7/31/2019 L_administration Sous WIN 2003
1/2
LActive Directory
Prsentation dActive DirectoryActive Directory est un annuaire
des objets du rseau, il
permet aux utilisateurs de localiser, de grer et dutiliser
facilement les ressourcesObjet ACTIVE DIRECTORY
Active Directory stocke des informations sur les objets du
rseau. Il existe plusieurs types dobjets : (serveurs domaines
sites utilisateurs ordinateurs
imprimantes )
Chaque objet possde un ensemble dattributs :Les
attributs permettent deffectuer des recherches prcises
dans lannuaire (trouver lemplacement physique dune
imprimante, le numro de tlphone ou ladresse dun
utilisateur
Schma Active DirectoryIl stocke la dfinition de tous les objets
dActive Directorycomme les utilisateurs, les ordinateurs et l es
imprimantes
stocks dans Active Directory. il comprend deux types de
dfinitions :1 Les classes dobjets : Dcrit les objets dActive
Directory quil est possible de crer. Chaque classe est un
regroupement dattributs.
2 Les attributs : Ils sont dfinis une seul fois et peuvent
tre utiliss dans plusieurs classes.
Catalogue global
Un serveur de catalogue global est un contrleur de
domaine qui conserve une copie du catalogue global il
contient une partie des attributs les plus utiliss de tous
les objets Active Directory.il permet de :1 Trouver des
informations Active Directory sur toutes la
fort2 Utiliser des informations dappartenance des
groupes universels pour ouvrir une session sur le
rseau.
Structure logique dActive Directory
1)Les Domaines : domai ne est un ensemble
dordinateurs et/ou dutilisateurs qui partagent une mmebase de
donnes dannuaire. Un domaine a un nom
unique sur le rseau
2)Les Units dorganisation: Une unit dorganisation
est un objet utilis pour organiser les objets au sein dudomaine.
Il peut contenir dautres objets comme des
comptes dutilisateurs, des groupes, des ordinateurs, des
imprimantes ainsi que dautres units dorganisation.La cration et
la gestion dunits dorganisation passent
par quatre phases trs importantes : (La planification. Le
dploiement. La maintenance La suppression)
3)Les Arborescences : Une arborescence est un
ensemble de domaines partageant un espace de nom
contigu. Par exemple, supinfo.lan est le domaine parent
du domaine paris.supinfo.lan et du domaine
martinique.supinfo.lan
Le pr emier domaine install est le domaine ra cine de l
afort
La relation dapprobation entre un domaine enfant et son
domaine parent est de type bidirectionnel transitif.4) Les forts
: Une fort est un ensemble de domaines
(ou darborescences) nayant pas le mme nom commun
mais partageant un schma et un catalogue globalcommun. Par
exemple, une mme fort peut rassembler
deux arborescences diffrentes comme laboms.com et
supinfo.lan.
5)Les objets :Il sagit des composants les plus
lmentaires de la structure logique. Les classes dobjets
sont des modles pour les types dobjets que vous
pouvez crer dans Active Directory.
Structure Physique dActive DirectoryLa structure physique permet
doptimiser les changes
dinformations entre les diffrents contrleurs de
domaine et ce en fonction des dbits assurs par lesrseaux qui les
connectent.
1)Contrleurs de domaine :Un contrleur de domaine
est un ordinateur excutant Windows 2003 Server quistocke un
rpliqua de lannuaire. (Un domaine peut
possder un ou plusieurs contrleurs de domaine)
2)Sites et liens de sites :Un site est une combinaison
dun ou plusieurs sous rseaux connects entre eux par
une liaison haut dbit fiable (liaison LAN). Il permet
doptimiser la communication entres les contrleurs de
domaine3)Les partitions active directory
La partition de domaine contient les informationsconcernant tous
les objets d'un domaine (les utilisateurs,
les groupes, les machines, etc...)
La partition de configuration contient la topologie dela fort,
c'est--dire les informations concernant les
domaines, les sites, les connexions entre les contrleurs,
etc
La partition de schma contient le schma tendu au
niveau de la fort, c'est--dire l'ensemble des dfinitions
des classes et attributs des objets pouvant tre crer
dans l'annuaire Active Directory.
Les partitions dapplications facultatives contiennent
des objets non lis la scurit et uti liss par une ouplusieurs
applications.
Implmentation dune structure de fort et de
domaine Active DirectoryCondition requise pour pouvoir i
nstaller Active Directory
:
Un ordinateur excutant Windows 2003 serveur
250 Mo despace libre sur une partition NTFSLes paramtres TCP/IP
configur pour joindre un
serveur DNS
Un serveur DNS faisant autorit pour grer les ressourcesSRV
Procdure de cration du domaine racine de la fort
Vous utilisez lAssistant Installation de Active Directorypour
crer une structure de fort et de domaine. Lorsquevous installez
Active Directory dans un rseau pour lapremire fois, vous devez crer
un domaine racine de lafort.Pour crer un domaine racine de la fort,
procdezcomme suit :1. Cliquez sur Dmarrer, sur Excuter, puis
tapezdcpromo en tant que nom du programme.
Espace de nom DNS et active directory-le domaine DNS et Active
directory utilise des noms de
domaine identique ainsi les ordinateurs peuvent utiliser leDNS
pour rechercher des CD et dautres ordinateur
fournissant des services Active directory
(le nom DNS=compte dordinateur stock sur AD)
Les relations dapprobation :
Les approbations sont des mcanismes qui permettent un
utilisateur authentifi dans son propre domainedaccder aux
ressources de tous les domainesapprouvs. Dans Windows Server 2003,
il existe deuxtypes dapprobations : transitives et non transitives.
- Les outils dadministration dActive DirectoryUtilisateurs et
ordinateurs Active Directory: Cestle composant le plus utilis pour
accder lannuaire. Ilpermet de grer les comptes dutilisateurs, les
comptesdordinateurs, les fichiers et les imprimantes partags,
lesunits dorganisation. Utilisez ce composant logicielenfichable
lorsque vous navez que quelques objets
Active Directory grer.Sites et Services Active Directory : Ce
composantpermet de dfinir des sites, des liens de sites et
deparamtrer la rplication Active Directory.Domaines et approbations
Active Directory : Cecomposant permet de mettre en place les
relationsdapprobations et les suffixes UPN. Il propose a
ussidaugmenter le niveau fonctionnel dun domaine ou dunefort.Schma
Active Directory : Ce composant permet devisualiser les classes et
les attributs de lannuaire. Pourpouvoir accder la console Schma
Active Directory,il faut dans un premier temps enregistrer une
DLL.Pour cela, il vous faut ouvrir une invite de commande ettaper
la commande : regsvr32 sc hmmgmt.dllGestion des Stratgies de Groupe
: Ce composantpermet de centraliser ladministration des stratgie
degroupe dune fort, de vrifier le rsultat dune stratgiede groupe ou
bien encore de comparer les paramtres dedeux stratgies de groupe.
Ce composant nest pasdisponible sur le CD-ROM de Windows 2003
Server, il
doit tre tlcharg sur le site de Microsoft.ADSI Edit : Ce
composant permet de visualiserlarborescence LDAP relle du service
dannuaire. Ellepeut savrer utile pour lire ou modifier certains
attributsou certains objets de lannuaire. Elle permet
aussidattribuer des permissions sur les objets de lannuaireavec une
granularit plus fine. En outre, elle se rvlequasi indispensable
pour dveloppoer une applicationaccdant aux donnes contenues dans
lannuaire. Cette
console doit tre installe avec les outils de supportsitus sur le
CD-ROM de Windows 2003 Server.En complment des divers composants
logicielsenfichables numrs ci-dessus, divers outils sont mis la
disposition de ladministrateur pour grer ActiveDirectory :Lpc.exe
:Cet outil permet denvoyer manuellement desrequtes LDAP vers
nimporte quel annuaire LDAP (ActiveDirectory, NDS, Open LDAP,). Il
peut tre utilis pourvrifier la connectivit entre une machine et
lannuaire oubien pour lister des informations bien spcifiques
dansune partie de lannuaire. LPC affiche lintgralit desdonnes
changes entre le poste client et le service
dannuaire. Il e st disponible avec les outils de supportsitus
sur le CD-ROM de Windows 2003 Server.DSADD : Cet outil en ligne de
commande permetdajouter des objets dans lannuaire Act ive
Directory.DSMOD : Cet outil en ligne de commande permet demodifier
des objets dans lannuaire Active Directory.DSMOVE : Cet ou til en
ligne de commande permet dedplacer un objet de son conteneur actuel
vers un nouvelemplacement.DSRM : Cet ou til en ligne de commande
permet desupprimer des objets dans lannuaire Active Directory.
DSQUERY: Cet outil en ligne de commande permet
dinterroger la base de donnes Active Directory selondes critres
spcifis.Ldifde : Loutil en ligne de commande LDIFDE (LDAPData
Interchange Format Directory Export) permetdimporter des donnes
partir dun fichier texte versActive Directory ou bien dexporter des
donnes partirdActive Directory vers un fichier texte.Csvde : Loutil
en ligne de commande CSVDE est utilispour importer des comptes
dutilisateurs partir dun
fichier texte vers Active Directory.WSH : WSH pour Windows
Scripts Host est unenvironnement permettant dexcuter des scripts en
VBSou en JScript.sur une plateforme Windows 9x ou NT
Dlgation du contrle administratif des unitsd'organisationActive
Directory est un systme intgrant la scuris :seuls le s comptes
ayant reu le s permissions adquatespeuvent effectuer des oprations
sur ces objets (ajout,modification, ).Les administrateurs, en
charge de cetteaffectation de permissions peuvent aussi dlguer
destches dadministration des utilisateurs ou des
groupesdutilisateurs
Implmentation de comptes d'utilisateurs, de groupes
etd'ordinateurs
Compte dutilisateur Un compte dutilisateur permet
un utilisateur physique douvrir une session unique sur ledomaine
et daccder aux ressources partages.Il existe trois types de comptes
dutilisateurs, chacunayant une fonction spcifique :1)Un compte
dutilisateur local permet unutilisateur douvrir une session sur un
ordinateurspcifique pour accder aux ressources sur
cetordinateur.2)Un compte dutilisateur de domaine permet
unutilisateur de se connecter au domaine pour accder auxressources
rseau, ou un ordinateur individuel pouraccder aux ressources sur
cet ordinateur.3)Un compte dutilisateur intgr permet un
utilisateur deffectuer des tches dadministration oudaccder
temporairement aux ressources rseau.Compte dordinateur :Un compte
dordinateurpermetdidentifier un ordinateur physique dans un domaine
parle biais dun mcanisme dauthentification. Il est possibledactiver
laudit de laccs dun compte dordinateur auxressources du
domaine.Compte de groupe : Un compte de groupe permet de
simplifier ladministration en regroupant des
comptesdutilisateurs, dordinateurs ou bien dautres comptes
degroupes.Un utilisateur peut tre membre de plusieurs groupes.Les
groupes se diffrencient de par leur type et de parleur tendue. Il
existe deux types de groupes dans ActiveDirectory :Les groupes de
scurit :Vous utilisez des groupes de scurit pour affecter desdroits
et des autorisations aux groupes dutilisateurs etdordinateurs. Les
droits dterminent les fonctions queles membres dun groupe de scurit
peuvent effectuerdans un domaine ou une fort. Les
autorisationsdterminent quelles ressources sont accessibles
unmembre dun groupe sur le rseau.Une mthode dutilisation efficace
des groupes descurit consiste utiliser limbrication, cest
dire,ajouter un groupe un autre groupe. Le groupe imbriquhrite des
autorisations du groupe dont il est membre, cequi simplifie
laffectation en une fois des autorisations plusieurs groupes, et
rduit le trafic que peut engendrer
la rplication de lappartenance un groupe.Les groupes de
distribution :Vous pouvez utiliser des groupes de
distributionuniquement avec des applications de messagerie,
tellesque Microsoft Exchange, pour envoyer des messages un ensemble
dutilisateurs. La scurit nest pas activesur les groupes de
distribution, ce qui signifie quils nepeuvent pa s tre r pertoris
dans des l istes de contrledaccs discrtionnaire (DACL,
Discretionary AccessControl List). Pour contrler laccs aux
ressourcespartages, crez un groupe de scurit.Etendue des
groupes:Ltendue dun groupe dtermine la manire dont lespermissions
sont assignes ses membres. Les groupesWindows Server 2003, quils
soient de type scurit oudistribution, sont classifis en trois
tendues de groupepossibles : Domaine local, globale et
Universelle.
Implmentation d'une stratgie de groupeUne stratgie de groupes
est un objet Active Directoryqui va contenir un ensemble de
paramtres..Unestratgie de groupe peut aussi tre appele GPO
(Group
Policy Object)Les GPO sont des collections de paramtres
deconfiguration allant des droits des utilisateurs louverture de
session, aux privilges daccs aux logicielsquil sera possible
dexcuter su un systme donn.- Les diffrents niveaux fonctionnels
dans Active
Directory :
Le niveau fonctionnel dun domaine ou dune fort dansActive
Directory dfinit lensemble des fonctionnalitssupportes par le
service dannuaire Active Directorydans ce domaine ou dans cette
fort.Dans Windows Server 2003, il existe quatre niveaux
fonctionnels de domaine : Windows 2000 mixte (Pardfaut), Windows
2000 natif, Windows Server 2003intermdiaire et Windows
Server2003Windows 2000mixte :supporte la prise en charge des
contrleurs dedomaine sous Windows NT 4, Windows 2000 et
WindowsServer 2003.Windows 2000 natif: supporte l a prise en charge
descontrleurs de domaine sous Windows 2000 et WindowsServer
2003.Windows Server 2003 intermdiaire:supporte la prise encharge
des contrleurs de domaine sous Windows NT4 etWindows Server
2003
Les zones DNS intgres Active DirectoryUne zone est une partie de
lespace de nom de domaine
possedant un groupement logique denregistrement de
ressources qui permet de transrerer des zones et des
enregistrement pour fonctionet autant quunit unique
Les zones intgrs a active directory sont des zones
principales et stube stock comme objet dans la base de
donns active directory
Les avantages des zones intgres AD1)Mise jour de configuration
de matres multiples et
scurit avance reposant sur les fonctionnalits
dActiveDirectory.
2)Zone peut tre mise jour par les serveurs DNS
fonctionnant sur tout contrleur de domaine du domaine.
3)Les zones sont automatiquement rpliques et
synchronises sur les nouveaux contrleurs de domaine
ds qu'ils sont ajouts un domaine Active Dire ctory.
4)La rplication d'annuaire est plus rapide et efficace que
la rplication DNS standard.
DHCP
Le protocole DHCP est une norme IP permettant desimplifier la
gestion de laconfiguration IP hte. La norme
DHCP permet dutiliser les serveurs DHCP pour grer
lallocation dynamique des adresses IP et des autresdonnes de
configuration IP pour les clients DHCP de
votre rseau.
Comment le protocole DHCP alloue des adresses IP :Le protocole
DHCP gre lattribution et la libration desdonnes de configuration
dadresse IP en louant laconfiguration dadresse IP au client par
lutilisation dunbail.Le bail DHCP spcifie la dure pendant laquelle
le clientpeut utiliser les donnes de configuration IPLe processus
de cration dun bail DHCP est le processuspermettant au
clientProcessus de cration dun bail DHCP
DHCP de recevoir des donnes de configuration dadresseIP du
serveur DHCP.
1)Le client DHCP diffuse un paquet DHCPDISCOVER pourlocaliser un
serveur DHCP.
2)Le serveur DHCP diffuse un paquet DHCPOFFER au
cli ent. pour proposer le bail dune adresse IP un client
DHCP.
3)Le client DHCP diffuse un paquet DHCPREQUEST. Un
paquet DHCPREQUEST est un message envoy par un
client au serveur DHCP pour demander ou renouveler le
bail de son adresse IP.
4)Le serveur DHCP diffuse un paquet DHCPACK au client.
pour accuser rception ce message contient un bailvalide pour
ladresse ip ainsi que dautre domaine de
configuration.
Processus de renouvellement dun bail DHCPLe processus de
renouvellement dun bail ou de mettre
jour ses donnes de configuration dadresse IP laide duserveur
DHCP.
Un client DHCP tente automatiquement de renouveler
son bail l orsque sa dure a expir de 50 %. Si le serveur
DHCP est disponible, il renouvelle le bail et envoie au
client un paquet DHCPACK contenant la dure du
nouveau bail et les paramtres de configuration mis
jour.Si le serveur DHCP nest pas disponible, le client
continue utiliser ses paramtres de configuration en
cours.
Autorisation DHCPLautorisation DHCP est le processus
denregistrement du
service Serveur DHCP dans le domaine du service
dannuaire Active Directory, afin de prendre en charge lesclients
DHCP.
Configuration dune tendue DHCP
Une tendue est une plage dadresses IP valides
disponibles pour les baux ou lattribution des
ordinateurs clients sur un sous-rseau spcifique.
Cest le pool dadresse IP que le serveur peut attribuer au
client DHCP (Une seul etendue peut etre attribuer a un
sous rseau)
Configuration dun agent de relais DHCP
Un agent de relais DHCP est un ordinateur ou un routeur
configur pour couter les messages DHCP/BOOTP des
clients DHCP et les transmettre aux serveurs DHCP surdiffrents
sous-rseaux.
Fonctionnement de lagent de relais
1)client diffuse un paquet DHCPDISCOVER2)Lagent de r elais
transmet le message DH CPDISCOVER
au serveur DHCP
3)Le serveur envoie un message DHCPOFFER a lagent
de relais DHCP
4)Lagent de relais diffuse le paquet DHCPOFFER
5)CLIENT1 diffuse un paquet DHCPREQUEST
6)Lagent de relais transmet le message DHCPREQUEST
au serveur DHCP
7)Le serveur envoie un message DHCPACK a l agent de
relais DHCP8)Lagent de relais diffuse le paquet DHCPACK
Gestion dune base de donnes DHCPBase de donnes DHCPLa base de
donnes DHCP est une base de donnesdynamique qui est mise jour
lorsque les clients DHCPobtiennent ou librent leurs baux dadresses
TCP/IP(Transmission Control Protocol/Internet Protocol).Journal
daudit DHCP :
Un fichier journal daudit DHCP est un journal o sont
consigns des vnements relatifs un service, parexemple le moment
o :1)le service dmarre ou sarrte
;2)des autorisations ont t vrifies ; 3)des adresses IPsont
loues, renouveles, libres ou refuses.
7/31/2019 L_administration Sous WIN 2003
2/2
DNS
DfinitionDNS est une base de donnes distribue hirarchise qui
contient les mappages de noms dhtes DNS des
adresses IPFonction de DNS
1)DNS prend en charge laccs aux ressources laide de
noms alphanumriques.3)Avec DNS, les noms dhtes rsident dans une
base de
donnes qui peut tre distribue entre plusieurs serveurs,
ce qui diminue la charge de chaque serveur et permet
dadministrer le systme de noms par partitions.
2)DNS prend en charge des noms hirarchiques et
permet dinscrire divers types de donnes en plus du
mappage de noms dhtes adresse IP qui est utilis
dans les fichiers Hosts.une comparaison entre les noms NetBios
et DNS :Noms dordinateur NetBios : Type(Plat) Taille maximale(15
caractres) Services de noms(WINS, monodiffusionNetBios, fichier
Lmhosts)Noms dordinateur DNS : Type(Hirarchique) Taillemaximale (63
octets par tiquette 255 octets par FQDN )Services de noms(DNS,
fichier Hosts)
Espace de noms de domaines
est une arborescence hirarchise de noms utilise parDNS pour
identifier et trouver un hte donn dans un
domaine donn, par rapport la r acine de larborescence
Fonctioneent :Organiser les noms de ressource en une
structure logique facile a comprendre
1)Domaine : toute arborescence ou sousarborescence se
trouvant dans lespace de noms de domaine.
2)Domaine racine : Reprsent par un( .)indiquant que le
nom et a la racise cest--dire au plus haut niveau
3)Domaine de niveau suprieur : Cest la partie a
lextrme droite qui dfinit le statut organisationnel (.com,
.ma..)
4)Domaine de second niveau : Un nom de domaine de
second niveau est un nom unique de longueur variable.Dans
lexemple www.microsoft.com, le nom de second
niveau est la portion .microsoft du nom de domaine,
inscrite par InterNIC et affecte Microsoft Corporation.
5)Sous-domaine : Quand une organisation subdivise son
nomde domaine en ajoutant des services ou
dpartemeny reprsent par une portion distincte dans le
nom de domaine (drif.ofppt.ma)
6)Nom de domaine pleinement qualifi : est un nom de
domaine DNS qui a t dfini de faon non ambigu pourindiquer avec
certitude son emplacement dans
larborescence de lespace de noms de domaine.
les r equtes DNS
Une requte est une demande de rsolution de noms
envoye un serveur DNS. Il existe deux types de
requtes : requtes rcursives et requtes itratives.
Requte rcursive :
-le client DNS demande au serveur de fournir une
rponse complte.
-le serveur peut uniquement renvoyer une rponse
complte ou indiquer quil ne sait pa s rsoudre le nom
-Une requte rcursive ne peut pas tre redirige vers unautre
serveur DNS.
-Les requtes rcursives sont lances par un client DNSou par un
serveur DNS configur pour utiliser des
redirecteurs
-La rponse une requte rcursive peut tre positive oungative.
Les donnes demandes.
Un message derreur indiquant que les donnes du type
demand nexistent pas.
Un message indiquant que le nom de domaine spcifi
nexiste pas.
Fonctionnement dune requte rcursive
1. Le client envoie une requte rcursive au serveur DNS
local.
2. Le serveur DNS local essaie de trouver une rponse
dans la zone de recherche directe et dans le cache.
3. Sil trouve la r ponse la requte, le serveur DNS larenvoie au
client.
4. Sil ne trouve pas de rponse, le serveur DNS utilise
ladresse dun redirecteur ou des indications de racinepour
chercher plus haut dans larborescence.
Requtes itrativesUne requte itrative est une requte envoye
un
serveur DNS dans laquelle le client DNS demande la
meilleure rponse que peut fournir le serveur DNS sans
faire appel dautres serveurs DNS. Les requtes
itratives sont parfois appeles requtes non rcursives.
Fonctionnement dune requte itratives
1. Le serveur DNS local reoit une requte rcursive dunclient
DNS.
2. Le serveur DNS local envoie une requte itrative au
serveur racine pour obtenir un serveur de noms
faisantautorit.
3. Le serveur Racine rpond par une rfrence un
serveur DNS plus proche du nom de domaine demand.
4. Le serveur DNS local envoie ensuite une requte
itrative au serveur DNS plus proche du nom de domaine
demand.
5. Le processus continue jusqu ce que le serveur DNS
local reoive une rponse faisant autorit.
6. Cette rponse est alors envoye au client DNS.
Dfinition dun redirecteur :Un redirecteurest un serveur DNS que
dautres serveursDNS internes dsignent comme responsable du
transfert
des requtes pour la rsolution de noms de domainesexternes ou
hors site.
Les indications de racineLes indications de racine sont des
enregistrements de
ressources DNS stocks sur un serveur DNS qui
rpertorient les a dresses I P des serveurs ra cines du
systme DNS.
Fonction dune indication de racine
-le serveur DNS reoit une requte DNS, il consulte sa
mmoire cache. Sil na pas ladresse IP du serveur DNS
faisant autorit pour ce domaine et quil e st configuravec les
adresses IP des indications de racine, le serveurDNS interroge un
serveur racine sur le domaine situ
gauche du domaine racine de la requte.
-Le serveur continue de parcourir le FQDN jusquua cequa ce quil
trouve le serveur faisont autorit
-Les indications de racine sont stockes dans le fichier
Cache.dns qui se trouve dans le dossier
%Systemroot%\System32\Dns.
Les redirecteurs
Un redirecteur est un serveur DNS que dautres serveurs
DNS internes dsignent comme responsable du transfert
des requtes pour la rsolution de noms de domaines
externes ou hors site.
La mis een cache du serveur DNS
La mise en cache est le processus qui consiste
stockertemporairement dans un sous-systme de mmoire
spcial des informations ayant fait lobjet dun accs
rcent pour y accder plus rapidement ensuite.
Fonctionnement du cache des serveurs DNS
Les donnes places dans la memoire cache ont une
dure de vir TTL qui dcrement avec le temps.le serveurdoit alors
les supprims du mmoire cache
Configuration des zones DNS
Enregistrements de ressourcesA : rsout un dhte en adresse IP
PTR : Rsout une adresse IP en nom dhte
SOA : premier enregistrement dans tout fichier de zoneSRV :
Rsout les noms des serveurs qui fournissent des
services
NS : identifie le serveur DNS associ a chaque zone
MX : serveur de messagerie.
CNAME :Rsout un nom dhte en nom dhte
Zones DNS
Une zone est un ensemble de mappages de nom dhte
adresse IP pour des htes situs dans une portioncontigu de
lespace de noms DNS.
Les donnes dune zone sont gres sur un serveur DNS
et peuvent tre stockes de deux manires : En tant que fichier de
zone plat contenant des listes de
mappages ;
Dans une base de donnes Active Directory.Un serveur DNS fait
autorit pour une zone sil hberge
les enregistrements de ressources correspondant aux
noms et aux adresses que les clients demandent dans le
fichier de zone.
Une zone DNS est :
-soit une zone principale, secondaire ou de stub.
- soit une zone de recherche directe ou inverse.
Scurisation dune zone DNS
Pour plus de scurit, vous pouvez contrler lespersonnes autorises
administrer les zones DNS en
modifiant la li ste de contrle daccs. La liste DACL
permet de contrler les autorisations accordes auxutilisateurs et
aux groupes Active Directory qui peuvent
contrler les zones DNS.
Types de zones DNS1)Zone principale : Une zone pr incipale est
lexemplaire
faisant autorit de la zone DNS. Les enregistrements de
ressources y sont crs et grs.
2)Zone secondaire : Une zone secondaire est une copie
en lecture seule de la zone DNS.
Zone de stub
3 )Les zones de stub : sont des copies dune zone quicontiennent
uniquement les enregistrements de
ressources ncessaires lidentification du serveur DNSfaisant
autorit pour la zone en question. Une zone de
stub contient un sousensemble des donnes de la zone
qui se compose dun enregistrement SOA, NS et A,galement appel
enregistrement de rsolution par
requtes successives.
Zones de recherche
1) Zone de recherche directe : Dans le systme DNS, une
recherche directe est un processus dinterrogation qui
recherche le nom affich du domaine DNS dun
ordinateur hte pour trouver son adresse IP
2 )Zone de recherche inverse :Dans le systme DNS,
une recherche inverse est un processus dinterrogationqui
recherche l adresse IP dun ordinateur hte pour
trouver son nom a ffich dans le domaine DNS.
Transferts de zone DNSUn transfert de zone est le transfert
total ou partiel des
donnes dune zone partir du serveur DNS vers un
serveurs DNS secondaires Il existe deux types de
transferts de zone DNS :1)Transfert de zone complet : Lorsquune
requte DNS
est effectue avec le type de requte AXFR, la rponse
est un transfert de lintgralit de la zone. Une requteAXFR est
une demande de transfert de zone complet.
2)Transfert de zone incrmentiel :Type de requte utilis
par certains serveurs DNS pour mettre jour etsynchroniser les
donnes dune zone lorsque celle-ci a
subi des modifications depuis la dernire mise jour.
Processus de transfert de zone
SRV SECONDAIRE > REQUETE SOA POUR UNE ZONE
SRV PRINCIPALE > RQUETE A LA REQUETE SOA
SRV SECONDAIRE > Requte IXFR OU AXFR POUR UNE
ZONE
SRV PRONCIPALE> REPONCE A LA REQUETE IXFR(TRANSFERT DE
ZONE)
Notification DNS (DNS Notify)
DNS Notify est une mise jour de la spcificationdorigine du
protocole DNS qui permet dinformer le s
serveurs secondaires lorsquune zone est modifie.
Fonctionnement de DNS Notify
1. La zone locale hberge sur un serveur DNS principal
est mise jour.
2. Dans lenregistrement de ressource SOA, le champ
Numro de srie est mis jour pour indiquer quune
nouvelle version de la zone a t crite sur un disque.
3. Le serveur principal envoie un message de notification
tous les serveurs qui figurent dans sa liste denotification.
4. Tous les serveurs secondaires de l a zone qui reoiventle
message de notification ragissent en renvoyant une
requte de type SOA au serveur principal expditeur de
la notification
Mise jour dynamique :
Une mise jour dynamiqueest le processus par lequelun client DNS
cre, inscrit ou met jour de faon
dynamique ses enregistrements dans des zones
maintenues par des serveurs DN S qui pe uvent accepter
et traiter des messages pour des mises jourdynamiques
Dlgation dune zone DNSEn termes techniques, la dlgationest le
processus quiaffecte lautorit sur les domaines enfants de votre
espace de noms DNS une autre entit en ajoutant des
enregistrements dans la base de donnes DNS
Surveillance du service DNS :
Nslookup : permet deffectuer des requtes de test vers
des serveurs DNS et dobtenir des rponses dtailles
depuis linvite de commande
Journal des vnements DNS :VLe journal desvnements DNS est un
journal systme configur pour
nenregistrer que les vnements DNS
Enregistrement de dbogage DNS : Lenregistrement dedbogage DNS
est un outil journal facultatif pour DNS,
qui stocke les informations DNS
Rsolution de noms NetBIOS laide du service
WINS
Composants du service WINS
Serveur WINS est un Ordinateur qui traite les requtes
dinscription de nom provenant des clients WINS, inscrit
les noms e t adresses I P du client, puis rpond aux
requtes de noms NetBIOS soumises par les clients. Le
serveur WINS renvoie ensuite ladresse IP dun nom
demand, si ce dernier figure dans la base de donnesdu
serveur.
Base de donnes WINS stocke et rplique les
mappages des noms NetBIOS aux adresses IP dunrseau.
Client WINS est un Ordinateurs que vous pouvez
configurer pour utiliser directement un serveur WINS ;ces
ordinateurs possdent gnralement plusieurs noms
NetBIOS .
Agents proxy WINSest un Ordinateur qui contrle la
diffusion des requtes de noms et rpond lorsque les
noms ne figurent pas sur le sous-rseau local. Le proxy
communique avec un serveur WINS pour rsoudre les
noms, puis les met en cache pour une priode donne.Prsentation
dun type de nud NetBIOS
Nud de diffusion B : Mthode utilisant les diffusionspour linscri
ption et la rsolution de noms.
Nud point point P :Mthode nutilise pas de
diffusions car il interroge directement le serveur denoms, ce
qui permet aux ordinateurs de r soudre le s
noms NetBIOS en franchissant les routeurs.
Nud M :Combine le nud B et le noeud P, mais
fonctionne par dfaut comme un noeud B. Si le noeud M
ne peut pas rsoudre un nom par diffusion, il utilise le
serveur de noms NetBIOS du noeud P.
Noeud hybride H : Combine le noeud P et le noeud B,
mais fonctionne par dfaut comme un noeud P. Si le
noeud H ne peut pas rsoudre un nom via le serveur denoms
NetBIOS, il utilise une diffusion.
Configuration de la rplication WINS
Bien quun seul serveur WINS puisse traiter les re qutesde
rsolution de noms NetBIOS pour des milliers de
clients, vous devez appliquer une tolrance aux pannes
supplmentaires en configurant un deuxime ordinateur
excutant Windows Server 2003. Cet ordinateur feraoffice de
serveur WINS secondaire
Fonctionnement de la rplication par mission
La rplication par mission est le processus qui consiste copier
les donnes WINS mises jour dun serveur WINS
sur dautres serveurs WINS, chaque fois que le serveur
WINS contenant ces donnes mises jour atteint unseuil de
modifications spcifi.
1. Un partenaire metteur avertit ses partenaires de
rplication chaque fois que le nombre de modifications
apportes sa base de donnes WINS dpasse un seuil
spcifique, configurable.
2. Lorsque les partenaires de rplication rpondent sa
notification par une requte de rplication, le partenaire
metteur leur envoie les rplicas de ses nouvelles entresde base
de donnes.Fonctionnement de la rplication par rception
La rplication par rception est le processus qui consiste
copier les donnes WINS mises jour dun serveurWINS sur un autre
serveur WINS des intervalles
spcifis, configurables.
Le processus de rplication par rception se droule
comme suit :
1. Un partenaire rcepteur demande, intervalles
rguliers, les modifications apportes une base de
donnes WINS.
2. Les partenaires de rplication rpondent cette
demande en envoyant toutes les nouvelles entres de la
base de donnes au partenaire rcepteur.
Cration une OU :dsadd ou
"ou=bernoussi,ou=casa,dc=yassine,dc=ma"
renommer une Ou :
dsmove "ou=yassi ne,dc=maroc,dc=ma" - newname
yassinet
dplacer une OU :
dsmove "ou=yassine,dc=maroc,dc=ma"
-newparentou=casa,dc=maroc,dc=ma
Cration d'un utilisateur :
dsadduser"cn=yassine2,ou=casa,dc=yassine,dc=ma" -
samid yassine2-upn [email protected] -fn r akhif -ln
yassine2
-display "yassine2 rakhif" -pwd P@ssw0rd
Cration d'un compte ordinateur
:dsaddcomputer"cn=pc1,ou=casa,dc=yassine,dc=ma"
supprimer un compte utilisateur :
dsrm "cn=yassine,ou=casa,dc=yassine,dc=ma"
Modifier un compte d'utilisateur :
dsmod user "cn=yasine,ou=casa,dc=yassine,dc=ma" -te
065412541
Modifier un compte d'ordinateur :
dsmod computer "cn=pc1,ou=casa,dc=yassine,dc=ma" -
loc "batiment 2"Activer ou dsactiver un compte utilisateur :
dsmod user "ou=yassine,dc=maroc,dc=ma" -desabled
yes/noCration d'un groupe :
dsaddgroup"cn=group1,ou=casa,dc=yassine,dc=ma" -
secgrp yes -scope g/L -samid group1supprimer un groupe :
dsrm "cn=group1,ou=casablanca,dc=yassine,dc=ma"
Voir les groupes qu'un user apartient :
dsgetuser"cn=yassine,ou=casablanca,dc=yassine,dc=ma
"memberof
rechercher un utilisateur :dsquery user -name t*
rechercher un ordinateur :dsquery computer -name
pc*
Partager un fichier :net share dossier=c:/windows/dossier
/cache:
'manual,documents,programs,none'
Monter un lecteur reseau :net use Z: \\serveurX\NomDossier
Dmonter un lecteur reseau :
net use Z: /deleteVoir les groupes qu'un user apartient :
dsgetuser"cn=yassine,ou=casablanca,dc=yassine,dc=ma
" -memberof
