Editions ENI. DirectAccess. Mobilité et nomadisme, mise en œuvre de la solution Microsoft. Collection Expert IT. Table des matières

Editions ENI

DirectAccess

Mobilité et nomadisme, mise en œuvre de la solution Microsoft

Collection Expert IT

Table des matières

Avant-propos

Chapitre 1

DirectAccess pour quoi faire ?

1. Le nomadisme en quelques mots. . . 15

1.1 Du point de vue de l'utilisateur . . . 15

1.2 Du point de vue de l'exploitant . . . 17

2. Objectifs de DirectAccess. . . 18

2.1 Du point de vue de l'utilisateur . . . 18

2.2 Du point de vue de l'exploitant . . . 20

3. Scénarios autour du nomadisme . . . 20

3.1 Authentification des utilisateurs mobiles . . . 20

3.2 Gestion du poste de travail en situation de mobilité . . . 23

3.3 Gestion de la conformité du poste de travail en situation de mobilité . . . 24

3.4 Contrôle d'accès et isolation logique . . . 25

3.5 Uniformisation de la politique d'accès à Internet. . . 27

4. La sécurité de nos réseaux d'entreprise . . . 28

4.1 Notre réseau d'entreprise est-il sûr ?. . . 28

4.2 Redéfinir le périmètre à protéger . . . 31

5. Dans le cadre de cet ouvrage . . . 32

6. Synthèse . . . 36 Les éléments à télécharger sont disponibles à l'adresse suivante :

http://www.editions-eni.fr.

Saisissez la référence ENI de l'ouvrage EIDIRA dans la zone de recherche et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement.

2

AccessDirect

Chapitre 2

L'assemblage des technologies

1. Introduction . . . 37

2. Pourquoi IPv6 ?. . . 37

2.1 Faut-il avoir peur d'IPv6 ? . . . 39

2.2 Pourquoi DirectAccess repose-t-il sur IPv6 ? . . . 40

2.3 Dois-je commencer un projet IPv6 ?. . . 42

3. DirectAccess Windows versus DirectAccess UAG . . . 43

4. Positionnement des technologies pour DirectAccess . . . 45

4.1 IPv4 . . . 45

4.2 IPv6 . . . 46

4.3 Pare-feu . . . 47

4.4 IPSec . . . 50

4.5 AuthIP . . . 53

4.6 NRPT - Tout part du client . . . 61

4.7 PKI . . . 65

4.8 Network Location Server . . . 66

5. Synthèse . . . 67

Chapitre 3

IPv6

1.1 Synthèse comparative . . . 69

1.2 Espace d'adressage et notation. . . 70

1.3 Notion de préfixe . . . 72

1.4 Synthèse . . . 72

2. Les différents types d'adresses . . . 72

2.1 Link-Local . . . 73

2.2 Unique Local IPv6 Unicast. . . 74

2.3 Global Unicast . . . 74

2.4 MultiCast . . . 75

2.5 Anycast . . . 75

2.6 Special . . . 76

2.7 Synthèse . . . 76

3. Configuration . . . 76

3.1 Configuration manuelle . . . 77

3.2 Configuration automatique . . . 78

3.3 Synthèse . . . 78

4. Cohabitation IPv4. . . 79

4.1 ISATAP . . . 80

4.2 6to4 . . . 84

4.3 Teredo . . . 89

4.4 IPHTTPS . . . 95

4.5 DNS64 . . . 98

4.6 NAT64. . . 101

5. Synthèse . . . 103

Chapitre 4

Les choix d’architectures

2. Domain Name Server . . . 105

2.1 Zones DNS internes . . . 106

2.2 Serveurs DNS internes . . . 106

2.2.1 DNSQueryBlockList. . . 107

2.2.2 ISATAP . . . 109

2.2.3 Binding IPv6 . . . 111

2.3 Zones DNS externes. . . 112

2.4 Exceptions . . . 112

3. Active Directory . . . 114

3.1 Identification des clients nomades . . . 114

3.2 Identification des serveurs DirectAccess. . . 115

4

AccessDirect

4. Pare-feu . . . 115

4.1 Stratégies de pare-feu . . . 116

4.1.1 Protocole ICMPv4 entrant. . . 118

4.1.2 Protocole ICMPv6 entrant. . . 119

4.1.3 Protocole ICMPv4 sortant . . . 120

4.1.4 Protocole ICMPv6 sortant . . . 121

4.1.5 Systèmes impliqués par cette stratégie de groupe . . . 122

4.1.6 Positionnement de la stratégie de pare-feu . . . 122

4.2 Cas des outils de prise en main à distance . . . 123

5. Public Key Infrastructure . . . 124

5.1 Architecture . . . 124

5.2 Mise en œuvre dans la maquette. . . 126

5.2.1 Installation du rôle ADCS . . . 126

5.2.2 Publication de la CRL . . . 129

5.2.3 Prise en charge de la fonctionnalité Auto-Enrôlement. . 137

5.2.4 Positionnement de la stratégie de groupe PKI Settings . 141 5.2.5 Sécurisation du site web d'enrôlement . . . 142

5.2.6 Synthèse . . . 146

5.3 Les usages de la PKI dans DirectAccess . . . 146

5.3.1 IPSec . . . 146

5.3.2 Network Location Server . . . 150

5.3.3 IPHTTPS . . . 151

5.3.4 Authentification forte par carte à puce. . . 154

5.3.5 Authentification forte One-Time Password. . . 158

5.3.6 Conformité du poste de travail . . . 159

5.3.7 Synthèse . . . 168

6. Network Location Server . . . 168

6.1 Le concept du phare . . . 168

6.2 Comment choisir l'emplacement du NLS ? . . . 169

6.3 Mise en œuvre sur la maquette . . . 173

6.4 Le phare doit-il être en haute disponibilité? . . . 178

6.5 Comment assurer la haute disponibilité ? . . . 180

6.5.1 Reconstruire le NLS . . . 180

6.5.2 Déplacer le NLS . . . 180

6.5.3 Haute disponibilité du DNS . . . 181

6.5.4 Réutiliser un site existant . . . 182

6.5.5 Haute disponibilité matérielle/logicielle . . . 182

6.6 Synthèse . . . 183

7. Positionnement du serveur DirectAccess . . . 183

7.1 Les fondamentaux de la DMZ . . . 183

7.2 Besoin de connectivité directe à Internet . . . 184

7.3 Flux entrants nécessaires sur le serveur. . . 185

7.4 Raccordement au domaine. . . 186

7.5 Types de tunnels IPSec. . . 188

7.5.1 Tunnel IPSec Infrastructure. . . 188

7.5.2 Tunnel IPSec Utilisateur . . . 189

7.5.3 Tunnel IPSec Application . . . 189

7.6 Synthèse . . . 189

8. Les scénarios de DirectAccess . . . 190

8.1 End to Edge . . . 190

8.2 Modified end to Edge . . . 191

8.3 End to end . . . 192

8.4 Le Remote Management . . . 193

8.5 Synthèse . . . 193

9. DirectAccess Windows versus DirectAccess UAG . . . 194

9.1 Le DirectAccess Windows . . . 194

9.2 Le DirectAccess UAG . . . 195

9.3 Synthèse . . . 196

6

AccessDirect

Chapitre 5

L'approche projet

1. Introduction . . . 197

2. Les interlocuteurs impliqués . . . 197

2.1 Le chef de projet . . . 198

2.1.1 Son rôle dans le projet . . . 198

2.1.2 Risques à prendre en considération. . . 199

2.2 Le responsable de la sécurité informatique . . . 199

2.2.1 Son rôle dans le projet . . . 200

2.2.2 Risques à prendre en considération. . . 200

2.2.3 Se focaliser avant tout sur l'essentiel. . . 202

2.3 L'équipe en charge du poste de travail. . . 202

2.3.1 Son rôle dans le projet . . . 202

2.3.2 Risques à prendre en considération. . . 202

2.4 L'exploitant de la plateforme Windows . . . 204

2.4.1 Son rôle dans le projet . . . 205

2.4.2 Risques à prendre en considération. . . 205

2.4.3 Le cas des hébergeurs . . . 207

2.5 L'exploitant réseau . . . 209

2.5.1 Son rôle dans le projet . . . 209

2.5.2 Risques à prendre en considération. . . 209

2.6 Support de premier niveau. . . 211

2.6.1 Rôle dans le projet . . . 211

2.6.2 Risques à prendre en considération. . . 211

2.7 Des utilisateurs représentatifs . . . 212

2.7.1 Rôle dans le projet . . . 213

2.7.2 Risques à prendre en considération. . . 213

3. Organisation du projet . . . 214

3.1 Les éventuels sous-projets . . . 215

3.1.1 Authentification forte . . . 215

3.1.2 Haute disponibilité. . . 216

3.1.3 La conformité . . . 219

3.1.4 Gestion du client nomade . . . 221

3.1.5 IPv6 . . . 222

3.2 Approche itérative . . . 225

3.2.1 IPD Guides . . . 225

3.2.2 Test Lab Guides . . . 226

3.2.3 Technet . . . 227

3.2.4 Proof of Concept. . . 227

3.2.5 Disposer de plusieurs environnements . . . 228

3.2.6 Développer par itérations. . . 229

4. La compatibilité des applications . . . 230

4.1 Résolution DNS . . . 231

4.2 Applications client-serveur . . . 231

4.3 Application non compatible avec IPv6 . . . 232

5. Synthèse . . . 233

Chapitre 6

Mise en œuvre de DirectAccess

2. Pré-requis communs . . . 235

2.1 Configuration des interfaces réseau . . . 235

2.1.1 Configuration de l'interface réseau LAN. . . 236

2.1.2 Table de routage . . . 240

2.1.3 Configuration de l'interface réseau Internet. . . 241

2.1.4 Binding order . . . 246

2.2 Domaine Active Directory . . . 247

2.2.1 Flux réseau nécessaires . . . 247

2.2.2 Réduire la plage de ports . . . 249

2.2.3 Read Only Domain Controller . . . 249

2.2.4 Autres ports . . . 250

2.3 Certificats . . . 250

2.3.1 IPSec . . . 250

8

AccessDirect

2.3.2 IPHTTPS . . . 251

2.3.3 System Health Authentication . . . 253

3. Avec Windows 2008 R2 . . . 254

3.1 Installation . . . 254

3.2 Configuration de DirectAccess . . . 255

3.2.1 Identification des clients nomades . . . 256

3.2.2 Configuration du serveur DirectAccess . . . 257

3.2.3 Configuration de l'infrastructure. . . 258

3.2.4 Configuration du mode DirectAccess . . . 261

3.2.5 Activation de la configuration. . . 263

4. Avec UAG 2010 SP1 . . . 265

4.1 Installation en autonome. . . 266

4.2 Installation en ferme . . . 271

4.2.1 Différents types d'adresses IP . . . 272

4.2.2 Installation du premier nœud . . . 274

4.2.3 Installation des nœuds additionnels . . . 279

4.2.4 Configuration Network Load Balancing. . . 281

4.2.5 Configuration Hardware Load Balancing . . . 286

4.3 Configuration DirectAccess. . . 290

4.3.1 Identification des clients nomades . . . 291

4.3.2 Configuration d'un serveur autonome pour DirectAccess. . . 295

4.3.3 Configuration de l'infrastructure. . . 297

4.3.4 Configuration du mode DirectAccess . . . 302

4.3.5 Spécificité de la haute disponibilité NLB . . . 303

4.3.6 Spécificités de la haute disponibilité HLB. . . 305

4.3.7 Activation de la configuration. . . 310

5. Synthèse . . . 314

Chapitre 7

Aller plus loin avec DirectAccess

1. Introduction . . . 315

2. Simuler Internet sur un environnement de maquette . . . 315

2.1 Configuration de la machine virtuelle "Simulation Internet" . . . 316

2.1.1 Configuration des rôles ADCS et DNS . . . 316

2.1.2 Configuration du rôle DHCP. . . 327

2.1.3 Configuration du rôle Routage et accès distant . . . 330

2.2 Intégration de la machine virtuelle dans la maquette . . . 331

2.3 NCSI . . . 332

2.4 Synthèse . . . 334

3. Pare-feu . . . 335

3.1 Sur le poste client . . . 335

3.2 Sur le serveur UAG . . . 338

3.3 En amont du serveur DirectAccess/UAG . . . 339

3.4 En aval du serveur DirectAccess/UAG . . . 339

3.5 La DMZ a-t-elle un sens en IPv6?. . . 342

3.6 Rupture de protocole avec ISATAP . . . 343

3.7 Synthèse . . . 344

4. Sécurisation UAG . . . 344

4.1 Security Configuration Wizard . . . 344

4.2 Antivirus sur UAG . . . 346

4.3 Les correctifs et les Services Pack UAG/TMG . . . 349

4.3.1 Windows Update . . . 349

4.3.2 TMG . . . 351

4.3.3 UAG. . . 351

4.4 Synthèse . . . 352

5. DirectAccess Connectivity Assistant . . . 352

5.1 Configuration avec Forefront UAG 2010 SP1. . . 354

5.2 Configuration avec Windows Server 2008 R2 . . . 358

5.3 Synthèse . . . 360

10

AccessDirect

6. Network Access Protection . . . 360

6.1 Introduction . . . 360

6.2 Fonctionnement . . . 361

6.3 Mise en œuvre d'un Health Registration Authority . . . 364

6.3.1 Installation du rôle HRA . . . 364

6.3.2 Configuration du site web . . . 368

6.3.3 Configuration du NPS . . . 369

6.3.4 Configuration du client NAP. . . 371

6.4 Implémentation côté serveur. . . 375

6.4.1 Cas DirectAccess avec Windows Server 2008 R2 . . . 376

6.4.2 Cas DirectAccess avec Forefront UAG 2010. . . 377

6.5 Synthèse . . . 381

7. Split Tunneling/Force Tunneling . . . 382

7.1 Split Tunneling. . . 382

7.2 Force Tunneling . . . 382

7.3 Impact du Force Tunneling . . . 387

7.4 Synthèse . . . 388

8. Authentification forte . . . 388

8.1 Carte à puce . . . 389

8.2 One-Time Password (OTP) . . . 392

8.2.1 Fonctionnement . . . 392

8.2.2 Mise en œuvre . . . 393

8.3 Synthèse . . . 397

9. Configurations additionnelles . . . 398

9.1 Désactivation du protocole 6to4 . . . 398

9.2 Configuration du client Teredo en mode Enterprise client state . . . 399

10.Mode Modified end to edge . . . 400

10.1 Fonctionnement . . . 400

10.2 Mise en œuvre . . . 401

10.3 Impacts côté serveur. . . 403

10.4 Impacts côté client . . . 403

10.5 Limitations . . . 405

10.6 Synthèse . . . 406

11.Synthèse . . . 406

Chapitre 8

Exploitation de la plateforme DirectAccess

2. Checklist du client . . . 408

2.1 Validation des stratégies de groupe . . . 408

2.2 Mode de pare-feu de domaine . . . 410

2.3 Enregistrement dans le DNS . . . 411

2.4 Interface ISATAP . . . 412

2.5 Présence du certificat . . . 415

2.6 Présence du DAC . . . 415

2.7 Synthèse . . . 416

3. Dépannage . . . 417

3.1 Que dit le DAC ? . . . 417

3.2 Valider la connectivité Internet . . . 418

3.3 Valider la détection d'état DirectAccess . . . 420

3.4 Valider le profil de pare-feu . . . 423

3.5 Valider la présence du certificat. . . 427

3.6 Valider le certificat IPHTTPS . . . 428

3.7 Valider l'initialisation d'une interface IPv6 . . . 434

3.8 Valider la connectivité avec UAG en IPv6 . . . 440

3.9 Valider le routage IPv6 . . . 442

3.10 Valider la présence des Connection Security Rules . . . 444

3.11 Valider le bon établissement des tunnels IPSec . . . 445

3.12 Générer des traces de diagnostic . . . 448

3.13 Capture de traces réseau . . . 450

3.14 Désactiver DirectAccess . . . 452

3.15 Certificats client et serveur . . . 452

12

AccessDirect

3.16 Synthèse . . . 454

4. Dépannage du serveur . . . 455

4.1 UAG Activation Monitor. . . 455

4.2 UAG Best Practice Analyzer . . . 456

4.3 UAG Web Monitor. . . 457

4.4 DirectAccess Management Console . . . 458

4.5 Suivi des tunnels IPSec. . . 459

4.6 Synthèse . . . 459

5. Cas pratiques d'applications à problème. . . 460

5.1 La console Hyper-V . . . 460

5.2 Le client Citrix . . . 463

5.3 Synthèse . . . 464

6. Exploitation UAG. . . 465

6.1 Suivi du processus d'activation UAG . . . 465

6.2 Array Management Server . . . 467

6.3 Export de la configuration . . . 468

6.4 Importation de la configuration . . . 469

6.5 Mises à jour de sécurité . . . 470

6.5.1 Windows Update . . . 470

6.5.2 Paramétrage du client Windows Update . . . 470

6.5.3 Incompatibilités . . . 470

6.6 Stratégies de groupe . . . 471

7. Suivi des accès. . . 471

7.1 Monitoring UAG Web Monitor . . . 471

7.2 Le Snap-In PowerShell . . . 473

7.3 Suivi des tunnels IPSec. . . 475

7.4 Suivi des sessions dans TMG. . . 476

7.5 Monitoring Network Access Protection . . . 477

7.6 SCOM . . . 489

8. Synthèse . . . 490

Annexe

Aller plus loin avec UAG

1. Introduction . . . 491

2. Création d'un portail UAG. . . 492

2.1 Web Monitor . . . 502

2.1.1 Création de la publication du Web Monitor. . . 502

2.1.2 Section DirectAccess du Web Monitor . . . 505

2.2 Fonctionnalités limitées du client Lync . . . 507

2.3 Publication des services Lync . . . 510

2.3.1 Création de l'écouteur Web . . . 510

2.3.2 Mise en œuvre de la publication . . . 515

2.3.3 Tests basiques de vérifications . . . 525

3. Bonnes pratiques. . . 527

3.1 Environnement de test . . . 527

3.1.1 Connectivité Internet. . . 527

3.1.2 Test d'accès . . . 528

3.2 Performances. . . 528

3.3 Sécurité . . . 528

4. Conclusion . . . 529

Index . . . 531

Editions ENI

Windows Server 2008 R2

Administration avancée

(2 ^ième édition)

Collection Expert IT

Table des matières

Avant-propos

Chapitre 1

Introduction

1. Introduction . . . 11

2. Les différentes éditions de Windows Server 2008 R2 . . . 12

3. Les grands axes de Windows Server 2008 R2. . . 12

3.1 Un meilleur contrôle de l’information . . . 12

3.2 Une meilleure protection du système d’information . . . 13

3.3 Une plate-forme évolutive. . . 15

Chapitre 2

Domaine Active Directory

2. Présentation du service d’annuaire Microsoft : Active Directory Domain Services. . . 17

2.1 Définition d’un domaine Active Directory . . . 18

2.2 Fonctionnalités de l’Active Directory sous Windows Server 2008 R2. 19 2.2.1 Installation d’un annuaire Active Directory . . . 19

2.2.2 Présentation de l’audit lié au service d’annuaire. . . 31

2.2.3 Contrôleur de domaine en lecture seule. . . 37

2.2.4 Stratégies de mot de passe et de verrouillage de compte granulaire. . . 45

2.2.5 Active Directory en tant que service Windows . . . 51

2.2.6 Cliché instantané de l’Active Directory . . . 53

2.2.7 Les comptes de service géré . . . 57

2.2.8 La corbeille Active Directory . . . 64

2.2.9 Autres spécificités de Windows Server 2008 R2. . . 69

3. Les stratégies de groupe. . . 73

3.1 Détection des liens lents . . . 73

3.2 Le format ADMX . . . 74

3.3 Journaux d'évènements . . . 74

3.4 Des stratégies de groupe très utiles . . . 76

3.5 La console Gestion des stratégies de groupe. . . 77

3.6 Les objets GPO Starter . . . 85

4. Les autres composants Active Directory . . . 87

4.1 Active Directory Lightweight Directory Services (ou AD LDS) . . . 87

4.2 Active Directory Federation Services (ou AD FS) . . . 88

4.3 Active Directory Rights Management Services (ou AD RMS) . . . 88

4.4 Active Directory Certificate Services (ou AD CS) . . . 89

Chapitre 3

Architecture distribuée d'accès aux ressources

2. Description de DFS . . . 93

3. L’installation . . . 95

3.1 Le module d’espace de noms . . . 96

3.2 Le module de réplication . . . 96

3.3 La console d’administration . . . 96

3.4 Le cas des contrôleurs de domaine. . . 97

3.5 La cohabitation avec DFS 2003 . . . 97

3.6 La procédure d’installation graphique . . . 97

4. La configuration . . . 105

4.1 Les différents types de racines distribuées . . . 105

4.1.1 Les racines autonomes. . . 105

4.1.2 Les racines de noms de domaine . . . 112

4.2 La création des liaisons DFS et cibles DFS . . . 117

4.3 La réplication . . . 118

4.3.1 Les filtres de réplication . . . 118

4.3.2 La mise en place graphique de la réplication . . . 119

4.3.3 La topologie de réplication . . . 131

5. La configuration avancée . . . 131

5.1 Les méthodes de classement . . . 131

5.1.1 La configuration au niveau des racines DFS. . . 131

5.1.2 La configuration au niveau des liaisons DFS . . . 133

5.1.3 La configuration au niveau des cibles DFS . . . 133

5.2 La délégation d’administration . . . 134

Windows Server 2008 R2

Administration avancée

2

7. Les outils. . . 135

7.1 DFSCMD . . . 135

7.2 DFSRADMIN . . . 136

7.3 DFSRDIAG . . . 136

7.4 DFSUTIL . . . 136

7.5 DFSRMIG . . . 136

8. L’utilisation de DFS et les bons usages . . . 137

9. Les améliorations de DFS avec Windows Server 2008 R2. . . 138

9.1 Le mode ABE. . . 138

9.2 Le mode « lecture uniquement » de la réplication DFS sur Windows 2008 R2 . . . 139

9.3 Des compteurs de performances spécifiques pour DFS sur Windows 2008 R2 . . . 140

9.4 Les performances améliorées pour les grosses infrastructures DFS . . . 142

9.5 De nouvelles options pour DFSFRDIAG . . . 143

10. Les éléments ajoutés à la gestion des imprimantes sur Windows 2008 R2 143 10.1 L’amélioration de l’assistant de migration . . . 143

10.2 L’isolement des pilotes d’impression . . . 143

10.3 Location-aware printing (impression dépendante du site) . . . 144

10.4 Le serveur de numérisation distribuée . . . 144

10.4.1 L’installation du service de rôle Serveur de numérisation distribuée . . . 145

10.4.2 La définition d’un processus de numérisation . . . 150

11. Le BranchCache . . . 154

11.1 L’installation . . . 155

11.2 La configuration des partages . . . 159

11.3 La configuration des clients . . . 161

Chapitre 4

Haute disponibilité

2. Les choix d’architecture. . . 166

2.1 Les différentes architectures . . . 166

2.2 La haute disponibilité, nirvana de votre infrastructure?. . . 168

3. La répartition de charge (Cluster NLB) . . . 170

3.1 Créer une ferme NLB . . . 170

3.2 Configurer la ferme . . . 173

3.3 Exemple : ferme Web IIS. . . 176

4. Le cluster à basculement . . . 177

4.1 Migration de Windows Server 2003 à 2008 R2 . . . 180

4.2 Validation de votre cluster . . . 181

4.3 Mise en œuvre du cluster . . . 182

Chapitre 5

Mise en place des services réseaux d'entreprise

2. L’implémentation d'un système d'adressage IP. . . 201

2.1 Le choix de l'architecture réseaux . . . 202

2.1.1 La zone DNS. . . 202

2.1.2 La classe réseau . . . 202

2.2 L’installation d’un serveur DHCP . . . 203

2.2.1 Définition . . . 203

2.2.2 L’installation . . . 203

2.2.3 La configuration . . . 204

2.2.4 Les réservations . . . 208

3. La mise en place des systèmes de résolutions de nom . . . 210

3.1 La résolution DNS. . . 210

3.1.1 Définition . . . 210

3.1.2 L’installation . . . 210

3.1.3 Les différents types de zones . . . 211

3.1.4 Les différents types de réplications . . . 212

3.1.5 Les zones de recherche inversée . . . 214

3.1.6 Les tests et vérifications . . . 215

3.1.7 Les différents types d’enregistrement . . . 216

3.1.8 Les bons usages . . . 217

3.1.9 DNSSEC . . . 217

3.2 La résolution WINS. . . 225

3.2.1 Définition . . . 226

3.2.2 L’installation . . . 226

Windows Server 2008 R2

Administration avancée

4

3.2.4 La réplication entre serveurs WINS . . . 226

3.2.5 Quand et pourquoi utiliser WINS?. . . 226

4. La mise en place de la quarantaine réseau . . . 227

4.1 La préparation de l’environnement commun aux différents types de quarantaine. . . 227

4.2 La mise en place de NAP via DHCP . . . 236

4.3 La mise en place de NAP via IPSec . . . 239

4.3.1 Installation du service Autorité HRA . . . 239

4.3.2 Configuration du système de validation (HRA). . . 244

4.3.3 Définition des règles de sécurité de connexion. . . 245

4.4 La mise en place de NAP sur 802.1x . . . 246

4.5 Conclusion . . . 252

Chapitre 6

Déploiement des serveurs et postes de travail

2. Préparer son déploiement en choisissant bien sa stratégie . . . 253

2.1 Définir le périmètre . . . 254

2.2 Gestion des licences . . . 255

2.3 Choix de l’édition et du type d’installation . . . 257

3. Créer et déployer. . . 258

3.1 Microsoft Deployment Toolkit (MDT 2010). . . 258

3.2 Lite Touch . . . 267

3.3 WDS . . . 274

4. Aller plus loin . . . 278

4.1 Microsoft Application Compatibility Toolkit . . . 278

4.2 Environnement à la demande . . . 279

4.3 ImageX . . . 279

4.4 DISM (Deployment Image Servicing and Management) . . . 280

4.5 Zero touch avec SCCM 2007 SP2 . . . 281

4.6 Joindre le domaine sans réseau . . . 281

4.7 En cas de problème . . . 283

Chapitre 7

Bureau à distance (Terminal Services)

1. Introduction . . . 285

2. Mise en œuvre des Services Bureau à distance . . . 286

2.1 Administration à distance . . . 288

2.2 Le rôle Hôte de session . . . 292

2.2.1 Installation . . . 292

2.2.2 Configuration . . . 293

2.2.3 Configuration de l’accès Web . . . 295

2.2.4 Configuration de la passerelle Bureau à distance . . . 299

2.2.5 Configuration du RemoteApp . . . 305

2.2.6 Configuration du gestionnaire de licences Bureau à distance . 308 2.2.7 Installer un logiciel sur un serveur RDS. . . 312

3. Configurations avancées . . . 312

3.1 Configuration du Session Broker . . . 312

3.2 Gestion des impressions . . . 314

3.3 Optimiser la bande passante . . . 315

3.4 Maintenances . . . 316

4. Améliorations avec Windows Server 2008 R2 . . . 317

4.1 Remote Desktop Client 7.0 . . . 317

4.2 Gérer les profils itinérants . . . 318

4.3 Intégration VDI/Hyper-V . . . 319

4.4 RemoteFX . . . 320

4.4.1 RemoteFX pour un hôte de virtualisation des services Bureau à distance . . . 321

4.4.2 RemoteFX pour un hôte de session bureau à distance . . . 323

4.4.3 RemoteFX utilisé pour la redirection USB . . . 324

Chapitre 8

Accès distant

2. Principe de l’accès distant . . . 327

2.1 Accès par téléphone . . . 328

2.1.1 Généralités sur les connexions Dial-Up . . . 328

2.1.2 Avantages et inconvénients des connexions Dial-Up . . . 328

Windows Server 2008 R2

Administration avancée

6

2.2.1 Généralités sur les VPN . . . 329

2.2.2 Les différents types de VPN proposés sous Windows Server 2008 R2 . . . 331

2.2.3 Avantages et inconvénients du VPN . . . 332

2.2.4 Direct Access, le "VPN-Killer" . . . 333

3. Mettre en place un accès sécurisé à travers Internet . . . 334

3.1 Mise en place d'une liaison VPN . . . 335

3.1.1 Installation du rôle Services de stratégie et d’accès réseau . . . 336

3.1.2 Configuration des fonctionnalités VPN . . . 339

3.2 Gestion de la sécurité des accès . . . 345

3.3 Gestion de l'authentification (IAS/RADIUS) . . . 354

3.4 Implémentation de Direct Access . . . 360

Chapitre 9

Application Internet

1.1 Présentation d’IIS 7 . . . 369

1.1.1 Présentation générale . . . 369

1.1.2 Nouvelle architecture . . . 370

1.1.3 Nouvelle administration . . . 371

1.1.4 Nouveautés incluses avec IIS 7.5 dans Windows Server 2008 R2 . . . 372

1.2 Installation du rôle Serveur Web (IIS) en mode console. . . 373

1.2.1 Installation par défaut. . . 373

1.2.2 Installation complète. . . 373

1.3 Installation du rôle Serveur Web (IIS) en mode graphique. . . 374

2. Monter un site Web . . . 380

2.1 Création et configuration d’un site . . . 381

2.2 Mise à jour du domaine DNS . . . 385

2.3 Mise en place d’une DMZ . . . 387

3. Monter un site FTP avec isolation des utilisateurs. . . 389

4. Monter un site Intranet . . . 395

Chapitre 10

Limiter les possibilités d'attaque avec Server Core

1. Introduction . . . 403

2. Principes du serveur Core . . . 403

2.1 Restrictions liées à une installation Core . . . 403

2.2 Installation minimale . . . 404

3. Configurer localement un Serveur Core. . . 405

3.1 Sconfig . . . 405

3.2 Configurer le temps . . . 406

3.3 Paramètres régionaux . . . 407

3.4 Résolution de l’écran . . . 407

3.5 Économiseur d’écran . . . 408

3.6 Nom du serveur . . . 409

3.7 Gestion des pilotes . . . 409

3.8 Configuration réseau . . . 410

3.9 Activation de Windows. . . 411

3.10 Gestion du rapport d’erreurs . . . 412

3.11 Configurer le PageFile . . . 413

3.12 Joindre un domaine. . . 414

3.13 Gérer les journaux d’évènements. . . 414

4. Gestion à distance . . . 415

4.1 Activation du bureau à distance . . . 415

4.2 Activation de WinRM . . . 415

5. Sécuriser le Serveur Core . . . 418

5.1 Gestion du pare-feu. . . 418

5.2 Gestion automatique des mises à jour . . . 419

5.3 Sauvegarder le serveur . . . 420

5.4 Sécurisation du stockage avec BitLocker . . . 421

6. Mise en place d'un serveur Core et des applications associées . . . 422

6.1 Installation des rôles et des fonctionnalités . . . 422

6.1.1 Les rôles réseaux . . . 422

6.1.2 Le rôle serveur de fichiers . . . 427

6.1.3 Le rôle serveur d’impression . . . 428

6.2 Service d'annuaire (AD). . . 429

6.3 Exécuter des applications 32 bits . . . 431

Windows Server 2008 R2

Administration avancée

8

Consolider vos serveurs

1. Introduction . . . 433

2. Pourquoi consolider ? . . . 433

2.1 Virtuel versus Physique . . . 434

2.1.1 Optimisation des coûts . . . 434

2.1.2 Les limites de la virtualisation . . . 435

2.2 De nouvelles problématiques. . . 436

2.2.1 Environnement mutualisé . . . 436

2.2.2 Sauvegarde . . . 437

2.3 Préparer son déploiement . . . 439

2.3.1 Pré-requis . . . 439

2.3.2 Méthodologie . . . 441

2.3.3 Déterminer les serveurs et les applications propices à la virtualisation . . . 442

2.3.4 Respect des meilleures pratiques . . . 443

3. Déployer Hyper-V . . . 445

3.1 Installation . . . 445

3.2 Configuration du rôle . . . 446

3.3 Configuration du stockage . . . 446

3.4 Configuration de la gestion de la mémoire dynamique . . . 448

3.5 SCVMM 2008 R2 . . . 449

3.6 Mises à jour Windows. . . 457

3.7 Live migration. . . 459

Chapitre 12

Sécuriser votre architecture

2. Principe de moindre privilège. . . 461

2.1 Les différents types de compte . . . 462

2.2 Le contrôle d’accès utilisateur . . . 464

2.3 Gérer vos groupes à l’aide des groupes restreints . . . 469

2.4 Applocker ou le contrôle de l'application . . . 471

3. Délégation d’administration . . . 481

3.1 Approche de la délégation d’administration. . . 481

3.2 Délégation de comptes utilisateur . . . 482

4. Sécurisation du réseau . . . 491

4.1 Network Access Protection . . . 491

4.2 Le pare-feu Windows . . . 491

4.3 Le chiffrement IPSec . . . 501

Chapitre 13

Cycle de vie de votre infrastructure

2. Gestion des sauvegardes . . . 505

2.1 Windows Server Backup . . . 506

2.1.1 Installation de Windows Server Backup . . . 507

2.1.2 Création de la sauvegarde planifiée d’un dossier . . . 508

2.1.3 Outils associés à WSB et sauvegardes uniques . . . 512

2.2 Restauration de données . . . 515

2.2.1 Restauration des fichiers et/ou de dossiers . . . 515

2.2.2 Restauration de l’état du système . . . 517

2.3 Grappe RAID . . . 518

3. Gestion des mises à jour . . . 520

3.1 Présentation de WSUS . . . 520

3.2 Installation de WSUS . . . 521

3.2.1 Installation sur Windows Server 2008 R2 . . . 521

3.3 Utilisation de WSUS . . . 526

Chapitre 14

Se préparer pour le futur

2. Le calendrier attendu. . . 532

Index . . . 533

Windows Server 2008 R2

Administration avancée

10