Windows Serveur 2008 - Freemsaidallah.free.fr/cours/Reseaux-Windows-Serveur-2008.pdfPenser à renommer le serveur et à activer le bureau à distance … Attention aux services qui

D. Olivier – http://www.entraide-info.fr 1

2013

Windows Serveur 2008

CONFIGURATION DES SERVICES RESEAUX

OLIVIER D.


Table des matières 1 Installation et configuration des serveurs ....................................................................................... 3

2 Configuration et dépannage du système DNS ................................................................................ 4

3 Configuration et gestion du service WINS.................................................................................... 14

4 Configuration et dépannage du protocole DHCP ......................................................................... 17

5 Configuration et dépannage du protocole IPv6 ............................................................................ 22

6 Configuration et dépannage du service de routage et d’accès à distance ................................... 25

7 Service de rôle Serveur NPS ........................................................................................................ 29

8 Configuration de la sécurité IPSEC .............................................................................................. 31

9 Analyse et dépannage de la sécurité IPSec ................................................................................. 33

10 Configuration et gestion du système de fichiers DFS .............................................................. 34


1 Installation et configuration des serveurs

A propos du prix des licences :

WS2008 Standard (675 € TTC) : permet 1 licence réelle + 1 licence virtuelle/nœud

WS2008 Entreprise (2300 € TTC) : permet 1 licence réelle + 4 licences virtuelles/nœud

WS2008 Datacenter (3700€ TTC) : permet 1 licence réelle par processeur + licences illimitées

/ nœud)

Exemple d’utilisation des licences réelles et virtuelles

Installation de Windows Server 2008 :

Il peut-être recommandé d’utiliser des images sysprepée + déploiement à distance pour les

serveurs (WDS et MDT)

Privilégier une nouvelle installation plutôt que la mise à jour de l’OS d’un serveur existant

Penser à renommer le serveur et à activer le bureau à distance …

Attention aux services qui utilisent IPv6 avant de le desactiver (exemple : Exchange 2007 sur

WS2008)

Installation de rôles et de fonctionnalités :

Gestionnaire de serveur

Installation de rôles, de services de rôles, de fonctionnalités (telnet, wins …)


2 Configuration et dépannage du système DNS

Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de

traduire un nom de domaine (FQDN1) en informations de plusieurs types qui y sont associées,

notamment en adresses IP de la machine portant ce nom.

2.1 Historique

NetBIOS et le modèle en couches TCP/IP

NetBEUI (non routable) associe un nom d’ordinateur à une adresse MAC. Utilise le broadcast.

En NetBIOS, le nom d’ordinateur doit faire 15 caractères maxi (15 octets). De plus le nom doit

être unique sur l’inter-réseau.

LMHOSTS et WINS broadcastent pour résoudre les noms (donc ne passent pas les routeurs).

NetBT (NetBIOS over TCP/IP) associe un nom d’ordinateur à une adresse IP

ARP traduit une adresse IPv4 en adresse MAC (entre la couche 2 et la couche 3)

CIFS est l’ancêtre de SMB et SMB2 qui sont des protocoles de partages de fichiers et imprimantes.

2.2 NetBIOS over TCP/IP

Interroger le cache NetBIOS :

C:\> nbtstat -c

Type de noeud NetBIOS :

1(B)roadcast 2 (P)eer to Peer 4 (M)ix 8 (H)ybride

broadcast NBNS (WINS) diffusion WINS

WINS diffusion

Fichier lmhosts (virer le .sam)

Résolution des Noms d'hôte (DNS)

Ordre d’interrogation des différents services : de haut en bas

DNS : associe un noms d'hôte (FQDN) à une adresse IP.

1 FQDN : Fully Qualified Domain Name. Nom d’hôte suivi d’un point et du nom de domaine. Exemple :

pc1.domaine.local


Fichier hosts : contenu dans /etc/hosts (systèmes Unix) ou %systemroot%\drivers\etc\hosts

(systèmes Windows). Il associe les noms d’hôtes aux adresses IP. C’est le fonctionnement de BIND

2.3 Résolution

Windows 9x – Windows NT – Linux Windows 2000 et +

Hosts Cache DNS

Hosts

DNS DNS

NetBIOS (que pour Windows)

2.3.1 443BInstallation du rôle serveur DNS

Le service DNS est une « base de données » hiérarchique distribuée :

Le . (correspondant au domaine racine) doit être indiqué dans le FQDN

2.4 Configuration de DNS

Le fichier %systemroot%\system32\dns\cache.dns contient les noms des 13 serveurs racine

d’internet.

Le service DNS (ou daemon) est visible dans les services sous le nom DNS

Administration du service DNS :

MMC.EXE > DNS

C:\> dnscmd

Nota : les zones DNS intégrées AD ne sont pas administrables avec un éditeur de texte


Clients, serveur DNS dans le LAN, serveurs DNS sur Internet

2.5 Les enregistrements des serveurs DNS incluent

SOA : Source de nom (serveur principal de la zone). Nom du serveur qui a un accès en

écriture sur la zone concernée

NS : Serveurs de noms. Noms des serveurs ayant autorité sur la zone (serveur principaux +

serveurs secondaires).

CNAME : Enregistrement d’alias. Par exemple, www est souvient utilisé pour nommer srv-web

MX : Enregistrement de serveur de messagerie. Nom du serveur SMTP du domaine.

SRV : Enregistrement de service. Par exemple _LDAP

A : enregistrement d’hôte IPv4

AAAA : enregistrement d’hôte IPv6

PTR : pointeur. Permet de trouver le nom à partir de l’adresse IP

Un serveur DNS peut faire :

Hosting : stockage des enregistrements de ressources

Résolveur : service des clients (va interroger les autres serveurs DNS

2.6 Requêtes DNS

Une requête peut être :

Récursive : seule la réponse totale est acceptée (réponse venant d’un serveur faisant autorité)

Itérative : une réponse partielle est acceptée

Une requête peut aussi être :

Directe : on recherche l’adresse IP, le service, le MX, etc. à partir du FQDN

Inversée : on recherche le FQDN à partir de l’adresse IP

Un serveur qui fait autorité sur la zone :

1. Donne une réponse totale

2. Sinon il dit que l’enregistrement n’existe pas (cette réponse fait autorité)

Un serveur DNS qui ne fait pas autorité sur la zone :

1. Vérifie son cache pour savoir s’il peut donner une réponse totale

2. S’il ne trouve pas, il interroge les indications de racine

3. Sinon il interroge les redirecteurs


2.7 Requête récursive

Fonctionnement de la requête récursive

2.8 Requête itérative

Fonctionnement de la requête itérative

2.9 Qu’est-ce qu’un redirecteur

Fonctionnement d’un redirecteur


2.10 Redirection conditionnelle

Fonctionnement d’un redirecteur conditionnel

2.11 A propos du « round robin »

Si un même nom possède plusieurs adresses IP, le client reçoit toutes les adresses IP qu’il va utiliser

aléatoirement, faisant une sorte de balance de charge.

Exemple :

www.google.fr A 214.55.0.14



Cependant, si une adresse IP est dans le même réseau que le client, celui-ci ne reçoit que cette

dernière (pour des raisons évidentes de proximité).

2.12 Commandes utiles

Afficher le cache du serveur DNS :

Outils d’administration > DNS > Affichage détaillé

Console d’administration DNS :

C:\> dnscmd / ?

Afficher le cache local :

C:\> ipconfig /displaydns

Interroger le cache du serveur DNS (et pas le cache local) :

C:\> nslookup


2.13 Configuration des zones DNS

Chaque serveur DNS « supérieur » effectue une délégation d’autorité au serveur DNS « inférieur »

Une zone est une portion de l’espace de nom sur laquelle le serveur fait autorité.

Exemple de contenu d’une zone et zone de stub

Une zone principale est une copie en lecture/écriture d’une base de données DNS.

Une zone secondaire est une copie en lecture seule d’une base de données DNS.

Une zone de stub est une copie d’une zone contenant uniquement des enregistrements utilisés pour

localiser des serveurs de noms.

Une zone intégrée à Active Directory est une zone dont les données sont copiées dans Active

Directory plutôt que dans des fichiers de zone.

Délégation d’autorité

Délégation d’autorité


2.14 Exemple de fichier de zone

Contenu du fichier : C:\Windows\System32\dns\domtest.dns :

@ IN SOA bdc.domtest.local. hostmaster.domtest.local. (

28 ; serial number

900 ; refresh

600 ; retry

86400 ; expire

3600 ) ; default TTL

@ NS bdc.domtest.local.

@ 600 A 192.168.80.11

9079488e-7280-464e-8acb-e7648ad02831._msdcs 600 CNAME bdc.domtest.local.

_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs 600 SRV 0 100 88 bdc.domtest.local.

_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs 600 SRV 0 100 389 bdc.domtest.local.

_kerberos._tcp.dc._msdcs 600 SRV 0 100 88 bdc.domtest.local.

_ldap._tcp.dc._msdcs 600 SRV 0 100 389 bdc.domtest.local.

_ldap._tcp.d3d3d075-d100-4f22-b3d5-c3a90b020995.domains._msdcs 600 SRV 0 100 389 bdc.domtest.local.

_ldap._tcp.pdc._msdcs 600 SRV 0 100 389 bdc.domtest.local.

_kerberos._tcp.Premier-Site-par-defaut._sites 600 SRV 0 100 88 bdc.domtest.local.

_ldap._tcp.Premier-Site-par-defaut._sites 600 SRV 0 100 389 bdc.domtest.local.

_kerberos._tcp 600 SRV 0 100 88 bdc.domtest.local.

_kpasswd._tcp 600 SRV 0 100 464 bdc.domtest.local.

_ldap._tcp 600 SRV 0 100 389 bdc.domtest.local.

SRV 0 0 389 bdc.

_kerberos._udp 600 SRV 0 100 88 bdc.domtest.local.

_kpasswd._udp 600 SRV 0 100 464 bdc.domtest.local.

bdc A 192.168.80.11

DomainDnsZones 600 A 192.168.80.11

_ldap._tcp.Premier-Site-par-defaut._sites.DomainDnsZones 600 SRV 0 100 389 bdc.domtest.local.

_ldap._tcp.DomainDnsZones 600 SRV 0 100 389 bdc.domtest.local.

ForestDnsZones 600 A 192.168.80.11

_ldap._tcp.Premier-Site-par-defaut._sites.ForestDnsZones 600 SRV 0 100 389 bdc.domtest.local.

_ldap._tcp.ForestDnsZones 600 SRV 0 100 389 bdc.domtest.local.

PDC2 1200 A 192.168.80.20

On peut même se faire une idée de l’infrastructure … qui ici ne comprend que 2 hôtes :

BDC (192.168.80.11) qui est DNS principal et contrôleur de domaine (SRV _ldap)

PDC2 (192.168.80.20) qui est membre de la zone


2.15 Zones de recherches directes

Exemple de zone de recherche directe et de zone de recherche inversée

2.16 Zones de recherches inversées

Convention de nommage :

Le nom est du type adresse_inversée_réseau.in-addr.arpa

Adresse inversée réseau :

pour un réseau 192.168.1.0 partie réseau = 192.168.1

adresse réseau inversée = 1.168.192

Attention : le nom FQDN contient un . à la fin. Exemple : pc1.domaine.local.

2.17 Délégation de zone

Sur le serveur NS1-societe faisant autorité pour la zone societe.local :

Définir en tant que zone principale, ajouter les enregistrements

Sur le serveur NS1-domaine :

Ajouter une délégation indiquant que NS1-societe.societe.local fait autorité pour societe.local


2.18 448BConfiguration des transferts de zone DNS

Fonctionnement de la réplication de zone DNS

Une requête AXFR est une requête de mise à jour de la zone

Une requête IXFR est une requête de rechargement de la zone

Serveur maitre : source des infos lors de la réplication. Celui auprès de qui un serveur secondaire

effectue les requêtes. Un maitre peut être Zone Secondaire.

2.19 Fonctionnement DNS Notify

Le serveur principal envoie les notifications aux serveurs secondaires

2.20 Protection des transferts de zones

Principes :

Restreindre le transfert de zones aux serveurs spécifiés (serveurs déclarés pour cette zone)

Chiffrer le transfert de zones (IPSec…)

Utiliser les zones intégrées AD

Configurer la restriction du transfert de zone :

1. Ajouter une Zone Principale sur SRV1

2. Ajouter une Zone Secondaire sur SRV2. SRV1 est maître.

3. Aller sur SRV1 et dire que SRV2 est connu pour la notification (ou intervalle d’actualisation) et

le transfert de zones.


Rappels, pour les zones intégrées Active Directory :

La partition ForestDNSZone est répliquée sur tous les DC qui ont le rôle DNS dans la forêt

La partition DomainDNSZone est répliquée sur tous les DC qui ont un rôle DNS dans le

domaine

2.21 Zones par défaut d’un DNS WS2008

_msdsc.domaine : répliqué sur la forêt ; informations sur les DC (cette zone est notamment

utilisée pour les transferts de données entre les DC du domaine.

domaine : répliqué sur le domaine

Attention : pour les zones intégrées AD, nom de la zone = nom de la machine qui héberge la zone

2.22 Fonctionnalités

TTL : durée de vie d’un enregistrement

Une valeur nulle de TTL est utile pour le round robin. « tri de masque réseau » privilégie @IP dans le

réseau

Vieillissement :

Un enregistrement non actualisé est supprimé au bout de 14 jours (par défaut)

Les enregistrements créés manuellement n’expirent jamais (par défaut)

Vieillissement défini sur la zone (zone) ou pour toutes les zones du serveur (serveur)


3 Configuration et gestion du service WINS

3.1 Utilisation

Le service WINS est obligatoire pour les raisons suivantes :

Les anciennes versions des systèmes d’exploitation Microsoft confient la résolution de noms

au service WINS

Dans le cas où certaines applications, généralement les plus anciennes, utilisent des noms

NetBIOS

Dans le cas où vous devez utiliser l’inscription des noms dynamiques en une partie

Dans le cas où les utilisateurs ont besoin de fonctionnalités de navigateur réseau ‘Voisinage

réseau’ et ‘Favoris réseau’

Dans le cas où vous n’utilisez pas Windows Server 2008 en tant qu’infrastructure DNS

3.2 Vue d’ensemble de WINS

Inscription et libération de l’enregistrement

TTL = 6j (avec renouvellement de l’enregistrement possible à 50%)

3.3 89BLe traitement en rafale :

Temps de renouvellement = 5 secondes + durée aléatoire


3.4 Processus de résolution des noms

Le port utilisé pour les requêtes WINS est TCP137

3.5 Configurer le service

Installation :

Gestionnaire de serveur > Ajouter fonctionnalité > Serveur WINS

Gestion :

Outils d’administration > WINS

Configurer les délais avant suppression, intervalle de renouvellement … :

WINS > Serveur >> Propriétés > Onglet ‘intervalles’

Supprimer : il est possible de supprimer un enregistrement ou bien de supprimer un enregistrement +

répliquer la suppression aux autres serveurs WINS.

Réenregistrer les informations de l’ordinateur sur le serveur WINS :

C:\> nbtstat

La sauvegarde WINS est online, mais la restauration est offline.

La base de données WINS n’est pas hiérarchisée/

3.6 Réplication

Les réplications par émission et les réplications par réception fonctionnent ensemble. Il faut donc les

configurer toutes les deux.

3.6.1 Réplication par émission

Il faut deux serveurs WINS : un émetteur + un récepteur

Toutes les N modifications : réplication


Fonctionnement de la réplication par émission

3.6.2 Réplication par réception

Toutes les T heures : réplication

Fonctionnement de la réplication par émission

3.6.3 Configurer la réplication

A faire sur les deux serveurs WINS qui répliquent ensemble :

Outils d’administration > WINS > partenaire de réplication

Propriétés des partenaires de réplication : définir réplication par émission | réplication par réception

Onglet ‘avancé’ des propriétés des partenaires de réplication : définir les partenaires

Nota : l’adresse des multidiffusions des serveurs WINS est 224.0.1.24

Attention : ne pas activer la configuration auto des partenaires : bouffe la bande passante

3.7 Migration de WINS vers DNS

Lors des ping, quand on utilise un nom court, le suffixe DNS est implicite.

C:\> ping pc01 [.domaine.local.]

Attention : via DHCP on ne peut pas fournir plusieurs noms courts


4 Configuration et dépannage du protocole DHCP

4.1 Vue d’ensemble DHCP

Présentation :

DHCP (Dynamic Host Configuration Protocol) : protocole de configuration automatique des

hôtes (TCP/IP).

L’objectif de DHCP est de réduirela charge administrative ainsi que d’éviter les erreurs de

configuration.

Inconvénient : il faut un serveur DHCP dans le domaine local. Il faut aussi faire attention aux

serveurs DHCP non fiables.

Configuration manuelle de TCP/IP VS configuration automatique de TCP/IP

Comment le protocole DHCP alloue des adresses IP :

Un peu de vocabulaire

Renouveller le bail (l’hôte « loue » une adresse IP auprès du serveur) :

C:\> ipconfig /renew

Casser le bail (déconfigurer DHCP sur le client)

C:\> ipconfig /release


Obtention d’une adresse IP :

1. Le client envoie une requête DHCPDISCOVER (source : 0.0.0.0 ; destination :

255.255.255.255)

2. Tous les serveurs répondent par un paquet DHCPOFFER

3. Le client accepte la premier offre et rebroadcaste un paquet DHCPREQUEST

4. Le serveur DHCP qui a gagné unicaste un paquet DHCPACK contenant toutes les informations

4.2 Renouvellement de bail DHCP

à 50% : DHCPREQUEST en unicast (actualise sa configuration actuelle)

à 87,5% : DHCPREQUEST en broadcast (actualise en essayant de trouver tous les serveurs

dispo)

à 100% : DHCPDISCOVER en broadcast (demande un nouveau bail)

au délà de100% : d’autoattribue une adresse de type APIPA = 169.254.0.0/16

Un serveur peut renvoyer un paquer DHCPNAK en réponse à un DHCPREQUEST dans le cas où

l’adresse IP a été redonnée ailleurs. Dans ce cas le client renvoit un DHCPDISCOVER en broadcast.

Pour réparer une configuration réseau bancale (vider les caches ARP, NetBIOS, DNS) :

C:\> ipconfig/renew

4.3 Autorisation du service DHCP

Sur AD on peut déclarer les serveurs DHCP comme étant autorisés à démarrer (Windows 2000 et +)

Le serveur DHCP n’est pas obligé d’être membre d’AD

Le groupe Administrateurs de l’entreprise peut autoriser les serveurs DHCP

Attention : Si un serveur DHCP fonctionnait avant puis ajout AD et non déclaré, alors il ne fonctionne

plus

Fonctionnement d’un relais DHCP

Attention : pour que les requêtes DHCP passent les routeurs, il faut autoriser [UDP 67]


Configuration des étendues et des options DHCP :

Une étendue est un ensemble d’adresses IP pouvant être « louées » à des clients DHCP.

Pour les réservations, il est conseillé d’utiliser les adresses mac plutôt que les adresses IP.

A propos des étendues DHCP

Si le nombre d’hôtes DHCP augmente et dépasse l’étendue, on peut regrouper plusieurs étendues en

« super étendue » pour que DHCP :

attribue des adresses à partir de l’étendue1

quand l’étendue1 est pleine, attribue des adresses à partir de l’étendue2

4.4 Les options DHCP

Ces options peuvent s’appliquer au niveau :

Du serveur DHCP (exemple : configuration DNS)

De l’étendue (exemple : passerelle par défaut)

De la classe (liée à l’OS)

Du client réservé (configuration manuelle du client)

Les options configurables sont :

Serveur DNS

Nom DNS

Passerelle par défaut

Serveur WINS

Durée de bail …

Configuration de la classe :

C:\> ipconfig /setclassid <nom-interface-rso> "nom de la classe"

Afficher la classe utilisateur :

C:\> ipconfig /all

4.5 Réservation

Une réservation permet de donner une adresse IP spécifique à un poste dont on a renseigné l’adresse

MAC. Les réservations sont à configurer poste par poste.


4.6 Gestion d’une base de données DHCP

Les sauvegardes des bases DHCP peuvent être :

synchrone (sauvegardes à intervalles réguliers)

asynchrone (sauvegardes déclenchée manuellement)

Principe de la réconciliation

4.7 Migration de serveurs DHCP

Sur le futur serveur :

Configurer les étendues

Sur l’ancien serveur :

Diminuer la durée des baux

Ajouter peu à peu les exclusions

Résoudre les conflits lors des migrations (utilise ICMP2) :

Outils d’administration > DHCP > IPv4 >> Propriétés avancées > Tentative de résolution des

conflits

4.8 Serveur DHCP de secours

L’objectif est de couvrir le risque de déni de service.

Un rapport 80/20 est utile pour un reboot du serveur DHCP principal

Si l’indisponibilité risque d’être plus longue qu’un reboot, penser à changer le pourcentage ou la durée

des baux.

Sur le serveur principal :

étendue = 192.168.1.10-192.168.1.254, plage d’exclusion : 192.168.1.206-192.168.1.254

Sur le serveur de secours :

étendue = 192.168.1.10-192.168.1.254, plage d’exclusion : 192.168.1.10-192.168.1.205

2 ICMP (Internet Control Message Protocol) est un protocole utilisé pour véhiculer les messages de contrôles et

d’erreurs. Exemple : ICMP est utilisé pour véhiculer les PING


4.9 DHCP et DNS

Configurer la mise à jour dynamique des enregistrements DNS (DDNS = Dynamic DNS)

Outils d’administration > DNS > Zones > mise à jour dynamique (via DHCP)

Sans DDNS (et dans les cas des clients à adresse IP statique, non DHCP), c’est le client qui effectue

les enregistrements A et PTR auprès du serveur DNS principal.

Les deux méthodes d’enregistrements DDNS. Privilégier la méthode en bleu

Méthode de configuration d’enregistrements DDNS sur le serveur DHCP :

Outils d’administration > DHCP > IPv4 > Propriétés > DNS

Pour pouvoir mettre à jour les serveurs DNS à partir des serveurs DHCP non intégrés AD :

L’ordinateur doit faire partie du groupe ‘DNS Proxy’

Le groupe ‘utilisateurs DHCP’ n’a qu’un droit en lecture seule au DHCP. Ils peuvent cependant ouvrir

la MMC du service DHCP pour en lire les informations.


5 Configuration et dépannage du protocole IPv6

5.1 Vue d’ensemble IPv6

Les différences entre IPv4 et IPv6

Format des adresse IPv6 = de 0000:0000:0000:0001 à FFFF:FFFF:FFFF:FFFF (hexadécimal)

Préfixes des adresses IPv6 :

Adresse de monodiffusion globale : entre 2000:xxx et 3FFF:xxx

Adresse de monodiffusion de liaison locale (équivalent à discover) : commence par FE80:xxx

Adresse de multidiffusion (multicast) : FFxx:xxx

Adresse de monodiffusion unique locale : FC00:xxx

Adresse de loopback : ::1

De plus, les masques sont au format CIDR.

Répartition des adresses :

Rôle Qui ? Nombre de possibiliés

Racine IRCANN 128 bits

Régions RIS RIPE ; ARIN … 2340::/12 soit 2^116 possibilités

ISP : FAI FAI1 (2340:1111::/32 ; FAI2 2^30 FAI/région ; 2^96 possibilités

Sociétés Société1 (2340:1111:AAAA::/48) 2^80 possibilités

Attribution des adresses IPv6

en bits :

|001|region| ISP | Société | 216 sous réseaux | Hôtes |

0 12 32 48 64 128


Type d’adresses :

Adresses de liaison locale (FE80:xxx) : sert à s’attribuer automatiquement une adresse

(autodhcp). Ne passe pas les switchs

Adresses uniques locales (FC00:xxx) : ne sont pas routables sur internet. On doit donc utiliser

un routeur NAT pour l’accès internet

Adresses uniques globales (entre 2000:xxx et 3FFF:xxx) : routable sur internet

Les routeurs IPv6 on des adresses anycast en plus des autres adresses

Identifiant de zone : FE80::260:d0ff:fee9:4143%3 définit l’interface : id de zone

Les ports :

http://@IPv6:8000

http://[@IPv6]:8000 utilisé pour éviter les ambiguïtés

Configuration DHCP des adresses IPv6 :

Attribution d’une adresse DHCP IPv6

Provisoire Préféré Obsolète Non Valide

(Peut initier ou (peut finir une

Répondre à des appels) conversation)

VALIDE

Durée de vie préférée


5.2 Cohabitation de IPv4 avec IPv6

Exemple de cohabitation IPv4 etIPv6

Nota important : La méthode du schéma ci-dessus est à mettre en pratique lors d’une migration

d’IPv4 vers IPv6 !

La pile IP (IPv4 / IPv6) :

Windows Vista et + savent faire de l’IPv6

Si DNS est activé en même temps que la pile IPv4/IPV6, cela génère deux fois plus de

requêtes DNS. Le traffic augmente donc.

DNS prend en compte les enregistrements AAAA (IPv6) ainsi que les PTR associés

Les couches des piles IPv4, IPv6 et IPv6 sur IPv4


6 Configuration et dépannage du service de routage et d’accès à

distance

NAS : Network Access Service. Service d’accès réseau. Exemples : switch, serveur VPN, point d’accès

WiFi, DSLAM, etc.

6.1 Configuration de l’accès réseau

Composants utilisés pour le routage et l’accès à distance

Service utilisé pour la configuration du routage et de l’accès à distance :

Rôles du serveur > Service VPN

Service utilisé pour l’authentification RADIUS :

Rôles du serveur > Serveur NPS (Network Policy Server)

RADIUS permet de :

Fournir un accès aux ressources d’un réseau privé à des utilisateurs distants

Traduire des adresses réseau (NAT)

RADIUS fonctionne sur le principe du AAA :

Authentication : cryptage (MS-CHAPv2, EAP (PEAP, TSL, EAP-MSCHAPv2)

Autorization : fournir une adresse IP

Accounting : Journalisation


6.2 Configuration de l’accès VPN

Composants utilisés lors de l’accès VPN

Les communications VPN utilisent un canal sécurisé (tunnel de communication).

Tunnel de type PPTP

Tunnel de type L2TP

L2TP sur IPsec. IPsec ajoute du cryptage

De plus, il existe 3 niveaux de cryptage :

DES : 56 bits

3DES : 3x56 bits

AES : 128 bits


NAT-T est utilisé pour la translation des adresses NAT (cas des box internet)

PAT-T est utilisé pour la translation des adresses PAT. Une adresse PAT est une adresse IP liée à un

numéro de port de routeur (cas des box internet)

6.3 Site à Site :

Configuration requise pour faire du VPN site à site :

Deux interfaces réseau (privée + publique) sur le serveur

Allocation d’adresses IP (statique / DHCP)

Fournisseur d’authentification (NPS / RADIUS ou serveur VPN)

6.4 Configuration de l’accès par rapport au serveur

La stratégie réseau détermine les autorisations selon les Utilisateurs et selon les groupes utilisateurs

(depuis Windows Serveur 2000).

Les critères paramétrables sont :

Conditions

Contraintes

Paramètres d’appels entrant (Utilisateur / Ordinateur)

Application de la stratégie pour l’autorisation ou le refus de connexion


Paramétrage des stratégies d’accès réseau :

Outils d’administration > Routage et accès réseau > connexion et stratégie de groupe

Définition des stratégies d’accès réseau :

Outils d’administration > Serveur NPS > Stratégies réseaux > ajouter une stratégie

Exemple de stratégies définies :

Statégie1 condition1 1 refuser/autoriser

Statégie2 condition2 2 refuser/autoriser

StatégieN conditionN … refuser/autoriser

+ Journalisation (demande de comptes / demande d’authentification)

Attention : la loi française oblige à garder les logs internet pendant 1 an

Il est possible de créer un média d’autoconfiguration des clients VPN :

Gestionnaire de serveur > Fonctionnalité > Kit d’Administration de Connection Manager

6.5 Outils de dépannage :

Trousse à outil de dépannage du réseau


7 Service de rôle Serveur NPS

Le but de ce rôle est d’authentifier, autoriser et journaliser les accès distants.

RADIUS : Remote Authentication Dial-In User Service, est aussi appelé AAA.

Le service Windows à installer est NPS (sur les vieux serveurs : service IAS)

Un serveur NPS contient les fonctions de Serveur RADIUS + Proxy RADIUS + Protection d’accès au

réseau

Exemples d’utilisations du service RADIUS

Les clients RADIUS (en rouge sur le schéma ci-dessus) effectuent :

Authentification (authentication)

Journalisation (accounting)

Le Proxy RADIUS route les requêtes RADIUS vers le bon serveur RADIUS (en fonction des protocoles,

du type de tunnel …)

On utilise le service NPS pour :

Protection du réseau,

Accès câblé et sans fil,

RADIUS,

Passerelle Terminal Server


7.1 Installation

Installation du serveur NPS :

Rôle > Service de stratégie et d’accès réseau > Service NPS

Configuration du réseau :

C:\> netsh

Le groupe « Serveur RAS et IAS » doit contenir les machines clients RADIUS

Routage et accès distant > serveur > propriétés > sécurité > configurer le serveur

d’authentification / configurer le serveur d’accounting

Le proxy doit pointer vers les serveurs RADIUS. Ceux-ci sont définis dans « groupes de serveurs ».

Utilité du proxy RADIUS

7.2 Méthode d’authentification pour un serveur NPS

MS-CHAPv2 ; EAP ; (+ les plus anciens)

Accès non authentifié (clients WI-FI ou réseau public avec un switch) portail captif http

Certificats (méthode EAP-TLS ou PEAP-TLS) possibles sur le serveur VPN

o Autorité de certification

o Certificat d’ordinateur client (ex : sur clé USB)

o Certificat d’utilisateur (sur un support), en + du login/mdp

o Certificat de serveur (pas obligatoire) pour qu’un serveur prouve son ID au client

Si on gère soi-même les certificats, il faut que le client y fasse confiance. Il faut donc définir une

« autorité de confiance »

7.3 Journalisation

Ne pas journaliser sur le disque C:\ pour éviter des problèmes de disque plein

Serveur NPS > gestion journalisation


8 Configuration de la sécurité IPSEC

IPsec est utilisé pour la mise en place de protocoles sécurisés (entre autres)

Présentation d’IPsec

IPSec doit être configuré sur tous les intervenants

Deux protocoles sont utilisés par IPSec :

ESP (authentification ; intégrité ; chiffrement)

AH (authentification ; intégrité ; anti-relecture)

Paramétrage d’IPsec :

Pare-feu Windows avec fonctionnalités avancées

C:\> netsh

Configurer les règles de sécurité :

Mise en œuvre en mode transport (machine/machine) ou tunnel

Isolation

Mode transport :


Mode tunnel :

Paramétrage d’IPsec :

wf.msc > paramètres > paramètres IPSec

Il faut aussi configurer les paramètres de profil (privé / public / de domaine) ..

.. ainsi que les règles de sécurité de connexion (à faire sur les 2 ordinateur : de chaque côté)

Nota : sur les anciens OS (Windows XP, Windows 2003 et moins) l’IPsec se configure avec :

Secpol.exe > Stratégie de sécurité IP


9 Analyse et dépannage de la sécurité IPSec

Sous Windows XP, pour configurer la journalisation d’IPsec :

MMC > Moniteur de securite IP

Sous Windows Vista, pour configurer la journalisation d’IPsec :

wf.msc

473BDépannage de la sécurité IPSec :

Arrêter IPsec :

Services > Agent de stratégie IPsec > arrêter

Vérifier les communication :

C:\> ping xxx.xxx.xxx.xxx

Attention : si on fait de la prise en main à distance, il faut gérer un filtre « autorisé » pour la tester

Méthodologie de dépannage d’IPsec :

1. Vérifier les paramètres du pare-feu

2. Démarrer IPSec + IPSecMon

3. Vérifier si ça vient d’une GPO activée | désactivée

4. Vérifier la compatibilité des GPO

5. Vérifier le moniteur de sécurité IP

Dépannage d’IKE :

1. Connectivité IPSec | IKE

2. Pare-feu ? port ?

3. Oakley.log

Attention : il est conseillé d’avoir une carte réseau avec un coprocesseur dédié IPSec (si cryptage)

pour réduire la charge du microprocesseur.


10 Configuration et gestion du système de fichiers DFS

10.1 DFS : Distributed File System

Le principe de DFS est de faire de la haute disponibilité du service de Fichiers.

Principe et vocabulaire de DFS

DFS : structure virtuelle de partage + redondance et réplication des données

La redondance est particulièrement intéressante en inter-sites

Installation du rôle DFS :

Gestion du serveur > Rôles > Service de fichiers

Gestion du serveur > Service de rôle de serveur de fichiers > système de fichiersDFS

10.2 Scénarios mettant en jeu la réplication DFS

Exemples de cas d’utilisation conseillée de DFS


Configuration de DFS :

1. Créer un espace de nom (autonome : cluster possible | domaine ) admins de domaine

2. Créer un dossier dans l’espace de noms admins de domaine

3. Ajouter des cibles de dossiers admin local sur les serveurs

Gestion du système de fichiers distribués DFS :

Services > espace de noms DFS

10.3 Réplication DFS

Nota : la réplication DFS utilise le journal USN.

Configuration de la réplication DFS :

1. Installer DFS et configurer la réplication

C:\> adprep /forestprep

C:\> OCSetup DFSR-Infrastructure-ServerEdition

2. Vérifier si l’antivirus ne pose pas de problèmes

Attention aux fichiers qui sont modifiés sur plusieurs serveurs à la fois

Création d’un rapport de diagnostic de réplication :

Outils d’administration > DFS > réplication > nom > créer un rapport

10.4 Disponibilité des ressources

Les deux méthodes principales d’équilibrage de charge


Evolution « ultime » : cluster à basculement (WS2008 Entreprise) :

Equilibrage de charge par Cluster à basculement

Cependant, cette méthode coûte cher et la mise en œuvre est complexe.

Documents

Windows Serveur 2008 - Freemsaidallah.free.fr/cours/Reseaux-Windows-Serveur-2008.pdfPenser à renommer le serveur et à activer le bureau à distance … Attention aux services qui