[PDF] Guide de formation avec exemples sur l'essentiel Windows 2003 | Cours windows serveur

(1)

GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/

06/03/08 Page 1/75

Microsoft Windows 2003 Server

Réalisé par

Laurent HOSTEN

Date : 6 mars 2008 Version : 1.0

(2)

06/03/08 Page 2/75

Module « Microsoft Windows 2003 Server » (GMSI 2007.1)

Sommaire

1. Qu’est ce qu’un système d’exploitation ? ... 4

2. Qu’est ce que le multitâche ? ... 5

3. Le multithreading et multiprocessing ... 6

Présentation de Microsoft Windows 2003 Server ... 7

1. Architecture ... 7

2. Clients – Serveurs ... 7

3. La gamme Windows 2003 Server ... 8

Installation de Windows 2003 Server ... 10

1. Configuration minimum ... 10

2. Installation manuelle... 10

3. Installation contrôlée ou automatisée ... 14

4. Installation par duplication de disque ... 15

5. Intégration au domaine ... 16

6. Services d’installation à distance (RIS) ... 16

Présentation d’Active Directory ... 22

1. Présentation ... 22

2. Installation ... 25

3. Désinstallation d’Active Directory ... 28

4. Choix d’un mode d’un domaine ... 28

5. Rôle des contrôleurs de domaines ... 29

Les outils d’administration ... 32

1. Présentation ... 32

2. Les outils d'administration courants ... 32

3. Les outils d'administration spécifiques ... 36

4. Les solutions d'administration à distance ... 38

5. Personnalisation des consoles d'administration ... 41

Gestion des utilisateurs, des groupes et des ordinateurs ... 44

(3)

06/03/08 Page 3/75

2. Gestion dans un domaine ... 51 3. Gestion des comptes d'ordinateur dans un domaine ... 73

(4)

06/03/08 Page 4/75

Notions de base

Afin de comprendre le fonctionnement d’un système d’exploitation Microsoft, nous allons tout d’abord aborder quelques définitions et descriptions de fonctionnement.

1. Qu’est ce qu’un système d’exploitation ?

Pour que l’on puisse utiliser une application (ou logiciel), l’ordinateur doit exécuter différentes tâches. Il sera nécessaire de gérer les interactions entre le processeur, la mémoire et les différents périphériques.

C’est le système d’exploitation qui va assurer la liaison entre l’utilisateur, le matériel et l’application. Ainsi, lorsqu'un programme désire accéder à une ressource matérielle, il ne lui est pas nécessaire d'envoyer des informations spécifiques au périphérique, il lui suffit d'envoyer les informations au système d'exploitation, qui se charge de les transmettre au périphérique concerné via son pilote. En l'absence de pilotes il faudrait que chaque programme reconnaisse et prenne en compte la communication avec chaque type de périphérique.

Le système d’exploitation doit gérer différentes tâches :

9 Gestion du processeur : le système d'exploitation est chargé de gérer l'allocation du processeur entre les différents programmes grâce à un algorithme d'ordonnancement.

9 Gestion de la mémoire vive : le système d'exploitation est chargé de gérer l'espace mémoire alloué à chaque application et, le cas échéant, à chaque usager. En cas d'insuffisance de mémoire physique, le système d'exploitation peut créer une zone mémoire sur le disque dur, appelée mémoire virtuelle. La mémoire virtuelle permet de faire fonctionner des applications nécessitant plus de mémoire qu'il n'y a de mémoire vive disponible sur le système. En contrepartie cette mémoire est beaucoup plus lente.

9 Gestion des entrées/sorties : le système d'exploitation permet d'unifier et de contrôler l'accès des programmes aux ressources matérielles par l'intermédiaire des pilotes (appelés également gestionnaires de périphériques ou gestionnaires d'entrée/sortie).

9 Gestion de l'exécution des applications : le système d'exploitation est chargé de la bonne exécution des applications en leur affectant les ressources nécessaires à leur bon fonctionnement. Il permet à ce titre de «tuer» une application ne répondant plus correctement.

9 Gestion des droits : le système d'exploitation est chargé de la sécurité liée à l'exécution des programmes en garantissant que les ressources ne sont utilisées que par les programmes et utilisateurs possédant les droits adéquats.

(5)

06/03/08 Page 5/75

9 Gestion des fichiers : le système d'exploitation gère la lecture et l'écriture dans le système de fichiers et les droits d'accès aux fichiers par les utilisateurs et les applications.

9 Gestion des informations : le système d'exploitation fournit un certain nombre d'indicateurs permettant de diagnostiquer le bon fonctionnement de la machine.

Afin de clôturer la définition concernant les systèmes d’exploitation, nous finirons avec les trois composants principaux qui le définissent.

Nous avons en premier lieu le noyau (kernel). C’est la partie fondamentale d'un système d'exploitation, il est le gestionnaire de ressources de la machine, qui permet aux éléments matériels et logiciels de fonctionner ensemble. Pour ces raisons, il est le premier logiciel chargé en mémoire (hors gestionnaire de boot).

Nous trouvons ensuite l’interpréteur de commande. Un interpréteur de commandes (le "shell", la coquille qui entoure le "noyau" du système) est un programme qui sert d'intermédiaire entre l'utilisateur et le système d'exploitation. Sa tâche essentielle est l'exécution de programmes. Pour cela, il effectue:

9 La lecture d'une ligne

9 Sa compréhension comme une demande d'exécution d'un programme avec d'éventuels paramètres.

9 Le lancement de ce programme avec passage des paramètres

9 D’éventuelles redirections d'entrées-sorties

9 Les exécutions de scripts (fichiers de commandes)

Et pour finir, nous avons le système de fichiers. Un système de fichiers est la méthode utilisée pour stocker de l'information sur un disque dur (arborescence). Des systèmes d'exploitation différents utiliseront des systèmes de fichiers différents, rendant ainsi difficile le partage d'information. Les principaux systèmes de fichiers utilisés sont FAT16 et FAT32 pour Win98 et NTFS pour Win XP.

2. Qu’est ce que le multitâche ?

Le multitâche est la capacité pour un système d’exploitation à gérer plusieurs programmes simultanément en leur attribuant tour à tour un pourcentage de temps processeur pour que ces programmes puissent s’exécuter. Nous distinguons deux types de multitâche :

9 Le multitâche coopératif

9 Le multitâche préemptif

2.1 Le multitâche coopératif

Dans cette configuration, chaque application qui s’exécute sur le système d’exploitation dispose du processeur puis le libère, permettant aux applications suivantes d’utiliser à leur tour le processeur. Le problème que

(6)

06/03/08 Page 6/75

nous rencontrons avec ce type de système est la dépendance des applications les unes par rapport aux autres. Si une application boucle sur elle-même, plus aucune application ne peut s’exécuter et nous allons avoir une défaillance du système d’exploitation. Nous trouvions ce genre d’implémentation dans les systèmes Windows 16 bits tel que Windows 3.1x ou Windows 95 avant l’OSR2.

2.2 Le multitâche préemptif

Dans cette configuration, chaque application dispose du processeur pendant un laps de temps déterminé à l’avance ou jusqu’à ce qu’une autre application ait une priorité supérieure à l’application en cours. L’ordonnancement (attribution d’un temps processeur pour une application) est fait par le système d’exploitation. Contrairement au multitâche coopératif, si une application se bloque, le système d’exploitation ne lui alloue plus de temps processeur et sera mise de côté. Le système restera donc stable.

3. Le multithreading et multiprocessing

Un « thread » est une unité d’exécution et donc un bout du programme. Le multithreading est le fait que dans une même application, nous pouvons exécuter plusieurs tâches en même temps. Par exemple, dans un traitement de texte, l’application affiche le texte que vous tapez tout en lui appliquant la mise en page souhaitée.

En ce qui concerne le multiprocessing, c’est la capacité du système d’exploitation à faire travailler différents processeurs à la gestion du système et au bon fonctionnement des applications. Il existe deux types de multiprocessing : Le multiprocessing asymétrique et le multiprocessing symétrique. Dans le premier cas, l’utilisation des processeurs est dissociée. Un processeur s’occupera uniquement du fonctionnement du système d’exploitation alors que le second processeur sera réservé pour les applications. Le multiprocessing symétrique, lui, met à disposition les différents processeurs pour le système et pour les applications. Cependant, le système d’exploitation a constamment un temps processeur alloué.

(7)

06/03/08 Page 7/75

Présentation de Microsoft Windows 2003 Server

1. Architecture

Windows 2003 est un système d’exploitation 32 bits, qui utilise le multitâche préemptif et multithread ainsi que les architectures SMP.

Windows 2003 est un composé de système d’exploitation en couches et de systèmes client/serveur à base de micronoyaux. Le regroupement de ces deux technologies permis de distinguer deux parties dans Windows 2003, appelées mode exécutif (ou mode noyau) et mode utilisateur (ou mode applicatif). Au sein du noyau, on retrouve la couche d’abstraction matérielle (Hardware Abstraction Layer) chargée des échanges avec le matériel. Les applications 16 bits sont supportées dans un sous système NTVDM

Comme pour Windows XP, Windows Server 2003 existe également avec un noyau 64 bits, réservé aux machines disposant disposant de ce type d’architecture, telles que l’Itanium d’Intel.

Windows 2003 prend en charge l’architecture EMA (Entreprise Memory Architecture) qui permet aux applications de bénéficier d’un maximum de 32 Go de mémoire. Cela s’avère fortement intéressant pour les serveurs de base de données manipulant énormément de données. En effet, la manipulation des données s’effectue plus rapidement en RAM que sur disque.

Pour bénéficier de cette architecture, il faut que votre matériel la prenne en charge. De plus, les applications doivent être développées de manière spécifique. SQL Server peur par exemple utiliser ce fonctionnement.

Le mode noyau est doté d’un module Plug and Play permettant de diminuer le temps de configuration du matériel. Notons aussi la présence, dans ce mode noyau, d’un module de gestion d’énergie fonctionnant sur la technologie OnNow/ACPI qui permet de diminuer l’énergie utilisée par les ordinateurs.

Les fonctionnalités de Windows 2003 autorisant le logiciel à fonctionner en cluster sont dues à l’amélioration du noyau.

En ce qui concerne le mode noyau, il a été développe en UNICODE qui va permettre de supporter toute application, quelle que soit la langue utilisée.

2. Clients – Serveurs

Sur les systèmes d’exploitation réseau, les échanges s’effectuent entre plusieurs machines qui dialoguent entre elles grâces à des protocoles de communications communs.

Lorsqu’ils sont utilisés pour désigner une machine, les termes « Client » et « Serveur » définissent le rôle principal de celle-ci.

En réalité, chaque machine Windows offre des services de type réseau, auxquels se connectent des clients.

(8)

06/03/08 Page 8/75

En effet, si une machine A souhaite visualiser des fichiers de la machine B, la machine B offrira un service de fichier à la machine A. La machine B propose donc un service « serveur » alors que la machine A fera office de client.

3. La gamme Windows 2003 Server

Il existe différentes versions du système d’exploitation Windows 2003 Server : 32 bits et 64 bits, ainsi que des versions incorporées :

9 Windows Server 2003, Web Edition

9 Windows Server 2003, Standard Edition

9 Windows Server 2003, Enterprise Edition

9 Windows Server 2003, Datacenter Edition 3.1 Windows Server 2003, Web Edition

Pour positionner Windows Server 2003 sur le marché des serveurs web, Microsoft a publié cette version simplifiée du système d’exploitation, conçue pour assurer les services web.

Cette édition prend en charge 2 Go de RAM et les multiprocesseurs symétriques jusqu’à deux processeurs. Il autorise un nombre illimité de connexions web anonymes, mais se limite à 10 connexions SMB (Server Message Block), qui sont des connexions qui servent à publier du contenu. Le serveur ne peut pas fait office de passerelle, ne peut pas faire serveur DHCP et ne peut être serveur de fax. Bien qu’il soit possible d’utiliser les services d’administration à distance, il ne peut être serveur TSE. Il peut appartenir à un domaine mais ne peut en aucun cas être le contrôleur de domaine.

La version du moteur de base de données Microsoft SQL Server qu’il embarque peut prendre en charge 25 connexions concurrentes.

3.2 Windows Server 2003, Standard Edition

Cette édition est un serveur capable de fournir les services suivants : 9 Services d’annuaire

9 Serveur de fichiers

9 Serveur d’impression

9 Serveur d’application…

Comparé à Windows 2000, il comporte des fonctionnalités étendues avec MSDE (Microsoft Desktop Engine), le moteur de base de données Microsoft SQL Server), une version de SQL Server qui prend en charge cinq connexion concurrentes à des bases de données pouvant atteindre chacun 2 Go. Il offre également un serveur POP3 (Post Office Protocol version 3) gratuit et prêt à l’emploi qui, combiné au service SMTP (Simple Mail Transfer Protocol), permet au serveur de fonctionner comme serveur de

(9)

06/03/08 Page 9/75

messagerie autonome : et enfin un gestionnaire d’équilibrage de la charge réseau (NLB, Network Load Balancing), outil intéressant qui n’était précédemment inclus que dans la version Advanced Server de Windows 2000.

Windows Server 2003 Standard Edition prend en charge 4 Go de ram et les multiprocesseurs symétriques jusqu’à quatre processeurs.

3.3 Windows Server 2003, Enterprise Edition

Cette édition est conçue pour les entreprises moyennes à grandes. Ses fonctionnalités lui permettent de prendre en charge huit processeurs, 32 Go de ram et d’assurer un service de cluster. Il est préparé pour la montée en charge vers les ordinateurs Intel 64 bits Itanium, pour lesquels il peut être configuré en 64 Go de RAM et prendre en charge les multiprocesseurs symétriques jusqu’à huit processeurs.

Voici quelques fonctionnalités qui permettent d’établir la distinction entre les éditions « standard » et « Enterprise » :

9 La prise en charge de MMS, qui autorise l’intégration de plusieurs annuaires, banques de données et fichiers via Active Directory

9 L’ajout de mémoire à chaud, qui permet d’ajouter de la mémoire sur les matériels pris en charge, sans temps d’interruption ni redémarrage.

9 Le gestionnaire de ressources système Windows (WSRM), qui prend en charge l’affectation de ressources processeur et mémoire en fonction des applications.

3.4 Windows Server 2003, Datacenter Edition

Datacenter Edition n’est disponible qu’en OEM dans le cadre d’un ensemble incluant un serveur haut de gamme. Il apporte une évolution pratiquement sans limite, avec la prise en charge, sur les plateformes 32 bits, des multiprocesseurs symétriques à quatre processeurs avec 64 Go de RAM, et sur les plateformes 64 bits, des multiprocesseurs symétriques à 64 processeurs avec 512 Go de RAM. Il existe également une version à 128 processeurs qui prend en charge deux partitions SMP (symétrique multiprocessor) pour 64 processeurs.

(10)

06/03/08 Page 10/75

Installation de Windows 2003 Server

1. Configuration minimum

L’installation de Microsoft Windows 2003 Server peut être effectuée de plusieurs façons. Quelle que soit la méthode choisie, il est nécessaire de procéder à une série de tâches dites de pré-installation.

Il est tout d’abord nécessaire de vérifier la compatibilité matérielle avec Windows 2003 Server. Nous nous servirons pour cela de la HCL que nous pouvons trouver sur le site de Microsoft.

Si vous êtes sur un ordinateur qui exécute déjà un système d’exploitation, vous pourrez utiliser la commande « I386\winnt32 /checkupgradeonly » à partir du cd de Windows 2003.

La configuration minimale requise pour l’installation de Microsoft Windows Server 2003 est mentionnée dans le tableau suivant :

Edition Windows

Server 2003

Matériel Minimum Conseillé

Web Server Edition

Processeur (x86)

133 MHz

550 MHz

Mémoire vive

128 Mo

256 Mo

Espace Disque

2 Go

Standard Edition

Processeur (x86)

133 MHz

550 MHz

Mémoire vive

128 Mo

256 Mo

Espace Disque

2 Go

Entreprise Edition

Processeur (x86)

233 MHz

733 MHz

Mémoire vive

128 Mo

256 Mo

Espace disque

2 Go

Datacenter Edition

Processeur (x86)

400 MHz

733 MHz

Mémoire vive

512 Mo

1 Go

Espace Disque

2 Go

2. Installation manuelle

Pendant la phase d’installation, il est possible de modifier l’organisation de vos partitions de disque et d’effectuer certaines opérations telles que la suppression ou création de partitions. Il est fortement conseillé d’installer le système sur une partition d’au moins 2 Go.

2.1 Partitionnement des disques

Il est possible d’installer le préchargeur (secteur de démarrage 2003) et le chargeur, NTLDR, sur une première partition, la partition système, puis d’installer le reste des fichiers sur une partition distincte, la partition d’amorçage.

Sur un système Windows NT, la partition système est la partition principale (active). La partition d’amorçage, celle qui contient tous les fichiers dont le

(11)

06/03/08 Page 11/75

noyau Windows 2003 (NTOSKRNL.EXE) peut être installée sur une seconde partition principale ou un lecteur logique d’une partition étendue.

La partition système ne nécessite pas une taille très importante. 10 Mo suffisent amplement dans la plupart des cas. Elle pourra rester en FAT, afin de supporter un amorçage multiple, ce qui permet de simplifier le dépannage lors d’un problème de démarrage.

Les fichiers vitaux contenus sur cette partition pourront être dupliqués sur une disquette de démarrage. Ceci permet de disposer d’une disquette de secours en cas de problème simple d’amorçage du système, ainsi que d’une copie de ces fichiers.

Dans les cas les plus critiques, la console de récupération permettra d’accéder au système Windows 2003 pour effecteur notamment une réparation.

La partition « démarrer », qui contient les fichiers systèmes dont le noyau de Windows 2003, devra faire un minimum de 2 Go. Celle-ci tiendra compte de l’évolution du système dont l’ajout des nombreuses DLL volumineuses dans le sous répertoire système32 du répertoire d’installation. N’oubliez pas non plus un espace pour le fichier d’échange et l’éventuel répertoire de spoule d’impression.

Cette partition pourra être convertie en NTFS pour d’évidentes raisons de sécurité.

2.2 Choix du système de fichiers

Windows Server 2003 supporte les systèmes de fichiers FAT, FAT32 et NTFS

a. Système de fichiers FAT/ FAT32

Si l’on souhaite conserver la possibilité de démarrer sous l’ancien système d’exploitation tel que MS-DOS, Windows 95 ou Windows 98, il faut conserver un système de fichiers qui soit connu des systèmes composant le multiboot. FAT et FAT32 ne permettent pas d’obtenir un niveau de sécurité sur les fichiers et répertoires. Le système de fichiers FAT ne supporte pas les partitions supérieures à 2 GO. FAT 32 est une évolution de FAT qui permet de dépasser cette limite.

Il sera possible de convertir ces partitions au format NTFS sans perte de données.

b. Système de fichier NTFS

C’est le système recommandé pour Windows 2003 Server. Il accroit la sécurité en permettant de la contrôler au niveau des répertoires et des fichiers, gère la compression de disques ou de fichiers, permet de contrôler l’emploi des disques par les utilisateurs en appliquant des quotas ainsi que d’encrypter les données.

Si vous prévoyez de configurer votre serveur en tant que contrôleur de domaine, il est impératif d’avoir au moins une partition formatée en NTFS pour stocker le volume système partagé.

On optera pour NTFS sous Windows 2000/2003 dans les cas suivants : 9 Windows 2003 est le seul système installé

(12)

06/03/08 Page 12/75

9 Utilisation des services de fichiers ou d’impression ou Macintosh

9 Vous souhaitez disposer d’une sécurité locale

9 Gestion des partitions de grande taille

9 Un audit du système de fichiers est requis

9 Gestion de la compression des fichiers

9 Conservation des équivalences de permissions lors de la migration des fichiers Novell vers Windows

9 Gestion des quotas de disques

9 Cryptage des données (EFS)

9 Installation d’Active Directory

2.3 Mode de licence

Pendant la phase d’installation, il vous sera demandé de choisir le mode de licence. Vous pourrez choisir entre le mode de licence par serveur ou par siège.

a. Licences par serveur

Le nombre de licences par serveur nécessaire pour un serveur particulier correspond donc au nombre maximal de clients différents qui pourront se connecter en même temps sur ce serveur.

Lorsque le nombre maximal de connexions est atteint, un message d’erreur s’affiche et la nouvelle connexion est refusée. Un message est alors consigné dans l’observateur d’évènements.

Il est possible de faire évoluer le nombre de licences par serveur, à partir du Panneau de configuration – Licences

b. Licences par poste ou utilisateur (par siège)

Dans ce mode de licence, le siège ou client spécifique est sujet à licence. Cette licence correspond à un droit de connexion, elle ne constitue pas un apport de logiciels spécifiques pour permettre l’interconnexion des systèmes. Dans ce cas, les serveurs ne disposent d’aucune restriction particulière en termes de connexions maximales concomitantes, à condition que chaque client dispose d’un siège reconnu.

Il est possible de passer à tout moment du mode de licences par serveur en mode par poste ou utilisateur. Cette action est irréversible.

2.4 Planification du domaine

Durant l’installation, vous devrez choisir si votre serveur Windows 2003 intégrera un domaine ou un groupe de travail.

Pour intégrer un groupe de travail, vous devez simplement entrer le nom du groupe de travail.

Si vous désirez intégrer un domaine lors de l’installation, vous devez connaître certains paramètres :

(13)

06/03/08 Page 13/75

9 Le nom du domaine (DNS) que vous intégrez

9 Pour qu’un ordinateur puisse joindre un domaine, il faut que ce dernier possède un compte d’ordinateur unique dans le domaine. Si ce compte machine n’a pas été créé avant l’installation, vous pouvez le créer lors de l’installation. Pour cela, il vous faut employer un compte utilisateur ayant suffisamment de droits pour intégrer un ordinateur dans un domaine.

9 Un serveur jouant le rôle de contrôleur de domaine ainsi qu’un serveur sur lequel le service DNS est installé et configuré.

Si vous intégrez votre serveur dans un domaine, il deviendra alors serveur membre. S’il est dans un groupe de travail, nous parlerons de serveur autonome.

Vous pouvez lors de l’installation de Windows 2003 Server faire de votre ordinateur un serveur membre ou autonome. Si vous souhaitez qu’il joue le rôle de contrôleur de domaine, il faudra alors installer Active Directory après l’installation, via l’assistant DCPROMO.

2.5 Installation à partir d’un CD-ROM

Vous pouvez exécuter l’installation de Windows 2003 server à partir du CD-ROM. Pour cela :

9 Soit vous posséder un OS : il suffit d’insérer le CD et exécuter le setup.exe (si pas d’autorun).

9 Soit configuré le BIOS de votre machine pour démarrer sur le CD. Le programme d’installation de Windows 2003 se lance automatiquement après chargement des pilotes de périphériques.

9 Soit vous disposez des disquettes d’installation afin d’initialiser la séquence d’amorçage et vous démarrez l’ordinateur à partir de ces disquettes, le reste de l’installation se poursuivra ensuite à partir du CD.

a. En mode texte

Les différentes étapes sont les suivantes :

9 Le programme setup charge un système 32 bits minimal de Windows 2003 Server en mémoire

9 Si vous disposez de périphériques SCSI ou RAID particuliers, pressez F6 pour charger les pilotes

9 Acceptation du contrat de licence avec la touche F8

9 Choix du partitionnement et du système de fichiers

Vous ne disposerez du formatage rapide que sur une partition existante. Après formatage puis copie des fichiers, l’ordinateur redémarre.

(14)

06/03/08 Page 14/75

b. En mode graphique

Lors de la partie en mode graphique, nous devrons fournir un certain nombre d’indications :

9 Paramètres régionaux et divers

9 Nom et organisation

9 Mode de licence

9 Nom de l’ordinateur et mot de passe pour le compte admin local.

9 Composants que vous voulez installer (voir annexe)

Vous noterez que par souci de sécurité et de performance, Windows 2003 installe très peu de composants par défaut.

b1 : Installation de la gestion du réseau :

Windows 2003 va initialement détecter les cartes réseaux. Une fois cela réalisé, il vous demande si vous souhaitez installer les composants réseau de façon automatique ou personnalisée. Si vous choisissez les réglages par défaut, les composants suivants seront installés :

9 Clients pour les réseaux Microsoft : cela permet à votre ordinateur d’accéder aux ressources réseau.

9 Partage de fichiers et d’imprimantes pour les réseaux Microsoft.

9 Protocole TCP/IP standard configuré en obtention d’adresse automatique.

Dans ce mode, Windows 2003 essaie e trouver un serveur DHCP sur votre réseau pour obtenir automatiquement une adresse IP.

En choisissant une installation personnalisée, vous pourrez modifier ces composants et spécifier entre autre une configuration d’adressage IP statique.

L’étape suivante sera de choisir entre intégrer un groupe de travail ou un domaine. Le nom du groupe de travail par défaut est : WORKGROUP

3. Installation contrôlée ou automatisée

Cette méthode a un intérêt si vous souhaitez installer Windows 2003 Server sur plusieurs ordinateurs ou vous affranchir du CD-ROM. Pour cela, copiez-le contenu du répertoire i386 du CD-Rom dans un partage réseau. Dès lors, il suffit de mettre en place une gestion de réseau minimum sur la machine à installer (par exemple un client réseau 3.0 sous DOS) afin de se connecter à cette ressource et lancer l’installation par la commande WINNT.EXE. Vous pouvez aussi utiliser la commande WINNT32.EXE si vous souhaitez procédez à l’installation à partir d’un système d’exploitation 32 bits (démarrage à partir des disquettes d’installation).

(15)

06/03/08 Page 15/75

Lorsqu’ils sont exécutés manuellement, les programmes WINNT et WINNT32 supportent des paramètres en ligne de commande qui permettent de personnaliser l’installation de Windows 2003.

3.2 Création d’un fichier de réponse

L’installation de Windows 2003 peut être automatisée, pour ne pas avoir à répondre à toutes les étapes de la partie d’installation en mode texte et de la partie d’installation en mode graphique. Pour cela on créera un fichier de réponse. Afin de ne pas décliner ce fichier de réponse pour chaque variante d’installation, il est possible d’associer un fichier .UDF qui contiendra les spécificités de chaque installation.

En cas de conflit, les valeurs mentionnées dans le fichier UDF sont prioritaires vis-à-vis du fichier de réponse. Lorsque la valeur n’est trouvée dans aucun des fichiers, le programme d’installation affiche un écran pour la saisie du paramètre.

L’utilitaire « Setup Manager » est un utilitaire graphique qui permet de créer les fichiers de réponse ainsi que les fichiers UDF. Cet utilitaire fait partie du fichier DEPLOY.CAB que l’on trouve sur le CD de Windows 2003.

4. Installation par duplication de disque

Pour déployer Windows 2003 sur un grand nombre de postes, la méthode paraissant la plus efficace est la duplication de disque. Toutefois, cette technique, couramment appelée clonage, est particulièrement adaptée aux postes de travail tels que Windows 2000 ou XP, mais peu recommandée pour un serveur. Cette méthode de déploiement consiste à créer une image du disque d’un ordinateur sur lequel Windows 2003 est installé et configuré (ordinateur de référence), puis à restaurer cette image physique sur un autre ordinateur. Bien que l’on gagne du temps au niveau de l’installation, nous pouvons par la suite rencontrer des problèmes. Ainsi les identifiants de sécurité uniques ne sont pas régénérés et peuvent engendrer des dysfonctionnements aléatoires. Il est donc impératif de respecter cette unicité en utilisant un programme spécifique (fourni avec le produit de duplication de disque) ou un produit tiers tel que NEWSID de « Sysinternals ».

Avec le package DEPLOY.CAB, Microsoft fournit SYSPREP.EXE afin de respecter la génération des identifiants uniques et certaines opérations du processus d’installation, tout en conservant le bénéfice de la duplication de disque.

Le cycle à entreprendre est le suivant :

9 Installation de Windows 2003 sur un ordinateur de référence

9 Installation des applications sur cet ordinateur

9 Exécution de l’utilitaire SYSPREP.EXE afin de supprimer tous les paramètres de configuration propres à un ordinateur.

9 L’exécution de SYSPREP s’arrête et redémarrer l’ordinateur de référence. Avant de redémarrer le système, vous devrez procéder au

(16)

06/03/08 Page 16/75

clonage proprement dit, en exécutant votre outil qui va générer l’image du disque.

9 La restauration de l’image sur les ordinateurs cible s’effectue à l’aide de votre outil de duplication de disque

5. Intégration au domaine

Les installations manuelles ou automatisées de Windows Server 2003 permettent de joindre l’ordinateur à un domaine pendant la phase d’installation. Afin de dissocier d’éventuelles difficultés liées à cette opération, il est souhaitable de procéder à une première installation dans un groupe de travail quelconque ou WORKGROUP par défaut. Une fois l’installation réalisée et la configuration réseau vérifier, vous pouvez à tout moment intégrer votre serveur autonome vers un domaine afin qu’il devienne serveur membre.

Vous pourrez réaliser cette opération sous l’onglet « nom de l’ordinateur » et en cliquant sur le bouton « Modifier ».

9 S’il s’agit d’un domaine NetBIOS (contrôleur de domaine antérieur à Windows 2000), entre le nom simple du domaine tel que CESI.

9 S’il s’agit d’un domaine Active Directory (contrôleur principal sous Windows 2000 ou Windows 2003), entre le nom DNS complet du domaine tel que cesi.fr. Vérifiez également que l’option « Modifier le suffixe DNS principal lorsque les adhésions au domaine sont modifiées » est cochée afin que le nom complet du poste soit modifié en conséquence.

Pour joindre un serveur autonome à un domaine, il est nécessaire de créer un compte d’ordinateur dans le domaine en question. Deux voies sont alors possibles :

9 A partir du serveur, un compte d’utilisateur du domaine autorisé à ajouter un ordinateur dans le domaine, c'est-à-dire à créer un compte d’ordinateur dans le domaine

9 A partir d’un contrôleur de domaine, en créant manuellement le compte d’ordinateur via la console appropriée (Utilisateurs et Ordinateurs Active Directory).

A la prochaine ouverture de session, vous aurez le choix entre utiliser un compte d’utilisateur déclaré sur le domaine ou utiliser un compte local de votre ordinateur.

6. Services d’installation à distance (RIS)

6.1 Présentation

Les services d’installation à distance RIS (Remote Installation Service) permettent de déployer un système d’exploitation sur tout ou partie des postes de l’entreprise sans qu’il soit nécessaire d’intervenir physiquement sur chaque ordinateur. Cette technique de déploiement sur un ensemble de services réseau et serveurs requiert des postes clients compatibles PXE

(17)

06/03/08 Page 17/75

(Preboot eXtension Environnement). Les images nécessaires à l’installation des postes clients sont stockées sur un ou plusieurs serveurs spécialisés (Serveur RIS) membres ou contrôleurs d’un domaine : à savoir, les installations automatisées via un fichier de réponse et/ou les images de duplication de disque.

Le serveur RIS stocke les images en volume NTFS et propose un écran d’accueil aux clients qui le sollicitent. Il est ainsi possible de choisir l’image d’une nouvelle installation et/ou d’effectuer certaines tâches de pré installation via des outils spécifiques tels qu’une mise à jour du BIOS. Vous pouvez déployer des images pour Windows 2000 et XP Professionnel. Notez que vous pouvez recourir aux stratégies de groupe pour compléter l’installation des applications et le paramétrage des postes.

6.2 Installation du serveur RIS

Avant de procéder à l’installation du serveur RIS, vous devez effectuer certaines vérifications :

9 Le serveur envisagé pour cette fonction doit être membre ou contrôleur d’un domaine Active Directory. Du fait de la présence d’Active Directory, un service DNS est nécessairement fonctionnel sur le réseau.

9 Un service d’allocation dynamique d’adresses (DHCP) doit être présent sur le réseau de déploiement des postes. (Les serveurs DHCP sur Windows 2000/2003 doivent être autorisés dans Active Directory via la console DHCP. Le serveur RIS doit également être autorisé de la même manière bien qu’il n’assure pas nécessairement de service DHCP).

9 Pour installer les services RIS, utilisez la fonction « Ajout/suppression des programmes » du panneau de configuration, puis « Ajouter ou supprimer des composants Windows ». Cochez ensuite la case « Services d’installation à distance » puis cliquez sur le bouton « Suivant ».

9 A partir du menu « Démarrer » - Exécuter ou d’une invite de commande, exécutez le programme RISetup.exe (situé dans %Windir%\system32) afin de configurer le serveur.

9 Cliquez sur le bouton « suivant » pour passer l’écran d’accueil puis entrez le chemin d’accès destiné au stockage des images d’installation des postes. Ce dossier est partagé sous le nom REMINST et doit impérativement respecter les contraintes suivantes : 9 Etre sur un volume ou une partition NTFS

9 Ne pas être celui du système ni celui de la partition d’amorçage

9 L’espace minimum disponible sur ce volume doit être de 2 Go Le nom du dossier par défaut est « RemoteInstall ». Cliquez sur le bouton « Suivant » une fois le nom de dossier saisi.

(18)

06/03/08 Page 18/75

9 Par défaut, le service RIS ne répondra pas aux requêtes des clients afin que vous puissiez vérifier les paramètres après ces opérations, puis activer cette fonctionnalité a posteriori. Ne cochez donc aucune case « Prise en charge des clients » puis cliquez sur le bouton « Suivant ».

9 Le serveur RIS doit disposer d’au moins une image de CD-Rom et vous devez, à ce stade, indiquer une lettre d’unité contenant une distribution de Windows Serer 2003, XP ou 2000 professionnel, puis cliquer sur le bout « Suivant » pour poursuivre l’installation

9 Entrez ensuite un sous-dossier (du dossier précédent) pour le stockage de cette distribution, cliquez sur le bouton « Suivant » puis précisez une description plus claire identifiant cette copie (vous pouvez également ajouter un texte d’aide complémentaire). Ces informations seront visibles à partir de l’écran d’installation des postes.

9 Cliquez sur le bouton « Suivant », vérifiez vos paramètres puis cliquez sur le bouton « Terminer » pour démarrer la copie et achever l’installation des services RIS.

Suite à l’installation des services d’installation à distance, plusieurs services ont été automatiquement ajoutés et activés :

La couche de négociation des informations de démarrage ou Boot Information Négociation Layer (BINL)

Il s’agit du service chargé de répondre aux requêtes des clients et d’interroger Active Directory pour savoir si l’ordinateur dispose de droits suffisants. Il permet également d’attribuer les paramètres adaptés aux clients pendant leur phase d’installation.

Le service Trivial File Transfer Protocole ou TFTPD (daemon)

Ce servie en mode non connecté (rapide) permet aux clients de télécharger des fichiers spécifiques. Il leur offre notamment la possibilité de rapatrier l’assistant d’installation du client (Client Installation Wizard ou CIW) ainsi que toutes les boites de dialogue contenus dans l’assistant. Stockage d’Instance simple ou Single Instance Store (SIS)

Il s’agit du service chargé de réduire la quantité d’espace disque sur les volumes utilisés par les images d’installation RIS. Lorsque vous installez RIS en tant que composant optionnel, vous devez mentionner un lecteur ainsi qu’un répertoire d’installation : il s’agit du volume RIS. Les services SIS se lient automatiquement au volume RIS, et effectuent un suivi pour savoir si des fichiers dupliqués ont été placés sur ce volume. En cas de doublon, SIS crée un lien vers le fichier, économisant ainsi de l’espace disque.

6.3 Mise en œuvre

A ce stade, le serveur RIS est pratiquement opérationnel ; vous devez cependant effectuer les étapes suivantes afin qu’il puisse prendre en charge les postes clients et que les installateurs puissent joindre correctement le domaine :

(19)

06/03/08 Page 19/75

a. Autoriser le serveur

Bien que le serveur RIS n’assure pas nécessairement une fonction de serveur DHCP, vous devez l’autoriser au sein de la console DHCP. Pour cela, lancez la console DHCP à partir des outils d’administration, sélectionnez la racine de la console DHCP puis utilisez le menu « Action – Gérer les serveurs autorisés. Cliquez sur le bouton « Autoriser », saisissez le nom ou l’adresse IP du serveur RIS puis cliquez sur le bouton OK.

b. Répondre aux postes clients

Pendant la phase d’installation du serveur RIS et afin de pouvoir définir ou vérifier sereinement les paramètres, l’option « Répondre aux clients… » a été désactivée. De ce fait, aucun client n’est pris en charge et vous devrez activer cette option pour que le serveur RIS puisse proposer les écrans d’installation et images qu’il héberge.

9 Pour cela, utilisez la console « Utilisateur et ordinateurs Active Directory », sélectionnez le conteneur dans lequel est situé le compte du serveur RIS puis sélectionnez ce dernier.

9 Utilisez le menu « Action – Propriétés » ou le menu contextuel, puis activez l’onglet « Installation à distance ».

9 Cochez la case « Répondre aux ordinateurs clients à la demande d’un service » puis cliquez sur le bouton « OK ». Vous pouvez également cocher la case « Ne pas répondre aux ordinateurs clients inconnus » mais dans ce cas, les comptes d’ordinateurs devront être préalablement créés dans Active Directory. Cette technique, appelée Pre-Staging, est plus contraignante sur le plan de l’administration mais permet de ne pas déléguer d’autorisation et d’équilibrer la charge lorsque plusieurs serveurs RIS sont disponibles sur le réseau.

c. Création des comptes d’ordinateurs

Par défaut, lorsqu’un ordinateur devient membre d’un domaine Active Directory, son compte d’ordinateur est généré dans le conteneur « Computers ». Les services d’installation à distance peuvent cependant créer ces comptes d’ordinateurs directement dans un autre emplacement et utiliser des règles de format de nom.

9 Pour modifier l’emplacement et/ou le format des noms de compte d’ordinateur, utilisez la console « Utilisateurs et ordinateurs Active Directory », sélectionnez le conteneur dans lequel est situé le compte du serveur RIS puis sélectionnez ce dernier.

9 Utilisez le menu « Action – Propriétés » ou le menu contextuel, activez l’ongle « Installation à distance » puis cliquez sur le bouton « Paramètres avancés ».

9 Par défaut, le nom de compte d’ordinateur est égal au nom d’utilisateur qui effectue l’installation à distance (un incrément est automatiquement ajouté en cas de doublon). Vous pouvez sélectionner d’autres formats dans la liste déroulante ou utiliser le bouton « Personnaliser » pour définir vos propres formats de noms.

(20)

06/03/08 Page 20/75

9 Choisissez ensuite l’emplacement dans lequel le compte d’ordinateur sera créé :

9 Emplacement par défaut du service d’annuaire « Computers ».

9 Même emplacement que celui du compte d’utilisateur qui effectue l’installation

9 Emplacement spécifique dans la structure d’Active Directory. L’utilisateur d’un conteneur spécifique aux installations à distance est plus pratique à administrer.

d. Délégation d’autorisation

A l’instar d’une installation classique, lorsqu’un poste est déployé via les services d’installation à distance, la personne qui effectue cette opération doit disposer des privilèges nécessaires à la création du compte d’ordinateur dans la structure Active Directory (jonction d’un ordinateur à un domaine). Si l’installateur n’est pas administrateur du domaine, vous devez définir un groupe ou un utilisateur auquel vous allez déléguer cette autorisation.

9 Pour cela, utilisez le menu « Action – Délégation de contrôle » ou le menu contextuel, puis cliquez sur le bouton « Suivant ». Cliquez sur le bouton « Ajouter » pour sélectionner le groupe ou l’utilisateur auquel vous souhaitez octroyer ce privilège puis cliquez sur le bouton « Suivant ».

9 Cochez l’option « Joindre un ordinateur au domaine ». Cliquez ensuite sur les boutons « suivants » puis « Terminer »

Si l’affichage des fonctionnalités avancées est activé, vous pouvez également utiliser le menu « Action – Propriétés » ou le menu contextuel disponible après avoir sélectionné le conteneur. Après avoir sélectionné l’onglet « Sécurité », utilisez le bouton « Paramètres avancés » pour octroyer ces autorisations spéciales aux groupes ou utilisateurs de votre choix.

6.4 Les images de poste

Si vous avez respecté les procédures précédentes, le serveur RIS ne dispose que d’une seule image de CD-ROM ajoutée pendant la phase d’installation, à laquelle est associé un fichier de réponse standard « ristndrd.sif ». Vous pouvez donc utiliser le gestionnaire d’installation (setupmgr) pour modifier les paramètres de ce fichier ou associer un nouveau fichier de réponse.

a. Les images de type CD-Rom

Comme évoqué précédemment dans ce chapitre, l’association d’un fichier de réponse permet d’automatiser l’installation. Les services RIS utilisent cette même technique lors de l’ajout d’une nouvelle image CD-Rom. Vous pouvez, si vous le désirez, associer plusieurs fichiers de réponse à une même distribution afin de décliner plusieurs configurations de poste.

9 Pour ajouter une nouvelle distribution ou associer un nouveau fichier de réponse sur une distribution existante, utilisez la console

(21)

06/03/08 Page 21/75

« Utilisateurs et Ordinateurs Active Directory », sélectionnez le conteneur dans lequel est situé le compte du serveur RIS puis sélectionnez ce dernier.

9 Utilisez le menu « Action – Propriétés » ou le menu contextuel, activez l’onglet installation à distance » puis activez l’onglet « images ». L’ensemble des images présentes sur le serveur est alors affiché afin d’ajouter, supprimer ou modifier ces distributions.

9 Cliquez ensuite sur le bouton « Ajouter » pour démarrer l’assistant.

b. Les images de type Riprep

Cette solution permet de définir non seulement l’installation du système d’exploitation mais également des applications ainsi que l’environnement du poste. Les services d’installation à distance proposent en standard, une technique dérivée offrant un résultat et des avantages identiques à ces produits.

Ainsi, à l’instar de la duplication de disque, ces images sont générées à partir d’un poste de référence sur lequel vous installez et configurez les applications et paramètres désirés. Une fois cette opération achevée et vérifiée, vous devez « banaliser » le poste de référence vis-à-vis de ces identifiants de sécurité (SID).

Contrairement aux techniques de duplication de disque, vous n’utiliserez pas SYSPREP. L’outil spécialisé RIPREP se chargera de cette opération de retrait des identifiants de sécurité et réalisera la duplication de disque vers le serveur RIS.

9 Pour créer une image de type Riprep, exécutez la commande suivante à partir du poste de référence, une fois la configuration de celui-ci terminée :

(22)

06/03/08 Page 22/75

Présentation d’Active Directory

1. Présentation

Le système d’annuaire de Windows 2003 n’a pas subi de modification majeure. Il s’agit donc d’une introduction aux services d’annuaire Active Directory nécessaires à une première mise en œuvre de Windows Server 2003 dans ce type d’architecture.

1.1 Précisions sur les domaines NetBIOS

En premier lieu, il convient de rappeler que la notion de domaine apparue avec Windows NT utilisait les mécanismes de résolution de nom NetBIOS, au même titre que les groupes de travail Microsoft. Dans ce type de réseau, les machines comme le nom du domaine, sont identifiés par un nom de 15 caractères au maximum, sans espace. Le 16e_{caractère du nom} NetBIOS est utilisé pour identifier le type de service qui est offert par la machine. Ainsi, le mécanisme de résolution NetBIOS permet d’identifier un contrôleur de domaine par le biais d’une diffusion générale (broadcast), d’un service WINS, ou encore du fichier LMHOSTS.

Ce type de domaine contient uniquement des objets de type utilisateur, groupe ou ordinateur et ne comprend qu’un seul niveau. Le domaine est maintenu par la présence d’un contrôleur principal (Primary Domain Controller) et d’éventuels contrôleurs de domaine principal (Backup Domain Controller). La base de données pour ces domaines est de type SAM (Security Account Manager) et elle est « limitée » à 40 000 objets. Le mécanisme d’authentification utilise le protocole NTLM.

La notion de relation d’approbation est une possibilité de communication interdomaine unidirectionnelle et qui s’appuie sur un compte déclaré au niveau du domaine d’origine (approuvé) et sur le domaine de destination (approuvant). Les utilisateurs d’un domaine A peuvent accéder ainsi aux ressources situées dans un domaine B. Pour que les utilisateurs du domaine B puissent accéder aux ressources du domaine A, une autre relation d’approbation (dans l’autre sens) doit être déclarée. On pourrait évoquer la bidirectionnalité, qui en fait, met en œuvre deux relations d’approbation.

1.2 Définition et concepts de base sur Active Directory

Active Directory n’est plus dépendant du protocole NetBIOS et utilise le standard TCP/IP. Sa structure est définie au sein d’un schéma composé d’objets et d’attributs évolutifs. La base d’annuaire Active Directory peut contenir plusieurs millions d’objets.

a. La forêt

La forêt représente un ensemble de domaines liés entre eux par des relations d’approbations bidirectionnelles et transitives. Elle est caractérisée par la présence d’un domaine dit « Racine » équivalent au premier domaine installé dans la forêt. Il s’agit d’un point de référence pour tous les autres domaines de la forêt.

(23)

06/03/08 Page 23/75

b. Les arborescences

Les arborescences de domaine dépendent de leur nom. Lorsqu’un domaine ne partage pas le même espace de nom qu’un domaine parent, il est considéré comme une nouvelle arborescence ; sinon il s’agit d’un domaine enfant.

c. Les domaines

Le domaine est une entité de sécurité proche du concept de domaine NT4, mais il supporte une structure hiérarchisée et peut contenir toutes sortes d’objets.

Les noms de domaine utilisés dans Active Directory s’appuient sur une architecture DNS (Domain Name Service). Précisons quelques détails fondamentaux :

9 Pour les clients Windows 2000 ou supérieurs, la résolution des noms de domaine est assuré par les services DNS. Il est donc impératif de renseigner un serveur DNS (connaissant le domaine Active Directory) dans la configuration du protocole TCP/IP du poste.

9 Les services DNS nécessaires à Active Directory doivent supporter les enregistrements SRV afin de localiser les ressources. Bien que cela soit facultatif, il est fortement conseillé d’autoriser les mises à jour dynamiques au niveau de la zone DNS du domaine. Ainsi, lors du démarrage du service NETLOGON, les contrôleurs de domaine peuvent vérifier et créer, le cas échéant, les enregistrements SRV idoines.

9 Durant la phase d’installation d’Active Directory, le processus tente de localiser un serveur DNS afin d’héberger la zone correspondant au domaine. Si aucun serveur DNS valide n’est détecté, le processus d’installation d’Active Directory vous propose d’installer les services DNS sur le contrôleur de domaine, afin qu’il héberge sa propre zone. Afin d’assurer la compatibilité avec les clients (membres d’un domaine) antérieurs à Windows 2000, Active Directory supporte également un nom NetBIOS de domaine. Voici quelques exemples dans le tableau ci-dessous :

Domaine DNS Domaine NetBIOS

cesi.fr CESI commercial.cesi.fr COMMERCIAL

aix.cesi.com AIX

d. Les unités organisationnelles

Les Unités Organisationnelles permettent de structurer hiérarchiquement un domaine dans le but de l’organiser pour :

9 Organiser les différents objets

9 Déléguer le contrôle d’une partie du domaine

(24)

06/03/08 Page 24/75

Ne confondez pas les conteneurs de type système avec les Unités Organisationnelles proches par leur représentation. Les caractéristiques et le comportement des conteneurs système sont particuliers, ils ne peuvent pas être manipulés avec les interfaces standards.

Contrairement aux conteneurs système, les Unités Organisationnelles sont à disposition des administrateurs et peuvent être imbriquées entre elles. Cela signifie qu’il est possible de créer des Unités Organisationnelles tous les niveaux d’un domaine (sauf dans un conteneur système).

Les stratégies de groupe et la délégation de contrôle ne sont pas disponibles au niveau des conteneurs système.

Afin de définir et lier les stratégies de groupe au niveau du domaine ou des unités organisationnelles (onglet stratégie de groupe) , vous utiliserez la console « Utilisateurs et ordinateurs Active Directory ».

Conseils et objectifs

9 Etudiez votre organisation d’entreprise afin de définir les configurations et les besoins communs (utilisateurs, postes, serveurs, applications).

9 Evitez une structure hiérarchique comprenant plus de trois niveaux

9 Créer des stratégies de groupe simples et cohérentes dans un premier temps

9 Liez les stratégies de groupe uniquement aux niveaux souhaités et testez les effets avant de généraliser.

9 Déléguez le contrôle au niveau d’une Unité Organisationnelle.

9 Dans tous les cas, documentez vos actions, afin qu’une autre personne puisse comprendre facilement le fonctionnement de l’architecture.

e. Les sites

Les concepts évoqués précédemment décrivent la structure logique d’Active Directory. Hébergé par un ensemble de contrôleurs de domaine, chacun d’entre eux échange et réplique les modifications dans leur base de données respective (%windir%\NTDS\NTDS.DIT)

Afin de contrôler ce trafic, Active Directory utilise une structure physique. Cette fonctionnalité permet de maîtriser les échanges entre les contrôleurs de domaines, selon leur implantation physique, et introduit la notion de site.

On peut donc distinguer la réplication « intrasite » pour qualifier les échanges entre les contrôleurs de domaine d’un même site et la réplication « intersite » (plusieurs sites) contrôlée par les liens de sites.

Les liaisons de sites servent à définir le coût du lien, une fréquence de réplication et éventuellement des créneaux horaires, ceci pour chacune des connexions possibles avec un site.

Les sites s’appuient sur le plan d’adressage TCP/IP et sont composés d’un ou plusieurs sous-réseaux IP. Un site contient toujours un contrôleur de

(25)

06/03/08 Page 25/75

domaine au minimum, quel que soit le nombre de sous-réseaux qui composent le site.

L’appartenance d’une machine à un site est déterminée par son adresse IP. En revanche, les contrôleurs de domaine doivent être positionnés (déplacés manuellement) en fonction des modifications d’adressage TCP/IP.

Une architecture Active Directory contient toujours au moins un site (Premier_site_par_défaut) indépendamment du nombre de domaines. Ainsi, on peut combiner librement :

9 Plusieurs domaines sur un ou plusieurs site(s)

9 Un seul domaine sur un ou plusieurs site(s)

Pour mettre en place une architecture de ce type, utilisez la console « Sites et services d’Active Directory ».

1.3 Comportement selon le type de domaine Plusieurs cas de figure peuvent se présenter :

9 Un serveur Windows Server 2003 peut être membre d’un domaine NT4 et utilisera donc les mécanismes de résolution de nom NetBIOS pour trouver les contrôleurs de domaine.

9 Un serveur Windows Server 2003 peut être membre d’un domaine Active Directory et utilisera les mécanismes de résolution de nom DNS (enregistrements SRV) pour trouver les contrôleurs de domaine. 9 Un serveur Windows Server 2003 peut être contrôleur de domaine

lui-même. Il supporte alors les clients NetBIOS et les clients DNS. Cela signifie qu’il existe deux noms pour un même domaine. Les postes antérieurs à Windows 2000 joignent le domaine au nom NetBIOS (nom court comme par exemple « CESI ») alors que les postes Windows 2000 ou supérieur, doivent utiliser le nom DNS du domaine (cesi.fr)

2. Installation

L’installation d’Active Directory s’effectue à partir d’un serveur Windows 2003 membre ou autonome. Une fois la base d’annuaire installée, votre serveur deviendra un contrôleur de domaine.

Active Directory sera un fichier de base de données appelé NTDS.DIT situé sous l’emplacement par défaut %systemroot%\ntds. Il est possible de modifier ce chemin lors de l’installation d’Active Directory.

L’installation d’Active Directory nécessite une partition NTFS pour stocker le répertoire système partagé (SYSVOL) car le suivi des modifications dupliquées de la base d’annuaire s’effectue par des numéros de version séquentiels pris en charge par le système NTFS.

Pour installer Active Directory, vous devez exécuter la commande DCPROMO.EXE. La base de comptes (base SAM) de votre serveur sera copiée dans la base d’annuaire avant d’être détruite de votre serveur. Vous

(26)

06/03/08 Page 26/75

ne perdrez donc pas les informations de comptes lors de la migration de vos contrôleurs de domaine NT vers Windows 2003. Si vous exécutez la commande « dcpromo » sur un contrôleur de domaine Windows 2003, vous rétrogradez alors votre contrôleur au titre de serveur membre ou autonome. Vous obtiendrez une base SAM vierge.

Pour installer Active Directory, vous devez posséder un ordinateur fonctionnant sur l’une des versions de Windows 2003 permettant de le faire, une partition formatée en NTFS, le protocole TCP/IP ainsi qu’un service DNS installé et configuré.

2.1 Création d’un nouveau domaine ou domaine racine

La première fois que vous installez AD, vous allez créer un nouveau domaine dans une nouvelle forêt. Après avoir exécuter « dcpromo », suivez les étapes suivantes :

9 Sélectionnez contrôleur de domaine pour un nouveau domaine

9 Sélectionnez Créer une nouvelle arborescence de domaine

9 Sélectionnez Créer une nouvelle forêt d’arborescence de domaine

9 Entrez le nom DNS

9 Entrez le nom NetBIOS

9 Indiquez le chemin pour stocker les informations concernant AD. Par défaut, il vous est proposé %systemroot%\NTDS pour le stockage de la base de données ainsi que pour les journaux de log.

9 Pour optimiser les performances de votre serveur, vous pouvez placer sur des disques différents la base de données et les journaux de log. 9 Entrez le chemin pour le dossier « volume système » (sysvol). Ce

dossier doit obligatoirement se situer sur une partition NTFS. Il contient la définition des stratégies de groupes, les scripts et des informations de réplication.

9 Windows 2003 essaye de détecter un serveur DNS gérant la zone portant le nom de domaine que vous venez d’indiquer. Ce DNS doit supporter les enregistrements dynamiques. Si aucun serveur DNS gérant votre zone n’est configuré, le processus d’installation d’AD vous propose d’installer le service DNS et de le configurer.

9 Sélectionnez « Autorisations compatibles uniquement avec les systèmes d’exploitation serveurs Windows 2000 ou Windows Server 2003 ».

9 Si vous sélectionnez l’option Autorisations compatibles avec les systèmes d’exploitation serveurs antérieurs à Windows 2000, le groupe «Tout le monde » aura alors la permission de lire tous les attributs de tous les objets Active Directory.

(27)

06/03/08 Page 27/75

9 Spécifiez ensuite un mode de passe pour le mode de restauration de la base d’annuaire. Ce mot de passe peut être modifié avec l’utilitaire NTDSUTIL.exe

2.2 Ajout d’un contrôleur de domaine à un domaine existant

Une fois le domaine créé, vous pouvez ajouter de nouveaux contrôleurs de domaine dans ce dernier. Il est fortement recommandé de disposer de deux contrôleurs de domaine au minimum pour assurer la tolérance de pannes ainsi que l’équilibrage de charge.

Vérifiez la configuration TCP/IP et particulièrement le client DNS qui doit référencer un serveur connaissant la zone DNS correspondant au domaine Active Directory :

9 Exécutez dcpromo.exe

9 Sélectionnez « contrôleur de domaine supplémentaire pour un domaine déjà existant ».

9 Indiquez le domaine, le nom et le mot de passe d’un compte ayant suffisamment de droits pour ajouter un contrôleur au domaine.

9 Indiquez ensuite le nom DNS du domaine pour lequel votre serveur sera contrôleur.

9 Entrez le chemin pour la base de données d’annuaire

9 Entrez le chemin pour le volume système partagé

9 Indiquez le mot de passe de restauration.

La duplication de la base d’annuaire Active Directory commence. 2.3 Ajout d’un domaine enfant

La création d’un domaine enfant s’effectue après avoir créé un domaine racine ou un domaine parent.

Par exemple, nous allons créer un domaine gestion.cesi.fr, enfant du domaine cesi.fr :

9 Exécutez dcpromo.exe

9 Sélectionnez « Contrôleur de domaine pour un nouveau domaine »

9 Sélectionnez « Créer un nouveau domaine enfant dans une arborescence de domaine existante ».

9 Indiquez le nom, le mot de passe ainsi que le domaine d’un compte faisant partie du groupe Administrateurs de l’entreprise.

9 Indiquez le nom DNS du domaine parent

9 Indiquez le nom NetBIOS pour votre nouveau domaine

(28)

06/03/08 Page 28/75

9 Entrez le chemin pour le volume système partagé

9 Spécifiez si vous utilisez ou non des services fonctionnant sur de systèmes NT 4.0.

2.4 Ajout d’une arborescence dans une forêt existante

L’ajout d’une arborescence dans une forêt existante va servir à créer un nouvel espace de nom contigu. Par exemple, vous venez de fusionner avec une société qui possède un nom de domaine DNS enregistré sur Internet. Votre société souhaite garder son espace de nom qui, lui aussi, est enregistré. Dans ce cas, il sera intéressant de créer une nouvelle arborescence dans la forêt.

Les trois paramètres qui changeront sont les suivants :

9 Sélectionnez « Contrôleur de domaine pour un nouveau domaine »

9 Sélectionnez « Créer une nouvelle arborescence de domaine »

9 Sélectionnez « Placer cette nouvelle arborescence de domaine dans une forêt existante ».

3. Désinstallation d’Active Directory

Pour désinstaller Active Directory de votre serveur, exécutez de nouveau la commande « dcpromo.exe ». Si vous désinstallez AD sur un contrôler de domaine jouant le rôle catalogue global, assurez-vous de disposer d’une autre serveur jouant ce rôle dans la forêt ou sur le site, sauf si vous souhaitez supprimer complètement Active Directory.

4. Choix d’un mode d’un domaine

Lors de l’installation d’un domaine, il est, par défaut, configuré en tant que mode mixte Windows 2000. Un tel mode permet la cohabitation dans un domaine Windows 2003 de contrôleurs de domaine fonctionnant sous Windows 2000, 20003 et Windows NT.

Ceci est très intéressant lors de la migration de vos serveurs vers Windows 2003. Une fois la migration effectué et réussie, vous pouvez passer votre domaine en mode natif Windows 2000 ou Windows 2003. Ces modes permettent d’utiliser des fonctionnalités d’Active Directory qui ne sont pas valables en mode mixte ou intérim (imbrication de groupes globaux dans d’autres groupes globaux, groupes de sécurité universels, nouveau nom pour un contrôleur de domaine…).

(29)

06/03/08 Page 29/75

Ci-dessous un récapitulatif des modes d’un domaine :

Mode de domaine Contrôleurs supportés

Windows 2000 Mixte

Windows NT 4.0 Windows 2000 Windows 2003 Windows 2000 Natif Windows 2000 Windows 2003 Windows 2003 Intérim Windows NT 4.0

Windows 2003 Windows 2003 Windows 2003

4.1 Mode fonctionnel d’un domaine

Pour visualiser ou modifier le mode fonctionnel d’un domaine, vous pouvez utiliser la console « Utilisateurs et ordinateurs AD » ou la console « Domaine et approbations AD ».

9 Sélectionnez le nom du domaine, puis utilisez le menu « Action – Augmenter le niveau fonctionnel du domaine » ou le menu contextuel.

9 Sélectionnez le mode désiré dans la liste déroulante puis cliquez sur le bouton « changer de mode ». Un message vous rappelle que l’opération est irréversible.

4.2 Mode fonctionnel de la forêt

Pour visualiser ou modifier le mode fonctionnel de la forêt, vous devez utiliser la console « Domaine et approbations Active Directory ».

9 Sélectionnez la racine de la console, puis utilisez le menu « Action – Augmenter le niveau fonctionnel de la forêt » ou le menu contextuel.

5. Rôle des contrôleurs de domaines

5.1 Maîtres d’opération

Dans un domaine Windows 2003, tous les contrôleurs de domaine sont identiques. La base d’annuaire est dupliquée et distribuée sur chaque contrôleur de domaine. Il s’agit donc d’une réplication multimaître. Cependant, certaines actions ne peuvent pas être effectuées en multimaître. Pour cette raison, certains contrôleurs de domaine jouent des rôles bien spécifiques. On appelle ces contrôleurs de domaine des maîtres d’opération (ou FSMO pour Flexible Single Master Operation).

(30)

06/03/08 Page 30/75

On distingue cinq rôles : 9 Maître de schéma

9 Maître d’infrastructure

9 Emulateur de contrôleur principal de domaine

9 Maître de nommage de domaine

9 Maître d’identificateur relatif (RID pour Relative Identifier)

Certains de ces rôles doivent être uniques dans la forêt. C’est le cas du maître de schéma et du maître de nommage de domaine.

Dans chaque domaine d’une forêt, il ne doit y avoir qu’un seul et unique maître d’identificateur relatif ainsi qu’un seul émulateur de contrôleur principal de domaine.

Chaque domaine doit disposer aussi d’un maître d’infrastructure.

Le maître de schéma maintient les mises à jour et modifications apportées au schéma.

Le maître de nommage contrôle l’ajout et la suppression de domaine dans la forêt

Ces deux rôles sont joués par le premier contrôler de domaine installé dans la forêt.

Le maître d’identificateur relatif permet de distribuer des pools d’identificateurs relatifs aux contrôleurs qui en font la demande (c'est-à-dire une fois qu’ils ont épuisé leur stock). Lors de la création d’objets, les contrôleurs de domaine affectent un numéro unique de sécurité à ces objets. Ce SID est composé d’un identificateur de sécurité unique par domaine, suivi d’un identificateur relatif unique pour chaque objet du domaine.

Le maître émulateur de contrôleur principal de domaine est unique par domaine et joue le rôle de PDC pour les clients Windows NT. Ce maître d’opération procède donc aux changements de mot de passe et duplique les mies à jour vers les contrôleurs secondaires de domaine dans le cas où le domaine Windows 2003 est en mode mixte avec une cohabitation entre des contrôleurs de domaine Windows 2003 et des contrôleurs secondaires de domaine Windows NT.

En mode natif, lorsqu’un contrôleur de domaine effectue un changement de mot de passe, il envoie immédiatement l’information au contrôleur jouant le rôle d’émulateur de contrôleur principal de domaine. Lors d’un échec de tentative d’ouverture de session dû à un mot de passe erroné, le contrôleur ayant essayé de valider l’ouverture de session va envoyer la requête au maître émulateur de contrôleur principal de domaine avant de refuser la connexion.

Le maître d’infrastructure est responsable de la cohérence des informations sur le nom des objets Active Directory en fonction de leur SID. En effet, lors d’un changement de nom de compte, il peut se produire un certains temps avant que, dans tous les domaines de la forêt, l’information soit mise à jour. Le maître d’infrastructure maintient donc une