Mémoire de fin de cycle
Ministère de l’Enseignement Supérieur Institut Supérieur d’Informatique
Et de la Recherche Scientifique et de Gestion des Affaires (MESRS) (SUPIGA)
MEMOIRE DE FIN DE CYCLE POUR L’OBTENTION DU
DIPLOME D’INGENIEUR DE CONCEPTION INFORMATIQUE
de l’Institut Supérieur d’Informatique et de Gestion des Affaires
(SUPIGA)
Option : Génie informatique
Thème : Mise en place d’un réseau d’entreprise sous
Windows 2008 server : Cas de l’ONG GRAADECOM
Présenté et soutenu par:
Amadou Bagayoko
Mémoire de fin de cycle
1
Dédicace :
Je dédie ce travail à :
Mes très chers parents, que nulle dédicace ne peut exprimer mes sincères
sentiments, pour leur patience illimitée, leur encouragement contenu, leur
aide, en témoignage de mon profond amour et respect pour ses grands
sacrifices.
Mes chers frères : Sinaly, Aissata, Alima et Mariam pour leur grand amour et
leur soutien qu’ils trouvent ici l’expression de ma haute gratitude.
Mémoire de fin de cycle
2
Remerciements:
Je souhaite adresser mes premiers remerciements à Monsieur Sidi Diallo et à
Monsieur Amadou Traoré pour avoir m’apporter leur confiance en me
proposant ce projet de mémoire de fin de cycle et pour la qualité de leur
enseignement durant ma formation.
Je remercie également Monsieur Issa Sidibé pour ces conseils, sa disponibilité
et surtout ces quelques phrases qu’il me disait m’ont permis d’avoir plus de
confiance et de faire plus pour l’avancement de mon mémoire.
Mes sincères reconnaissances à Madame Traoré Saïda Mounadeh pour
m’avoir aidé moralement pendant les moments difficile.
Je remercie Monsieur Allassane Diakité pour ces conseils, ces
encouragements et surtout sa disponibilité d’être toujours à l’écoute des
Etudiants.
Je remercie toute la promotion 2013 du cycle ingénieur que je souhaite pleins
de succès dans leurs vies professionnelles.
Mes vifs remerciements s’adressent également à tous les corps enseignant de
SUPIGA en général et ceux de la filière génie informatique particulièrement,
sans leurs efforts notre formation n’allait pas pu atteindre cette étape.
Enfin, je remercie toute ma famille pour son soutien et ses encouragements
durant mes années d’études. L’éducation qu’elle m’a prodigué m’a toujours
permis de faire face aux difficultés, de suivre mes rêves et de croire en la
réussite. Ce rapport vous est dédié ainsi qu’à tous ceux que j’ai oubliés.
Mémoire de fin de cycle
3
Table des matières Introduction ........................................................................................................................................ 5
CHAPITRE I: GÉNÉRALITÉS ......................................................................................................... 6
1. Contexte du Projet de Mémoire ................................................................................................. 7
1.1 Présentation de l’ONG GRAADECOM : ................................................................................ 7
1.2 Organigramme de la structure .................................................................................................. 8
3.1 Etude de l’existant .................................................................................................................... 9
3.2 Analyse des besoins de GRAADECOM : .............................................................................. 10
3.3 Solution Technique ................................................................................................................ 11
3.4 Liste de Matériel et logiciel .................................................................................................... 11
4. L’architecture de la Topologie ancienne. ............................................................................. 13
4.1 Critique de l’ancienne topologie ............................................................................................ 13
4.2 Proposition d’une nouvelle topologie : .................................................................................. 14
4.1.1 Fonctions principales de cette topologie ............................................................................ 15
4.1.2 Fonctions contraintes........................................................................................................... 15
4.1.3 Avantage de ce modèle ....................................................................................................... 15
5. Partage du fichier et droit d’accès ....................................................................................... 16
5.1 Les Taches à effectuer : ........................................................................................................ 17
CHAPITRE II : ................................................................................................................................ 18
1. Le plan d’adressage : ................................................................................................................ 19
1.1 L’installation de Windows 2008 server : .................................................................................. 20
2. Configurations des rôles de Services................................................................................... 21
2.1 Installation d’Active Directory : .......................................................................................... 22
2.2 Le DNS (Domain Name System) : ...................................................................................... 22
2.3 Le DHCP (Dynamic Host Configuration Protocol) ............................................................... 23
3. La Configuration des Routeurs : .............................................................................................. 23
Partie III : la sécurité ........................................................................................................................ 24
1. Introduction : ............................................................................................................................ 25
1.1 Installation et configuration initiale d’ISA serveur 2004 : ..................................................... 25
1.1.1 Installation et Configuration initiale d’ISA server 2004 : ................................................... 26
2. La Configuration Initiale : .................................................................................................... 26
3. L’assistant modèle réseau ......................................................................................................... 26
4. Paramétrage du pare-feu ........................................................................................................... 30
Introduction: ................................................................................................................................. 30
Mémoire de fin de cycle
4
5. Les éléments de stratégie: ........................................................................................................ 30
5.1 La création des Règles du Pare-feu ....................................................................................... 33
5.2 Ordre d'application des règles ............................................................................................... 34
5.3 Les règles de stratégie système .............................................................................................. 35
6. Exemple de configuration ........................................................................................................ 37
6.1 Interdire complètement l'accès à MSN Messenger .............................................................. 39
7. Mise en place d’un serveur VPN : ........................................................................................... 40
8. Synthèse du Mémoire et Conclusion : ..................................................................................... 41
Référence : ....................................................................................................................................... 43
Annexe : ........................................................................................................................................... 44
Mémoire de fin de cycle
5
Introduction
La proposition de ce mémoire s’exerce dans le cadre d’élaboration d’un
projet de fin d’étude. Le projet dans son ensemble consiste à mettre en place
un réseau d’entreprise d’une ONG sous Windows 2008 server.
Institut Supérieur d’Informatique et de Gestion des Affaires (SUPIGA) à
travers sa formation Cycle d’ingénieur, forme des ingénieurs polyvalents dans
la spécialité Programmation, Réseau Télécoms, Réseau Informatique,
l’administrateur base de données, pouvant exercer dans différents secteurs
d’activités en informatiques.
Afin de s’engager au mieux dans la vie professionnelle, les étudiants de
SUPIGA doivent effectuer un stage d’assistant ingénieur, à mi-parcours de
leur dernière année d'études. Ce stage est censé apporter une expérience de
l’environnement de l’entreprise, confirmer les acquis durant la formation tout
en apportant et/ou en proposant de nouvelles solutions au sein de leur
organisme d'accueil.
Tout au long de ce mémoire nous procéderons tout d’abord à une présentation
détaillée de l’ONG GRAADECOM dans son environnement. Par la suite,
nous nous attèlerons à donner une description de la tâche accomplie dans le
cadre de ce mémoire, l’importance de mon travail dans ce mémoire ainsi que
les observations et les conclusions technique à tirer.
Mémoire de fin de cycle
7
1. Contexte du Projet de Mémoire
GRAADECOM est un acteur dans le développement communautaire au
Mali, dont le siège est basé à SIKASSO. GRAADECOM compte aujourd'hui
plusieurs agences réparties sur l'étendue du territoire Malien.
GRAADECOM doit répondre à des contraintes fortes de sécurité et de
disponibilité de son système d'information pour ses clients, mais aussi à des
contraintes réglementaires majeures.
Pour répondre à ces besoins en terme d'infrastructures informatiques,
GRAADECOM a fait le choix de standardiser son infrastructure système et
réseau autour d'une architecture Microsoft Windows Serveur 2008 le tout
dans un environnement sécurisé. Disposant plus de 100 utilisateurs, la
solution mise en œuvre doit tenir compte de l'évolutivité du nombre
d'utilisateurs.
L'entreprise nous a donc confié la charge d'effectuer la refonte de
l'infrastructure système et réseau autour d'un domaine Microsoft Windows
Server 2008 Active Directory et la mise en œuvre d'une solution de
messagerie basée sur Microsoft Exchange Server 2007/2010. Il s'agit plus
précisément des prestations ci-dessous :
Fournir le matériel et les logiciels nécessaires pour la mise en œuvre de
la solution
Fournir une prestation de mise en œuvre
Former l'équipe technique de GRAADECOM
Fournir un accompagnement post déploiement de trois mois
1.1 Présentation de l’ONG GRAADECOM :
Le GROUPE DE RECHERCHES D’ACTIONS ET D’ASSISTANCE POUR
LE DEVELOPPEMENT COMMUNAUTAIRE (GRAADECOM) est une
Organisation Non Gouvernement qui intervient dans plusieurs secteurs de
développement entre autres : Education, Santé, Hygiène et Assainissement,
Agriculture, Micro-Finance et hydraulique.
Créer en 1997 elle compte aujourd’hui plus de 100 agents (permanents et
contractuels). Sont siège principal est basé à SIKASSO.
Mémoire de fin de cycle
8
1.2 Organigramme de la structure
L’organigramme est la représentation schématique de l’organisation qui
donne une image exacte de la division du travail et indique au premier coup
d’œil quels postes existent dans l’organisation, comment ils sont groupés en
unités et comment l’autorité formelle circule entre eux (selon quels canaux
s’exerce la supervision directe). L’organigramme c’est le squelette de
l’organisation selon Van de VEN. Par rapport à la définition des organes et
leurs fonctions, l’organigramme de GRAADECOM se présente comme suit :
Mémoire de fin de cycle
9
ADC (Agent de Développement Communautaire).
3.1 Etude de l’existant
Le parc informatique de l’entreprise L’entreprise dispose actuellement pour le local de Sikasso :
11 ordinateurs bureautiques
5 portables
Une photocopieuse
2 Scanners
Un Commutateur de 24 ports et un routeur Wifi
Conseil d’Administration
CA
Coordinateur
General CG Secrétaire
Chef de
département projet
/ programme
Chef de département
communication et
suivi – évaluation
Chef de département
administratif et
financier
ADC ADC ADC ADC
Assemblée Générale
(AG)
Mémoire de fin de cycle
10
3 imprimantes dont :
1. Une imprimante pour le service comptable
2. Une imprimante pour le Directeur
3. Une imprimante pour le secrétariat.
L’entreprise veut que l’imprimante du secrétariat soit partagée entre tous les
autres utilisateurs de l’entreprise à l’exception du directeur et les agents de la
comptabilité.
L’imprimante du service comptabilité sera également partager sur le réseau
entre les différents membres de la comptabilité selon le niveau de
responsabilité.
Pour le local de Koutiala :
2 Bureautiques
2 portables
Une imprimante
Un routeur Wifi sur lequel les 2 ordinateurs sont directement reliés.
Pour le local de Bamako :
5 Bureautiques
4 portables
Une imprimante
Un commutateur de 16 ports et routeur wifi.
Un scanner
Il faut également compter la présence circonstancielle d’ordinateurs
portables apportés et utilisés par les stagiaires ou les visiteurs au sein du parc
informatique.
La Structure ne disposant pas de serveurs, cependant elle a un besoin assez
pesant de serveurs pour héberger un certain nombre de ressources pour
faciliter leur accès pour tous les utilisateurs selon les niveaux de
responsabilité.
Les matérielles d'interconnexion
Les équipements d’interconnexion représentent le cœur du réseau dans une
architecture.
S'ils sont mal dimensionnés, ils pourront avoir des effets négatifs sur le trafic
du réseau, pouvant entrainer la détérioration de celui-ci.
3.2 Analyse des besoins de GRAADECOM :
Puisque la structure est en évolution et grandissant :
Pour faciliter la Mise en place du réseau, on leur a fait la proposition
suivante tout en spécifiant ceux dont ils ont besoins. Ces besoins sont :
Administration de ses ressources informatiques dans un environnement
sécurisé et centralisé
Mémoire de fin de cycle
11
Installation d'un service de messagerie pour faire communiquer tous les
employés de l'entreprise
Fournir des produits nécessaires à son bon fonctionnement
3.3 Solution Technique
Il existe beaucoup de solutions informatiques, mais leur mise en œuvre
nécessite un savoir faire. Les moyennes entreprises qui disposent souvent
seulement d'un consultant externe et dont les collaborateurs sont souvent
experts, mais pas nécessairement en informatique, se trouvent face à un défi
difficile. Comment exploiter les possibilités d'une solution informatique
moderne de manière efficace et rentable sans disposer en interne d'un
spécialiste qui puisse se consacrer entièrement à sa mission ?
Avec une intégration tout en un, qui couvre tous les domaines importants de
l'informatique, et qui se distingue par :
L'intégration étroite des composants qui la composent
Une utilisation particulièrement facile, qui ne requiert pas de
connaissances spéciales
Un potentiel de croissance intrinsèque
Un rapport prix prestations attrayant
Ce défi peut être relevé sans l’ombre d’une hésitation. C’est dans cette
optique que Microsoft Windows 2008 Server a été développé. Cette solution
complète permet aux moyennes entreprises de tirer parti des avantages de
l’intranet et d’internet, rapidement et simplement.
3.4 Liste de Matériel et logiciel
Quantité Désignation
1 Serveur d'administration
Serveur HP Proliant DL380 G6
Format : Rack 2U
Microprocesseur : Quad Core Intel Xeon 5540
Mémoire de fin de cycle
12
Mémoire cache : 8 Mo 1.3
Chipset : Intel 5520
Mémoire : 8Go DDR3 ECC
Emplacement mémoire: 8 logements DIMM
Disque dur: 2 X 146 Go SAS Hot plug
Contrôleur Raid : Smart Array P410i/256, Raid 0, 1 et 5
Carte réseau : 4 X 10/100/1000 Gigabit NC382i
Lecteur optique : Graveur DVD
Ports : 04 USB, 01 Série, 04 RJ45, 01 Ilo 2
3 Serveur HP Proliant DL380 G6
Format : Rack 2U
Microprocesseur : Quad Core Intel Xeon 5540
Mémoire cache : 8 Mo 1.3
Chipset : Intel 5520
Mémoire : 8Go DDR3 ECC
Emplacement mémoire: 8 logements DIMM
Disque dur: 2 X 146 Go SAS Hot plug
Contrôleur Raid : Smart Array P410i/256, Raid 0, 1 et 5
Carte réseau : 4 X 10/100/1000 Gigabit NC382i
Lecteur optique : Graveur DVD
Ports : 04 USB, 01 Série, 04 RJ45, 01 Ilo 2
3 Routeur Types Cisco
Le système d’exploitation qui sera installé est Windows 2008 Server Edition
Standard.
Mémoire de fin de cycle
13
4. L’architecture de la Topologie ancienne.
Schémas de l’architecture de la topologie ancienne de GRAADECOM
Dans l’ancienne topologie il n’ya pas de machine serveur installée dans
aucun des sites. Seules quelques machines de la structure sont connectées à
un commutateur de 24 ports. Ce dernier est connecté à un router TPlink qui a
seulement 4 ports. Cette structure n’est valable qu’à SIKASSO qui est le siège
principal de la structure et les autres machines bureautiques sont équipées de
carte Wifi pour qu’ils y soient connectés à l’internet. Dans les autres
structures il n’ya pas de connexion.
4.1 Critique de l’ancienne topologie
Le fait que la topologie soit en Etoile présente un défaut majeur. Le principal
défaut de cette topologie, c'est que si l'élément central ne fonctionne plus,
plus rien ne fonctionne : toute communication est impossible. Cependant, il
n'y a pas de risque de collision de données ;
Mémoire de fin de cycle
14
Outre la topologie il n’y a pas de ressources partagées entre les utilisateurs de
l’entreprise.
Certains employés, s’ils ont besoin d’imprimer un fichier, ils sont obligés de
prendre leur fichier sur clé pour aller l’imprimer chez la secrétaire.
Les Inconvénients
Baisse de rentabilité de la production du personnel
Pas de sécurité au niveau des données
Plus de matériels à acheter par l’entreprise
Puisqu’ il n’ya pas de câblage digne de ce nom l’aspect esthétique de
la structure sera vilain.
Donc cette Structure n’est pas du tout rentable pour l’entreprise.
4.2 Proposition d’une nouvelle topologie :
L’objectif est d’expliquer l’importance de l’environnement client serveur
dans un environnement réseau et son importance pour la rentabilité des
travailleurs de l’entreprise.
La nouvelle topologie consiste à mettre en place trois (3) sous-réseaux qui
seront tous reliés entre eux par les routeurs.
Dans cette topologie chaque site sera configuré en tant que contrôleur de
domaine sauf que les deux (2) sites distants celui de Koutiala et Bamako
seront configurés en contrôleur de domaine en lecture seule en raison de leur
taille et la distance qui les séparent de l’administrateur. De plus puisque ces
sites n’ont pas assez d’utilisateurs pour le moment, donc pas besoin d’un
administrateur physiquement sur ces sites, ce qui va permettre à l’entreprise
de ce faire une économie par rapport au besoin des techniciens sur ces sites.
Pour un souci économique et pratique, nous n’allons pas réinvestir dans un
nouveau serveur DHCP. De plus nous voulons que nos sites distants puissent
communiquer entre eux. Pour ce faire les routeurs reliant les sites seront
configurés pour faire office d’agent relais.
Pour que ces trois (3) sites puissent échanger des informations nous allons
configurer les routeurs qui seront utilisés pour relier les sites.
Dans cette topologie nous avons un site principal et deux sites distants.
Mémoire de fin de cycle
15
4.1.1 Fonctions principales de cette topologie
Le système doit permettre de centraliser les données
Le système doit assurer la continuité du travail des employés
Le système doit être sécurisé
4.1.2 Fonctions contraintes
L’installation du nouveau système ne doit pas perturber l’activité de
l’entreprise
Le système ne doit pas déranger les utilisateurs
4.1.3 Avantage de ce modèle
Le modèle client/serveur est particulièrement recommandé pour des
réseaux nécessitant un grand niveau de fiabilité, ses principaux atouts
sont :
Des ressources centralisées
Mémoire de fin de cycle
16
Étant donné que le serveur est au centre du réseau, il peut gérer des ressources
communes à tous les utilisateurs, comme par exemple une base de données
centralisée, afin d'éviter les problèmes de redondance et de contradiction.
Une meilleure sécurité Car le nombre de points d'entrée permettant l'accès aux données est moins
important.
Une administration au niveau serveur Les clients ayant peu d'importance dans ce modèle, ils ont moins besoin
d'être administrés.
Un réseau évolutif Grâce à cette architecture il est possible de supprimer ou rajouter des clients
sans perturber le fonctionnement du réseau et sans modification majeure.
5. Partage du fichier et droit d’accès
L’entreprise se divise en 4 groupes :
1. Direction
2. Comptabilité
3. Département Projets/programmes
4. Département Communication Suivi-Évaluation
L’entreprise compte parmi ces employés :
Direction
Secrétaire Général (Directeur)
Secrétaire
Comptabilité
Responsable Administratif et Financier
Comptable
Aide Comptable
Département Projets/Programmes
Chargé EPC
Chargé Agriculture
Chargé Education
Département Communication et Suivi-Évaluation
Coordinateur Projets/Programmes
Mémoire de fin de cycle
17
Chaque chargé de Programme gère des Agents de Développement
Communautaire (ADC) c'est-à-dire les agents de terrain.
5.1 Les Taches à effectuer :
Création des Comptes pour tous les utilisateurs de l’entreprise. Les
utilisateurs doivent changer de mot de passe au premier login.
Chaque utilisateur doit posséder un répertoire personnel et un profil errant.
Les profils et les répertoires personnels seront sauvegardés dans les
répertoires Users_Profils et Users_Personnels sur le serveur Principal.
De plus, la compagnie a besoin de 3 autres répertoires partagés (Projets,
Salaires et Programmes) qui seront accessibles pour les utilisateurs selon
les besoins suivants:
Les permissions doivent être attribuées aux groupes et non aux utilisateurs
sauf dans des cas spécifiques tel que le filtrage de permission :
• Tout le monde peut utiliser les applications du répertoire Projets sans
pouvoir les modifier.
• Tous les utilisateurs de votre domaine, sauf le directeur, peuvent juste
déposer des documents dans Programmes. Ils ne doivent pas être capables de
les modifier ni les supprimer. Le Directeur, quant à lui, peut déposer,
apporter des modifications et supprimer tous les documents de ce répertoire.
• Pour le service de la comptabilité, seul le Responsable Administratif
financier possède des droits de modification sur le répertoire Salaires, tous
les autres utilisateurs n’ont pas le droit de consulter le contenu de ce
répertoire.
• Chaque utilisateur a le droit de modification sur son répertoire personnel
sans être capable d’accéder aux répertoires des autres utilisateurs.
• Chaque utilisateur a le droit de modification sur son profil sans être capable
d’accéder aux profils des autres utilisateurs.
• L’administrateur a le full control sur tous les répertoires sauf le répertoire
Users_Profils.
• Les répertoires Users_Profils et Users_Personnels doivent être cachés.
Mémoire de fin de cycle
18
CHAPITRE II :
INSTALLATION DE WINDOWS
2008 SERVER ET DÉPLOIEMENT
DES SERVICES
Mémoire de fin de cycle
19
Cette partie sera consacrée à la mise en place de Windows 2008 serveur ainsi
que les déploiements des services de rôles.
1. Le plan d’adressage :
Puisque l’entreprise est en croissant, nous avons choisi une adresse de classe
B qui renferme plus d’hôte par rapport à une adresse de classe C.
L’adresse IP choisie est la suivante : 172.16.0.0 en slash 16 soit le masque
225.255.0.0
L’entreprise dispose de trois (3) sites donc trois sous réseaux selon les besoins
suivants :
Pour le LAN de Sikasso 200 hôtes
Pour le LAN de Bamako 100 hôtes
Pour le LAN de Koutiala 50 hôtes
Pour les liaisons serial 2 adresses IP utilisable
Pour obtenir les sous réseaux nous avons procédé au découpage de l’adresse
IP par la technique VLSM () : le résultat obtenu se trouve dans le tableau ci-
dessous :
ID Réseaux Adresse sous-
réseaux
Plage de
diffusion Plage d’adresse Masque décimal
Nombre
d’hôte
utilisable
LAN
SIKASSO 172.16.0.0 172.16.0.255
172.16.0.1
à
172.16.0.254
255.255.0.0 254
LAN
BAMAKO 172.16.1.0 172.16.1.127
172.16.1.1
à
172.16.1.126
255.255.255.0 126
LAN
KOUTIALA 172.16.1.128 172.16.1.191
172.16.1.129
à
172.16.1.190
255.255.255.128 61
Liaison
SKO-BKO 172.16.1.192 172.16.1.195
172.16.1.193
à
172.16.1.194
255.255.255.252 2
Liaison
SKO-KLA 172.16.1.196 172.16.1.199
172.16.1.197
à
172.16.1.198
255.255.255.252 2
Liaison
BKO-KLA 172.16.1.200 172.16.1.203
172.16.1.201
à
172.16.1.202
255.255.255.252 2
Liaison
Router-
ISA_SKO
172.16.1.204 172.16.1.207
172.16.1.205
à
172.1.16.206
255.255.255.252 2
Liaison
Router-
ISA_BKO
172.16.1.208 172.16.1.211
172.16.1.209
à
172.16.1.210
255.255.255.252 2
Liaison
Router
ISA_KLA
172.16.1.212 172.16.1.215
172.16.1.213
à
172.16.1.214
255.255.255.252 2
Mémoire de fin de cycle
20
1.1 L’installation de Windows 2008 server :
Pour pouvoir installer le Windows 2008 servers, un certain nombre de
contrainte est exigé sur le choix du matériel (caractéristique du matériel) sur
lequel ont doit installer le produit.
Pour cela la configuration requise estimée pour Windows Server 2008 est
présentée ci-dessous. Si votre ordinateur ne possède pas la configuration
minimale requise, vous ne pourrez pas installer ce produit correctement. La
configuration requise réelle varie en fonction de la configuration de votre
système et des applications et fonctionnalités que vous installez.
Processeur
Les performances du processeur dépendent non seulement de la fréquence
d’horloge du processeur, mais également du nombre de cœurs de processeur
et de la taille du cache de processeur. La configuration requise en matière de
processeur pour ce produit est la suivante :
Configuration minimale : 1 GHz (pour processeurs x86) ou 1,4 GHz
(pour processeurs x64)
Configuration recommandée : 2 GHz ou plus rapide
Remarques
Un processeur Intel Itanium 2 est requis pour Windows Server 2008 pour les
systèmes Itanium.
RAM
La configuration requise en matière de mémoire RAM pour ce produit est la
suivante :
Configuration minimale : 512 Mo
Configuration recommandée : 2 Go ou plus
Configuration maximale (systèmes 32 bits) : 4 Go (pour
Windows Server 2008, Standard Edition) ou 64 Go (pour Windows
Server 2008, Édition Entreprise ou Windows Server 2008, Datacenter
Edition)
Configuration maximale (systèmes 64 bits) : 32 Go (pour
Windows Server 2008, Standard Edition) ou 2 To (pour Windows
Mémoire de fin de cycle
21
Server 2008, Édition Entreprise, Windows Server 2008, Datacenter
Edition ou Windows Server 2008 pour les systèmes Itanium)
Notre configuration minimale étant requise nous pouvons procéder à
l’installation de notre produit.
L’installation de Microsoft Windows 2008 server se fait de plusieurs
façons.
Voir la procédure d’installation en annexe.
2. Configurations des rôles de Services
Nous allons configurer notre Windows 2008 server en installant le rôle des
services suivants :
Le service Active Directory (AD)
Le service Domaine Name Service (DNS)
Le service Dynamics Host Configuration Protocol (DHCP)
1.1 Active Directory
Active Directory est un annuaire d’entreprise, utilisé pour faciliter la
gestion des utilisateurs.
Il existe plusieurs types d’annuaire d’actif directory :
Les Services de domaine Active Directory (AD DS, Active Directory Domain
Services) présentent de nombreux avantages, notamment le fait de pouvoir
gérer des installations de toutes tailles, qu’elles soient composées d’un
serveur unique avec quelques centaines d’objets, ou de milliers de serveurs
avec plusieurs millions d’objets. Active Directory simplifie aussi grandement
le processus de recherche des ressources sur un grand réseau.
L’interface ADSI (Active Directory Services Interface) et le nouvel ADAM
(Active Directory Application Mode) introduit dans Windows Server 2003 R2,
permettent aux développeurs de créer des applications pouvant accéder aux
annuaires, donnant ainsi aux utilisateurs un point d’accès unique vers de
multiples annuaires, que ceux-ci s’appuient sur LDAP, NDS ou NTDS (NT
Directory Services).
Active Directory combine le concept Internet d’espace de noms et les services
d’annuaire du système d’exploitation. Cette combinaison permet d’unifier
plusieurs espaces de noms dans, par exemple, les environnements logiciels et
matériels hétérogènes des réseaux d’entreprise, même entre systèmes
d’exploitation différents. Compte tenu de sa capacité à regrouper des
annuaires différents dans un unique annuaire à usage général, Active
Mémoire de fin de cycle
22
Directory diminue sensiblement les coûts induits par l’administration de
plusieurs espaces de noms.
Active Directory permet d’administrer, depuis un même emplacement, toutes
les ressources publiées : fichiers, périphériques, connexions d’hôte, bases de
données, accès web, utilisateurs, autres objets quelconques, services, etc.
Active Directory emploie le protocole DNS comme service de localisation,
organise les objets des domaines dans une hiérarchie d’unités
organisationnelles (OU, organizational unit) et permet de regrouper plusieurs
domaines au sein d’une arborescence. Il existe les concepts de contrôleur
principal de domaine (PDC) et de contrôleur secondaire de domaine (BDC).
Le rôle BDC est dorénavant rempli par le contrôleur de domaine en lecture
seule (RODC, Read-Only Domain Controller).
L’active Directory est bien plus qu’un simple annuaire.
2.1 Installation d’Active Directory :
Sur Windows 2008, l’installation de l’annuaire peut se lancer de deux façons
différentes de part son mode de fonctionnement différent de ses prédécesseurs
qui étaient 2000 et 2003. En effet, sur les versions antérieures, il fallait
exécuter depuis « Executer » du menu « Démarrer » la
commande « DCPROMO.EXE » qui lançait l’assistant d’installation Active
Directory. Cette solution est toujours opérationnelle sur 2008 cependant il est
possible désormais de passer au préalable par l’interface graphique.
DCPROMO reste cependant nécessaire pour configurer l’annuaire sous 2008
car le nouvel assistant n’installe que les fichiers et services nécessaires à AD
DS mais ne l’installe pas à proprement parler. En résumé, ca ne semble pas
servir à grande chose de prime abord à part perdre un peu plus de temps
cependant, le fait d'installer le rôle vous permettra entre autres d'utiliser des
outils comme DCDIAG.
De ce fait nous allons lancer le « gestionnaire de serveur » en cliquant sur
l’icône situé à côté de « Démarrer ». Nous pouvons également y accéder par
un clic droit sur « Ordinateur » depuis le menu « Démarrer » et choisir
l’option « Gérer ».
L’installation de l’Active Directory est présentée en annexe.
2.2 Le DNS (Domain Name System) :
Mémoire de fin de cycle
23
Le DNS assure la résolution de nom d’hôte en adresse IP.
Le service DNS est essentiel pour le fonctionnement d’Active Directory et
repose en priorité sur lui pour localiser les ressources sur le réseau et être
localisé.
L’ors de l’installation d’AD, l’assistant détecte la présence du DNS et vous
propose le cas échéant de l’installer s’il n’est pas présent.
Une fois le service DNS installer il est nécessaire de le configurer pour qu’il
puisse effectuer la résolution de nom d’hôte en adresse IP et vis versa.
2.3 Le DHCP (Dynamic Host Configuration Protocol)
Le DHCP consiste à attribuer les adresses IP aux machines clientes de façon
automatique. Cela va permettre de simplifier le travail à l’administrateur
réseau.
3. La Configuration des Routeurs :
Les routeurs sont des équipements qui nous permettent de relier des réseaux
différents.
Nous allons configurer nos routeurs par l’implémentation d’un protocole de
routage dynamique. Les protocoles de routage dynamique s’adaptent
automatiquement aux modifications, sans qu’aucune intervention de
l’administrateur réseau ne soit nécessaire. Notre choix par rapport au
protocole de routage dynamique en général et particulièrement le protocole de
routage configuré ici c'est-à-dire le protocole de routage EIGRP s’explique
par rapport à notre choix pour la liaison d’agrégation et le type de routeur. Le
protocole de routage EIGRP est un protocole de routage intérieur à vecteur de
distance avancé développé par Cisco. En cas de panne de l’une des liaisons
nos données peuvent toujours transiter sur notre réseau du à la liaison
d’agrégation. De plus nous ferons la configuration de telle sorte que les
ordinateurs des sites distants puissent accéder à l’internet via le site principal.
Mémoire de fin de cycle
25
1. Introduction :
La sécurité au niveau de l’entreprise est un facteur incontournable pour les
entreprises. Pour sécuriser notre environnement notre choix a été porté sur le
ISA server (Internet and Accelerator Security). Nous allons utiliser la version
2004 pour plusieurs raison :
Une nouvelle interface graphique beaucoup plus ergonomique et
intuitive.
La configuration des règles du pare-feu a été entièrement revue par
rapport à la version 2000 notamment au niveau de l’ordre d’application
des règles.
Le paramétrage des règles de routage/NAT entre les différents réseaux
connectés au serveur ISA a été révolutionné grâce à la création d’un
assistant de configuration réseau qui permet de se décharger
totalement de cette opération et permet ainsi de se concentrer sur le
paramétrage des options liées à la sécurité.
De nouveaux filtres applicatifs ont été ajoutés ou modifiés. Par
exemple le filtre HTTP a été grandement remanié afin d’augmenter le
niveau de sécurité des applications web comme IIS, Exchange ou bien
encore Outlook.
Les possibilités au niveau de la surveillance (ou monitoring) ont été
développées en profondeur. Ainsi on pourra visualiser les journaux
(logs) et les sessions actives en temps réel, importer et exporter des
rapports au format HTML, tester la connectivité réseau,…
Le serveur VPN est dorénavant totalement intégré au serveur ISA et
son paramétrage en est d’autant plus facilité.
La possibilité d’importer et d’exporter la configuration du serveur
ISA au format XML.
1.1 Installation et configuration initiale d’ISA serveur
2004 :
L’installation d’ISA serveur (Internet and Accelerator Security serveur) exige
un certain nombre de contrainte pour pouvoir l’installer.
Voici les caractéristiques logicielles et matérielles requises pour exécuter ISA
Server 2004 :
processeur Pentium III 550 ou plus performant
256Mo de mémoire vive
un nombre de cartes réseaux et/ou modems adéquats
Mémoire de fin de cycle
26
une partition ou un volume formaté avec le système de fichier NTFS
et disposant de 150Mo d’espace libre (bien entendu, si vous souhaitez
activer la mise en cache, il faudra disposer de plus d’espace).
un minium de deux interfaces réseau (carte réseau, modem RNIS,
modem ADSL,...)
Windows Server 2003 ou Windows 2000 Server SP4 (Attention :
Microsoft recommande l'installation du correctif en plus du Service
Pack 4)
Internet Explorer 6.0 ou supérieur
Pour notre cas nous allons installer ISA server 2004 sur Windows 2008
server.
1.1.1 Installation et Configuration initiale d’ISA server 2004 :
Nous allons présenter l’installation d’ISA serveur 2004 tout en faisant une
comparaison entre les versions 2000 et 2004.
L’installation d’ISA 2004 serveur est détails en annexe.
2. La Configuration Initiale :
Une fois l'installation terminée, six nouveaux services sont installés et
doivent être démarrés pour que le serveur fonctionne correctement.
Quatre de ces services concernent directement ISA Server :
Contrôle de Microsoft ISA Server : ce service est le service principal
d'ISA 2004. Il se révèle très utile pour arrêter/démarrer le service pare-
feu et le service Planificateur de tâches Microsoft ISA Server en une
seule opération.
Pare-feu Microsoft : ce service est le plus important, il gère toutes les
connexions faites au serveur, les règles du pare-feu, les règles de mise
en cache, ... S'il n'est pas démarré, aucune des fonctionnalités du
serveur n'est assurée (mise en cache, pare-feu et serveur VPN).
Planificateur de tâches Microsoft ISA Server : ce service permet de
planifier des rapports sur l'activité du serveur.
Espace de stockage Microsoft ISA Server : ce service gère
notamment le système de surveillance intégré à ISA Server et l'espace
mémoire nécessaire à la mise en cache.
3. L’assistant modèle réseau
L’une des principales améliorations au niveau de l'interface concerne la
configuration du NAT et/ou routage entre les différents réseaux
connectés au serveur ISA. En effet, un assistant très efficace est désormais
Mémoire de fin de cycle
27
disponible pour mettre en place sans efforts administratifs les topologies
réseau classiquement utilisées sur un pare-feu. Il suffit de lancer l’assistant et
en 3 clics de souris, les règles qui permettent la communication entre les
différents réseaux reliés au serveur sont automatiquement paramétrées. Cinq
configurations sont prédéfinies voir le tableau ci-dessous:
• Pare-feu de périmètre
Dans cette configuration, le
serveur ISA est un hôte
bastion, c’est-à-dire un pare-
feu interconnectant un
réseau Privé à un réseau
public. C’est le scénario
classique en entreprise
lorsque l’on souhaite filtrer
l’accès à Internet.
• Périmètre en trois parties
Le serveur ISA possède trois
interfaces chacune connectée
à un sous réseau ou à un
réseau différent :
- la première est connectée
au réseau interne de
l’entreprise
- la seconde à un réseau
périphérique encore appelé
zone démilitarisée ou DMZ
(DeMilitarized Zone)
- la dernière à un réseau
public comme Internet.
Pare-feu avant
Dans ce scénario, le serveur
ISA est configurée pour être
le premier pare-feu d’un
réseau équipé de deux pare-
feu mis dos-à-dos. Le
serveur ISA est l’ordinateur
qui filtre les informations
circulant entre le réseau
périphérique (DMZ) et le
réseau public (ex. : Internet).
Mémoire de fin de cycle
28
Pare-feu arrière
Dans ce scénario, le serveur
ISA est configurée pour être
le second pare-feu d’un
réseau équipé de pare-feu
dos-à-dos.
Le serveur ISA est
l’ordinateur qui filtre les
informations circulant entre
le réseau interne de
l’Entreprise et le réseau
Périphérique (DMZ).
Carte réseau unique Dans cette configuration,
ISA Server 2004 est
paramétré
pour assurer uniquement la
fonction de mise en cache
(serveur de Proxy). Il
fonctionne sur le même
réseau que le réseau interne
et ne peut faire ni routage, ni
serveur VPN, ni pare-feu.
On peut également noter qu’une configuration réseau peut être sauvegardée
au format XML ce qui permet de pouvoir la restaurer très rapidement. La
possibilité de pouvoir importer/exporter une configuration est d'ailleurs
disponible pour tous les types de paramètres du serveur (ensemble de réseaux,
règles de réseaux, règles de chaînage web, stratégies de pare-feu,
configuration des clients VPN, règles de cache, filtres,...).
Chaînage de pare-feu et chaînage web Le chaînage consiste à raccorder plusieurs serveurs ISA entres eux afin
d'optimiser au maximum l'utilisation de la bande passante réseau. Cette
fonctionnalité peut se révéler très utile dans le cas d'une entreprise possédant
un site principal et plusieurs sites distants comme dans notre cas. Il existe
deux types de chaînage sous ISA Server 2004 :
le chaînage web qui s'applique uniquement aux clients du Proxy web
le chaînage de pare-feu qui s'applique uniquement aux clients Secure
NAT et aux clients pare-feu
Considérons une entreprise possédant un site principal et deux sites distants
comme le cas de notre étude. Admettons que le site principal regroupe
Mémoire de fin de cycle
29
environ 200 machines alors que les succursales en regroupent 50 chacune.
Toutes les machines clientes sont configurées en tant que clients du Proxy
web.
Chaque succursale contient un serveur ISA fonctionnant en tant que serveur
de proxy. Dans ce cas, il est possible d'accélérer grandement les performances
de la navigation web dans les sites distants de la manière suivante :
utiliser la connexion Internet locale pour les requêtes HTTP destinées à
des sites web français (c'est-à-dire des sites appartenant au domaine
DNS *.Fr)
rediriger toutes les autres requêtes vers les serveurs ISA du site
principal afin de bénéficier du fichier de cache de ce serveur qui doit
être plus conséquent et plus à jour étant donné le nombre de clients
appartenant au site principal.
Le chaînage web route (ou redirige) les demandes des clients du Proxy web
vers la connexion Internet locale, un autre serveur de Proxy situé en
amont ou bien directement vers un serveur HTTP. ISA Server 2004 permet
de définir des règles de chaînage web très flexible afin d'optimiser au
maximum les performances de la navigation et la charge réseau.
On peut par exemple rediriger les requêtes à destination d'une URL ou d'un
ensemble d'URL donné vers un serveur de Proxy spécifique.
Mémoire de fin de cycle
30
Le chaînage de pare-feu redirige les demandes des clients SecureNAT et des
clients pare-feu vers la connexion Internet locale ou vers un autre serveur
ISA situé en amont. Il n'est pas possible de définir de règles précises en ce
qui concerne le chaînage de pare-feu.
4. Paramétrage du pare-feu
Introduction:
Nous allons maintenant faire le paramétrage du pare-feu du serveur ISA.
Dans la version 2004 du serveur ISA des nouveautés ont été apporté :
Interface et méthode de création des règles d'accès améliorées
Modification de l’ordre d’application des règles
Stratégie système
Remaniement des filtres d'application
5. Les éléments de stratégie:
A l’instar d’ISA 2000, on utilise des éléments de stratégie
définis préalablement afin de simplifier et de structurer la
création de règles d'accès pour le pare-feu mais aussi pour la
création de tous les autres types de règles existantes (règles de
mise en cache, règles de stratégie système,...)
Les différents types d’éléments sont :
Protocoles
Utilisateurs
Types de contenus
Planifications
Objets de réseau
Mémoire de fin de cycle
31
Un certain nombre d’éléments existent par défaut ce qui évite à
l’administrateur de devoir tous les redéfinir. On peut créer et visionner les
éléments de stratégie dans l’ongle boîte à outils située dans le menu de la
fenêtre de droite (ce menu s’affiche si l’on sélectionne stratégie de pare-feu
dans l’arborescence).
Par défaut le nombre de protocoles préfinis est
impressionnant. Ils sont classés par groupe ce qui
facilite grandement les recherches. Ainsi si l'on
souhaite paramétrer une règle pour autoriser ou
refuser l'accès aux pages Web il faudra aller
chercher dans le conteneur Web qui contient
notamment les protocoles HTTP et HTTPS.
Cette classification se révèle très utile à l'usage. En
effet, cela évite de devoir faire des recherches sur
Internet lorsqu'on ne connaît pas le numéro de port
et/ou les plages de ports utilisées par une
application donnée. On peut citer quelques
dossiers intéressants :
VPN et IPSec qui permet d'autoriser l'accès VPN
(IKE, IPSec, L2TP, PPTP,...)
Terminal distant donne accès aux principaux
protocoles d'administration à distance (RDP, Telnet,
SSH,...)
Messagerie instantanée qui permet d'autoriser ou
d'interdire rapidement l'accès aux principales
applications (ICQ, AIM, MSN, IRC...)
L'onglet Utilisateurs permet de créer des groupes d'utilisateurs qui seront
utiles lors de la création des règles du pare-feu. La grande nouveauté à ce
niveau est la gestion des comptes contenus sur les serveurs RADIUS ou sur
les serveurs gérant l'authentification via le protocole SecureID en plus des
comptes de domaine Active Directory.
Mémoire de fin de cycle
32
Un certain nombre de types de contenus existe par défaut, ce qui permet de
simplifier la création de règles sur les contenus.
On peut citer documents web, images, audio ou bien encore vidéo. Les
éléments de stratégie Types de contenus se révèlent très utiles pour permettre
à des utilisateurs de surfer tout en les empêchant de télécharger certains
fichiers (comme les vidéos par exemple).
Les deux planifications types présentes par défaut sont
Simplistes et devront être retouchées afin de correspondre
Aux horaires de votre entreprise. Il ne faudra pas hésiter ici à
Créer plusieurs autres planifications comme pause ou repas
Qui permettront de paramétrer des règles d'accès spécifiques à
Certains moments de la journée.
Les objets réseaux sont très importants pour le paramétrage des différentes
règles du serveur ISA. Les ensembles de réseaux et les réseaux sont crées
automatiquement lors de la sélection d'un modèle réseau. Par exemple si vous
choisissez le modèle pare-feu de périmètre les réseaux Interne, Externe,
Clients VPN et Clients VPN en quarantaine Seront ajoutés. Le réseau hôte
local est toujours présent, il représente le serveur ISA.
Le "réseau" clients VPN en quarantaine contient l'ensemble des clients VPN
dont la connexion a été refusée car leurs niveaux de sécurité n’étaient pas
satisfaisant. Cette mise en quarantaine des clients "non sécurisés" est une
nouveauté de la version 2004 d'ISA server.
Mémoire de fin de cycle
33
Une autre catégorie d'objet de réseau intéressante est la possibilité de créer
des ensembles d'URL et des ensembles de noms de domaines. Cela va
permettre de bloquer ou d'autoriser certains sites ou certaines pages. Si le
nombre de sites web auquel nos utilisateurs doivent accéder est faible, il est
fortement recommandé de créer un élément de stratégie nommé sites autorisés
ce qui permettra à nos utilisateurs d’accéder uniquement à ces sites.
5.1 La création des Règles du Pare-feu
La création des règles du pare-feu a été modifiée. Voici les informations à
rentrer pour paramétrer une règle type sur un server ISA 2004.
Action Protocole Source/Destination Application Condition
-Refuser
-autoriser
-ensemble de
protocole
-port particulier
-ensemble de site
-ensemble de noms
de domaine
-plage d’adressages
IPs
-utilisateurs
- groupes
-personnalisée
-plages horaire
-type de
contenu
Cette nouveauté a le mérite de simplifier la configuration et la
compréhension car on n’a beaucoup moins de règles à paramétrer. Par
exemple pour autoriser l’accès à Internet avec ISA Server 2000 il faut
Mémoire de fin de cycle
34
créer deux règles (une règle de site et de contenu pour autoriser l’accès vers
telle ou telle destination et une règle de protocoles pour autoriser les
protocoles HTTP et HTTPS) alors qu’ISA Server 2004 ne nécessite qu’une
seule règle pour arriver au même résultat.
L’onglet tâches contient l’ensemble des actions
réalisables pour paramétrer le pare-feu. On y
retrouve les possibilités s’appliquant aux règles
d'accès (création, édition, désactivation,
suppression), mais aussi tous les types de
publication (publication d’un serveur Web,
publication d’un serveur web sécurisé, publication
d’un serveur de messagerie, publication de serveur).
On peut de plus afficher, modifier, importer et
exporter les règles de la stratégie système. Ces
règles sont définies par automatiquement et
s'appliquent spécifiquement au serveur ISA qui
correspond au "réseau" hôte local. Ces règles
permettent par exemple au serveur ISA de joindre
un serveur DHCP ou un contrôleur de domaine.
Les règles de stratégie système sont donc
essentielles au bon fonctionnement du serveur ISA.
Le lien définir les préférences d'IP permet quand à
lui d'activer le routage IP et de paramétrer le filtre
d'options IP. Le filtre d'options IP permet
d'autoriser ou de refuser les paquets possédant des
options spécifiques.
Toutes les opérations d'importation et d'exportation utilisent le format
XML.
5.2 Ordre d'application des règles
Avec la nouvelle version, cette procédure complexe est remplacée par un
autre système.
Dorénavant, chaque règle possède un numéro et lorsqu’une requête
arrive au serveur, c’est la règle qui a le numéro le plus faible qui
s’applique. Ce système a le mérite d’être beaucoup plus simple à
comprendre que l’ancien et il est d’ailleurs repris en ce qui concerne
l’ensemble des règles que l’on peut créer avec ISA Server 2004 (règles de
translation d’adresse et de routage, règles de pare-feu, règles de cache,
…). Voici un exemple de règles que l’on peut paramétrer :
Mémoire de fin de cycle
35
On note la présence d’une règle spécifique ne portant pas de numéro et
notée : «Dernier». Comme vous pouvez le voir sur la capture d’écran ci-
dessus, cette règle bloque tous les protocoles de toutes les sources vers
toutes les destinations. Elle est toujours située à la fin et possède donc la
priorité la plus basse.
5.3 Les règles de stratégie système
La stratégie système est un ensemble de règles qui permettent au serveur ISA
de joindre certains services réseau fréquemment utilisés. Au premier
abord, on pourrait considérer ces règles de stratégie système comme un trou
de sécurité. Cependant la plupart de ces règles autorisent juste la
communication entre l'hôte local et le réseau interne. En aucun cas, un
utilisateur externe ne peut accéder au serveur ISA ou bien au réseau de
l'entreprise via l'une de ces règles. Le but de Microsoft avec la stratégie
système est de trouver un bon compromis entre connectivité et sécurité.
Si la stratégie système n'existait pas, le serveur ISA ne pourrait
communiquer avec aucune autre machine. Ceci empêcherait notamment le
serveur ISA de réaliser les actions suivantes :
ouvrir une session sur le domaine
récupérer un bail DHCP
résoudre les noms de domaines pleinement qualifié en adresse IP etc.
Le scénario de l'installation à distance via une session Terminal Server
permet de bien se rendre compte de l'utilité de la stratégie système du point de
vu administratif. En effet, si la stratégie système n'existait pas, vous pourriez
installer ISA 2004 sur une machine distante, mais dès le lancement du service
pare-feu, la session Terminal Server serait immédiatement déconnectée
car le protocole RDP serait bloqué. Cela obligerait ensuite l'administrateur a
se déplacer sur le site distant pour créer une règle d'accès autorisant le
protocole RDP ce qui peut s'avérer contraignant si le site distant est situé à
6000 kilomètres !
Mémoire de fin de cycle
36
Extrait des règles de stratégie système
Remarque : il y’a un assistant spécifique nommé Éditeur de stratégie
système. Il permet de désactiver toutes les règles de stratégie système, mais
aussi de les configurer. Voir la capture d’écran
Mémoire de fin de cycle
37
L'éditeur de stratégie système est accessible à partir de l'onglet Tâches
Conclusion
Voici les points essentiels à retenir pour créer des règles d'accès sous ISA
Server 2004 :
La création des règles d'accès fait appel à des éléments de stratégie
Chaque règle est appliquée dans un ordre bien précis
Certaines règles sont présentent par défaut (stratégie système)
6. Exemple de configuration
Autoriser l'accès à Internet pour les clients du réseau interne Nous allons maintenant créer une règle autorisant l'accès à Internet (c'est-
à-dire au réseau externe dans cet exemple) pour tous les clients pare-feu du
réseau interne via les ports 21, 80,443 et 1863 (le port utilisé par MSN
Messenger pour la connexion et l'échange de messages).
Il faut commencer par donner le nom le plus explicite possible à la règle que
l'on souhaite créer. On doit ensuite sélectionner l'action à effectuer
(autoriser ou refuser). Si l'on sélectionne Refuser, la possibilité de rediriger
la requête vers une page web est offerte (cela permet de faire comprendre à
l'utilisateur que la page a été bloquée intentionnellement par le pare-feu et que
ce n'est donc pas un problème technique). Il faut choisir le ou les ports de
Mémoire de fin de cycle
38
destination pour le(s)quel(s) la règle va s'appliquer. Dans notre exemple, tous
les protocoles sont prédéfinis (ce sont des éléments de stratégie présent par
défaut dans le serveur) et il suffit juste d'ajouter les protocoles nommés FTP,
HTTP et HTTPS à l'aide du bouton adéquat. Il est possible de définir quels
sont les ports sources à l'aide du bouton Ports... Dans notre exemple nous
laissons l'option par défaut qui autorise tous les ports sources (ainsi les clients
pourront accéder à des sites web et à des serveurs FTP quel que soit le logiciel
client utilisé).
L'étape suivante consiste à spécifier le réseau source et le réseau de
destination. Dans notre exemple, le réseau source correspond à Interne (le
réseau local de l'entreprise) et le réseau de destination correspond à Externe
(Internet).
Mémoire de fin de cycle
39
Enfin on sélectionne les ensembles d'utilisateurs pour lesquels la règle
entrera en action.
Dans notre cas, le groupe nommé Tous les utilisateurs authentifiés est
retenu. Cependant, tous les groupes de sécurité définis dans le service
d'annuaire Active Directory peuvent être utilisé pour créer une règle plus fine.
Une fois l'assistant terminé, la règle est inopérante. Pour que qu'elle entre en
action il suffit de cliquer sur le bouton Appliquer qui apparaît au milieu de
l'interface de la console de gestion ISA.
6.1 Interdire complètement l'accès à MSN Messenger
A l'instar de Windows Messenger, MSN Messenger est une application de
messagerie instantanée permettant d'accroître grandement la productivité des
utilisateurs (chat, vidéoconférence, échange de fichiers aisé,...). Cependant
l'utilisation de ce logiciel en entreprise peut entraîner quelques dérives... Si
vous souhaitez empêcher certains utilisateurs de l'utiliser, plusieurs solutions
sont envisageables :
créer deux règles d'accès interdisant la communication avec le serveur
messenger.hotmail.com
configurer les clients pare-feu pour empêcher MSN Messenger
d'accéder au réseau
configurer le filtre HTTP pour bloquer l'application MSN Messenger
en analysant le paramètre adéquat
Chacune de ces méthodes présentent des avantages et des inconvénients.
Mémoire de fin de cycle
40
7. Mise en place d’un serveur VPN :
Le Virtual Private Networking (VPN) consiste de mettre en place un système
qui permettra aux utilisateurs distants de ce connecté sur le site de
l’entreprise. Son objectif est de faire en sorte que les utilisateurs distant puisse
travailler en temps réel et l’importe où il se trouve.
Pour paramétrer les réseaux privés virtuels sous ISA serveur 2004, on se rend
dans la fenêtre de paramétrage des réseaux directement disponible dans
l’arborescence de la console du serveur ISA.
Cette fenêtre va permettre de mettre en place un serveur
VPN en quelques clics. En effet, lorsque l’on sélectionne une topologie réseau
avec l’assistant de configuration réseau, les paramètres du VPN sont
automatiquement réglés pour une mise en production rapide.
Ainsi lorsque l’on a choisi la topologie réseau pare-feu de périmètre, un
serveur VPN est configuré afin d’écouter les éventuelles requêtes faites sur la
carte réseau externe en utilisant le protocole PPTP et la méthode
d’authentification MS-CHAP V2.0. De plus le serveur VPN assigne les
adresses IP aux clients VPN en utilisant un serveur DHCP et accepte un
maximum de 5 connexions.
Pour rendre le serveur VPN fonctionnel lorsque l’on a choisi la topologie
réseau pare-feu de périmètre, il faut simplement activer le serveur VPN (qui
est paramétré automatiquement, mais pas activé) et choisir les groupes et/ou
les utilisateurs qui ont le droit de se connecter à distance.
Dans ISA serveur 2004 il y’a une fonctionnalité plus innovante qui permet de
ne pas ruiné les efforts de l’administrateur. Cette Fonctionnalité est la mise en
quarantaine des clients VPN.
La fonction de mise en quarantaine permet d'isoler les clients ne répondant
à certains critères dans un réseau spécifique nommé clients VPN en
quarantaine. Les critères de sélections doivent être définis dans un script qui
s'exécute après l'authentification des clients.
Ce script n'est pas fourni par Microsoft avec ISA Server et doit donc être
développé par l'administrateur ce qui offre une plus grande flexibilité. On
peut notamment créer un script vérifiant si le pare-feu du client est actif et si
son antivirus et son système sont à jour.
Mémoire de fin de cycle
41
8. Synthèse du Mémoire et Conclusion :
En fin de partie de ce mémoire, j’ai voulu faire un bilan par rapport à
l’ensemble de mon travail, sa valeur, ce que j’ai pu faire, ce qui reste à faire.
Je donne aussi un petit bilan par rapport aux différents modules de ma
formation qui m’ont aidé à atteindre certains objectifs.
Mon sujet
J’ai trouvé le domaine du réseau très passionnant surtout l’administration sous
le Système Windows 2008 Server et les défis à relever dans un avenir proche.
Pour faciliter la communication, il a fallu que je m’adapte rapidement à la
méthodologie de travail de mon tuteur. Ce dernier m’a apporté beaucoup de
soutiens au niveau de la mise en place d’une architecture réseau très pratique
qui me fut une première et des outils d’aide au développement de mon projet.
L’administration sous 2008 serveur ma donné plus de goût au métier de
l’administrateur réseau, rigueur dans mes approches et plus de qualité
professionnelles.
Valeur de mon travail
On mesure le bon fonctionnement d’un réseau grâce à la disponibilité de
certaines informations et ressources et par la restriction et la protection
appliquées aux autres.
Windows Server 2008 offre à l’administrateur réseau des outils et
fonctionnalités qui lui permettent de satisfaire les besoins des utilisateurs, tout
en protégeant les informations sensibles stockées sur ou passant par le réseau.
Les « « Pourriels » », vers et virus sont devenu le quotient des internautes et
le cauchemar des administrateurs, Microsoft à lancé un logiciel phare Internet
and Accelerator server (ISA) concernant la sécurité qui a pour but de faciliter
le travail des administrateurs réseaux tout en renforçant la sécurité d’accès au
niveau de leur réseau grâce à la sécurité des environnements réseaux.
Ce qui explique notre choix par rapport à la mise en place de notre réseau
sous le Windows 2008 server et sa sécurisation sous le ISA server.
Ce qui reste à faire comme perspective :
Conception du site web pour la structure
Ebergement du site sur le serveur de l’entreprise qui est Windows 2008
server.
Bilan par rapport à ma formation
Mémoire de fin de cycle
42
Contexte du Mémoire Module de Formation Contenu
Mise en place d’un
réseau informatique
moderne dans un
environnement sécurisé
Windows 2008 server
Preparation
Installation et
Configuration
Administration du
réseau
ISA serveur 2004 Installation et
configuration
Paramétrage du
Pare-feu
Exemple de
configuration
Implémentation de
la mise en cache
Microsoft Exchange
2010 Installation et
Configuration
Mémoire de fin de cycle
43
Référence : WWW.developpez.com
www.Openclassroom.com
Windows server 2008 Volume 1: Charlie Russel & Sharon Crawford
Mémoire de fin de cycle
45
Voici comment installer Windows Server 2008 sur un serveur vierge à l’aide
d’un DVD standard :
1. Mettez le serveur sous tension et insérez immédiatement le DVD Windows
Server 2008 de l’architecture à installer. Si le disque dur principal ne possède
pas de système d’exploitation amorçable, vous êtes automatiquement dirigé
vers le processus d’installation de Windows Server 2008. Si le disque contient
un système d’exploitation amorçable, le message Appuyez sur n’importe
quelle touche pour démarrer du CDROM ou du DVD-ROM s’affiche.
Dans ce cas, appuyez sur une touche.
2. Lorsque l’écran Installer Windows de la figure 5-1 apparaît, sélectionnez la
langue et les autres paramètres régionaux à employer avec cette installation.
3. Cliquez sur Suivant pour ouvrir la page de la figure 5-2. Vous pouvez
réparer une installation Windows Server 2008 endommagée ou afficher des
informations supplémentaires avant l’installation.
Mémoire de fin de cycle
46
4. Cliquez sur Installer pour afficher la page Entrez votre clé de produit pour
activation de l’Assistant Installer Windows, comme le montre la figure 5-3.
Figure 5-3 Page Entrez votre clé de produit pour activation de l’Assistant
Installer Windows
5. Tapez la clé de produit de cette installation de Windows Server 2008.
6. Laissez cochée la case Activer automatiquement Windows quand je serai
en ligne, sauf si vous préférez décider quand activer le produit.
7. Cliquez sur Suivant pour afficher la page Sélectionnez l’édition de
Windows que vous avez achetée de l’Assistant Installer Windows, illustrée
Mémoire de fin de cycle
47
par la figure 5-4. Si vous installez le produit sans saisir de clé de produit, la
liste des versions possibles est plus longue.
Figure 5-4 Sélectionnez l’édition de Windows que vous
avez achetée de l’Assistant Installer Windows
8. Choisissez entre Installation complète ou Installation Server Core. Ce choix
est irréversible : il est impossible de convertir ultérieurement une installation
complète en Server Core ou inversement. L’installation et la configuration de
Windows Server 2008 Server Core sont analysées au chapitre 9 du tome 1, «
Installation et configuration de Server Core ».
9. Cliquez sur Suivant pour afficher la page Veuillez lire le contrat de licence.
Cochez la case J’accepte les termes du contrat de licence. Vous n’avez pas le
choix : soit vous les acceptez, soit l’installation s’arrête.
10. Cliquez sur Suivant pour ouvrir la page Quel type d’installation voulez-
vous effectuer.
La seule possibilité que vous avez lorsque vous démarrez d’un DVD est
Personnalisée (Avancé). Sélectionnez alors cette option pour ouvrir la page
Où souhaitez-vous installer Windows de la figure 5-5.
Mémoire de fin de cycle
48
Figure 5-5 Page Où souhaitez-vous installer Windows de l’Assistant Installer
Windows
11. Le premier disque de votre ordinateur est mis en évidence. Vous êtes libre
de sélectionner le disque de votre choix. Si le disque cible ne s’affiche pas,
chargez les pilotes requis en cliquant sur Charger un pilote. Cliquez sur
Options de lecteurs (avancées) pour obtenir d’autres options destinées à
repartitionner ou à formater le lecteur sélectionné.
12. Une fois que vous avez sélectionné le lecteur, cliquez sur Suivant pour
démarrer l’installation. Aucune invite ne s’affiche jusqu’à la fin de
l’installation. Vous êtes alors invité à saisir votre mot de passe pour le compte
Administrateur.
Remarque :
Le lecteur sélectionné par défaut à l’installation de Windows Server 2008 est
le premier lecteur énuméré par le BIOS. Vous pouvez en sélectionner un autre
si celui que vous voulez n’est pas sélectionné ou ajouter des pilotes pour
d’autres contrôleurs si le lecteur que vous voulez n’apparaît pas. Pour ceux
qui connaissent bien les versions précédentes de Windows, réjouissez-vous
d’apprendre que Windows Server 2008 propose enfin une prise en charge de
supports autres que la disquette pour charger les pilotes de stockage pendant
l’installation. Comme le montre la figure 5-6, il est possible de charger des
pilotes à partir de disquettes, CD, DVD ou lecteur flash USB.
Mémoire de fin de cycle
49
Figure 5-6 Windows Server 2008 prend en charge le chargement de pilotes
de stockage à partir de disquette, disque optique ou lecteur USB.
Si vous devez modifier les partitions d’un lecteur, le formater ou même
l’étendre pour lui fournir de l’espace supplémentaire, cliquez sur Options de
lecteurs (avancées) pour afficher les options supplémentaires de gestion et de
configuration des disques pendant l’installation, comme le montre la figure 5-
7.
Figure 5-7 Des options de lecteurs avancées sont disponibles pendant l’installation
de Windows Server 2008.
Le processus d’installation de Windows Server 2008 propose une nouveauté
importante : la possibilité d’étendre une partition. S’il ne s’agit pas d’une
fonctionnalité importante dans les installations toutes nouvelles, elle se révèle
pratique si vous recyclez un ordinateur. Vous pouvez étendre une partition
avec de l’espace non alloué disponible du même disque.
Remarque Si vous devez ouvrir une fenêtre d’Invite de commandes pendant
le processus d’installation, appuyez sur les touches Maj+F10. Il est alors
Mémoire de fin de cycle
50
possible d’exécuter manuellement Diskpart.exe ou n’importe quel autre outil
disponible et charger manuellement un pilote ou ajuster le partitionnement.
À la fin de l’installation, Windows Server 2008 redémarre et présente l’écran
d’ouverture de session. Vous devez saisir un nouveau mot de passe pour le
compte Administrateur, comme le montre la figure 5-8, puis ouvrir une
session sur le nouveau serveur.
Figure 5-8 Définition du mot de passe initial pour le compte Administrateur
Une fois que vous êtes connecté, l’Assistant Tâches de configurations initiales
s’affiche pour gérer la configuration de votre nouveau serveur.
Mémoire de fin de cycle
52
Une fois le gestionnaire de serveur lancé, rendez-vous dans la section
« Rôles » à partir du menu situé sur la gauche. Nous devrions en avoir zéro
d’installé tel que cela est le cas dans cet exemple. Cliquons ensuite sur
« Ajouter des rôles » situé sur la fenêtre de droite ou sélectionner l’option
portant le même nom à l’aide d’un clique droit sur « Rôles » dans le menu de
gauche.
Nous arrivons sur « Assistant Ajout de rôles » qui propose en premier lieu de
faire tout un ensemble de vérification. Dans un cadre productif, il sera
conseillé de les suivre à la lettre et en particulier les mises à jour. Cela sera un
gage supplémentaire pour obtenir un système stable (A noter que nous
pouvons désactiver cette page en cochant « ignorer cette page par défaut »
lors d’un prochain appel à l’assistant).
Sélectionner le rôle « Services de domaine Active Directory ».
Mémoire de fin de cycle
53
Dans le cas présent, il manque une fonctionnalité requise pour l’installation
du rôle (en l’occurrence le .NET Framework). Choisir « Ajouter les
fonctionnalités requises ».
L’assistant nous convie à prendre quelques dispositions concernant la mise en
place d’un annuaire dans le cadre d’un environnement de production. Premier
point, et non des moindres, il sera nécessaire d’installer le service DNS mais
ca nous verrons cela par la suite. Deuxième point, à souligner, est
l’importance de l’annuaire une fois intégrée dans votre architecture et le
risque d’indisponibilité suite à une panne du serveur. La solution sera de
prévoir rapidement un contrôleur de domaine secondaire afin d’assurer la
continuité de service. Enfin, l’assistant nous invite après l’installation à lancer
DCPROMO.
L’assistant suit son cours et termine sur un rapport d’installation.
Une fois, le rôle installé, vous pouvez désormais lancer dcpromo à partir de
« Executer » depuis le menu « Démarrer ».
Remarque: bien que dans le cadre d'une nouvelle création de forêt sans réel
existant cela ait peu d'intérêt, il vous est possible toutefois de vérifier si le
serveur est éligible pour une promotion en tant que contrôleur de domaine
d'une nouvelle forêt avec la commande dcdiag /test:dcpromo
/dnsdomain:domaine.local /newforest (le service DNS domaine.local doit être
configuré).
Nous allons activer le mode avancé afin de voir les différentes options qui
s’offrent à nous. Une seconde fenêtre évoque la compatibilité antérieure du
système d’exploitation.
Mémoire de fin de cycle
54
Nous allons choisir de créer un domaine dans une nouvelle forêt. Car pour le
moment nous ne disposons pas d’un domaine existant. Après vous allons
désigner le nom de notre nouveau domaine Active Directory. Un nom de
domaine Active Directory est exactement similaire à un domaine DNS. Il doit
être localisable depuis Internet.
On suit l’assistant jusqu’à la fin de l’installation de notre active directory.
Installation de ISA serveur: Contrairement à la version 2000 qui proposait 3 modes d'installation
différents (mode cache, mode pare-feu et mode intégré), ISA Server
2004 ne propose qu'un seul mode d'installation. Dorénavant l'activation ou
non de la mise en cache se paramètre dans la console de Gestion ISA et n'est
plus tributaire du mode d'installation choisi au départ.
Après l'insertion du CD-ROM d'installation, le menu ci-dessous apparaît. Il
permet d'installer ISA Server 2004 ou bien de mettre à jour un serveur
ISA 2000. Pour réalisez la migration d'ISA 2000 vers ISA Server 2004, le
Service Pack 1 pour ISA 2000 doit être installé au préalable.
L'installation ne présentant aucunes difficultés (choix des composants à
installer, définition de la table d'adresses locales, activation de la prise en
charge des clients pare-feu utilisant l'ancienne version du client...).
Recommended