS > Stop-Transcript

Permet d'enregistrer les informations d'une session PowerShell.

7.5 6 Gestion des alias ( get-alias )

Les alias sont des commandes pointant vers une autre commande (ex: ps qui

lance en fait Get-Process)

PS > Get-Alias ps

PS > get-alias | where-object {$_.definition -eq "set-location"}


PS > set-alias gh get-help

PS > set-alias np c:\windows\notepad.exe

PS > remove-item alias:ls

7.6 7 Variables et boucles

Comme tout langage de script, PowerShell supporte les variables et les boucles.

Ainsi pour stocker une valeur dans une variable, il suffit d'utiliser la commande suivante :

PS > $result = ipconfig

Pour utiliser une boucle afin d'afficher des numéros de ligne.

for ($i=0 ; $i -lt $result.length; $i++ )

{

"{0} {1}" -f $i, $result[$i]

}

La même chose avec un foreach…

$i = 1;

foreach($singleLine in $result)

{

$i++

"{0} {1}" -f $i, $singleLine

}

7.7 Fonctions

Des fonctions peuvent être créer en utilisant la syntaxe ci-dessous, des variables pourront être passées et retournées avec facilitée.

$result = ipconfig

function AddLineNumbers

{

$i = 1;

foreach($singleLine in $args[0])


{

$i++

"{0} {1}" -f $i, $singleLine

}

}

AddLineNumbers $result

7.8 Scripting WMI (Windows Management Instrumentation)

Vous pouvez acceder aux paramètres WMI trés simplement à l'aide de PowerShell:

Get-WmiObject win32_bios -computername 127.0.0.1

Get-WmiObject -Class Win32_OperatingSystem -ComputerName 127.0.0.1

7.9 Le profile PowerShell

Tous les alias, fonctions et variables sont ajoutés par defaut à la session courante.

Afin de maintenir les changements dont vous avez besoin de manière permanante, il vous suffit de les ajouter à votre profil en editant l'un des fichiers suivants :

%windir%\system32\WindowsPowerShell\v1.0\profile.ps1

Ce profil s'applique à tous les utilisateurs et à tous les shells.

%windir%\system32\WindowsPowerShell\v1.0\Microsoft.PowerShell_profile.ps

1

Ce profil s'applique à tous les utilisateurs, mais uniquement au Shell Microsoft PowerShell.

%UserProfile%\My Documents\WindowsPowerShell\profile.ps1

Ce profil s'applique uniquement à l'utilisateur en cours mais sur tous les shells.


%UserProfile%\\MyDocuments\WindowsPowerShell\Microsoft.PowerShell_prof

ile.ps1

Ce profil s'applique uniquement à l'utilisateur en cours mais uniquement au Shell Microsoft PowerShell.

7.10 11 Navigation

PowerShell permet de naviguer dans differents environnements:

Disques durs

Variables

Base de registre

Alias

...

PS > Get-PSDrive

cd HKLM:

ls

cd system\currentcontrolset\control

7.11 12 Pour aller plus loin...

Script Center de Microsoft http://www.microsoft.com/technet/scriptcenter/

Articles Tutoriaux Exemples …

http://www.microsoft.com/technet/scriptcenter/


8 Mise en place d’un Cluster

8.1 Windows Server Failover Clustering

La fonctionnalité de mise en cluster disponible sous Windows Server 2008 a été rebaptisée par rapport aux anciennes versions. Elle ne s’appelle plus « MSCS » ni « Windows Server 2003 clustering services » mais « Windows Server Failover Clustering ».

Cette nouvelle implémentation des services de clustering supporte jusqu’à 16 nœuds sur un serveur équipé d’une architecture x64 (les architectures x86 et Itanium restent limitées à 8 nœuds).

L’assistant de configuration d’un nouveau cluster distingue quatre types d’implémentations :

1. Node Majority Quorum Configuration : Cluster avec quorum à jeu de majorité ou quorum MNS (pour Majority Node Set). Ce type de cluster reste en ligne tant qu’une majorité des nœuds le composant est opérationnelle. Ainsi, un cluster à 4 nœuds fonctionne tant que 3 nœuds sur 4 sont opérationnels (si un deuxième nœud tombe en panne, la majorité n’est plus atteinte et le service tombe).

2. Node and Disk Majority Quorum Configuration : Cette configuration est proche de la précédente. La seule différence est l’ajout d’un témoin (un disque partagé de type NAS ou SAN) qui agira comme un nœud dans le calcul de la majorité. Cette configuration augmente le niveau de tolérance aux pannes. En effet un cluster à 4 nœuds restera en ligne tant que 2 des nœuds (plus le disque partagé) seront fonctionnels.

3. Node and File Share Majority Quorum Configuration : Cette configuration utilise un partage de fichiers en tant que témoin. Hormis cela, elle est identique à la précédente.

4. No Majority (Disk Only) Quorum Configuration : Cette configuration utilise un quorum partagé (c’est-à-dire stocké sur un support de stockage de type NAS ou SAN). Cette implémentation est la seule ou le quorum n’est pas répliqué localement sur l’ensemble des nœuds ! Ce type de configuration n’implémente pas le principe de la majorité (un cluster à 4 nœuds reste fonctionnel tant qu’au moins un nœud est actif). Malheureusement ce système induit une unicité des données (si le support partagé est corrompu, le cluster est perdu !) et il devrait être de moins en moins utilisé dans les années à venir.


Le schéma ci-dessus représente un cluster à deux nœuds avec quorum partagé (à gauche) ainsi qu’un cluster à deux nœuds avec quorum à jeu de majorité.

Voici les quelques éléments à considérer pour choisir le type de cluster le plus adapté à votre environnement :

Les clusters à quorum partagé représentent un risque à cause de l’unicité des données (on parle de SPOF pour Single Point Of Failure) et rendent impossible l’implémentation de cluster géo-localisés.

Les clusters à quorum MNS facilitent la mise en œuvre de géocluster et procurent une sécurité des données (via la réplication).

Les clusters à quorum MNS utilisant des témoins sous la forme de disques ou de partages de fichiers proposent un meilleur niveau de tolérance aux pannes (implémentation 2 et 3)

Retenez que les clusters les plus intéressants en termes de fonctionnalités sont ceux implémentant un quorum à majorité avec témoin.


L’utilisation de cluster à quorum partagé peut encore se justifier dans certains scénarios mais nécessite une plus grande rigueur au niveau des données (sauvegardes fréquentes, réplication du SAN…).

Windows Server Failover Clustering apporte aussi les nouveautés suivantes :

Meilleures conditions de dépendance entre les ressources avec la possibilité d’utiliser des opérateurs ET/OU lors de la configuration des dépendances entres ressources.

Possibilité de configurer la fréquence des battements de cœurs ou « heartbeats » (option particulièrement utile pour prendre en compte les latences des liens WAN dans le cadre d’un géocluster)

En termes de compatibilité, il n’est pas possible de faire cohabiter au sein d’un même cluster un nœud sous Windows Server 2003 et un nœud sous Windows Server 2008. Un outil de migration facilitera la migration d’un cluster sous 2003 vers WSFC.

Voici une liste des services, applications et rôles Windows Server pouvant être mis en cluster :

Les serveurs d’espace de noms DFS Les serveurs DHCP Les serveurs de fichiers Les serveurs WINS Les machines virtuelles Hyper-V Les serveurs d’impressions Toute application, script ou service générique

8.2 Configuration de Windows Server 2008

Configuration réseau

La mise en place des services de haute disponibilité de Windows Server 2008 nécessite la mise en place de deux sous réseau physiquement distinct.

L’un de ces réseaux va assurer la communication entre serveur et le client.

L’autre permettra une communication exclusive et privilégiée entre les nœuds du cluster.


Active Directory

Pour la mise en place de la fonctionnalité WSFC, il va être nécessaire d’installer un domaine Active Directory (rôle Active Directory Domain Services sous Windows Server 2008).

Cette étape est obligatoire car la configuration du cluster va nécessiter l’utilisation d’un compte de domaine.

Une fois le domaine installé, ajoutez l’ensemble des nœuds du cluster au domaine ainsi que les machines hébergeant les services Exchanges.

Windows Server Failover Clustering

Installez ensuite la fonctionnalité « Failover Clustering » sur les machines qui seront membre du cluster.

La fonctionnalité installée, on pourra créer le cluster par l’intermédiaire d’un assistant. Durant la création, il nous sera possible de valider les éléments les plus fondamentaux pour la mise en place du cluster.


C’est une fois le cluster créé que l’on va choisir son implémentation.

8.3 Configuration du Quorum MNS à partage témoin

L’objectif de la haute disponibilité est de maintenir en ligne un service même dans le cas d’une défaillance grave aussi bien matériel que logiciel.

Il est donc nécessaire de protéger l’ensemble des composants dont la panne pourrait conduire à un arrêt du système.

Pour cela, la méthode la plus simple est de doubler l’ensemble des éléments sensibles.

Dans cet esprit, le Quorum MNS (Majority Node Set) à partage témoin à pour charge de répliquer le Quorum qui contient la configuration du cluster sur l’ensemble des nœuds du cluster.


Pour que le cluster soit en ligne, la majorité absolue des nœuds est nécessaire.

Nombre de nœuds du cluster

Majorité atteinte à

2 nœuds 2 nœuds

3 nœuds 2 nœuds

4 nœuds 3 nœuds

5 nœuds 3 nœuds

6 nœuds 4 nœuds

7 nœuds 4 nœuds

8 nœuds 5 nœuds


Afin d’éviter des clusters bloqués par un partage à égalité parfaite du cluster, on ajoute une référence supplémentaire sous la forme d’un partage de fichier sur une machine qui n’est pas membre du cluster.

Ce partage contiendra un répertoire et des fichiers témoins pour le cluster et permettra d’arbitrer les conflits dans le cas d’une connectivité coupée entre les nœuds.