Beruflich Dokumente
Kultur Dokumente
IMPLEMENTATION, ADMINISTRATION
ET MAINTENANCE DUNE
INFRASTRUCTURE RESEAU
MICROSOFT WINDOWS 2003
!"
#$% & ' (%%)
. 2 3
1. CONFIGURATION DU ROUTAGE A LAIDE DU SERVICE ROUTAGE ET ACCES DISTANT..7
1.1. ACTIVATION ET CONFIGURATION DU SERVICE ROUTAGE ET ACCES DISTANT ............................................7
1.1.1. Que sont les routeurs ? .....................................................................................................................7
1.1.2. Que sont les interfaces de routage ? .................................................................................................7
1.1.3. Que sont les protocoles de routage ? ................................................................................................8
1.1.4. Que sont les tables de routage ..........................................................................................................8
1.1.5. Pourquoi utiliser le service Routage et accs distant de Windows Server 2003 ?............................9
1.2. CONFIGURATION DES FILTRES DE PAQUETS ...............................................................................................9
1.2.1. Quest-ce que le filtrage des paquets ? .............................................................................................9
1.2.2. Comment les filtres de paquets sont-ils appliqus ? .......................................................................10
2. ATTRIBUTION AUTOMATIQUE DADRESSES IP A LAIDE DU PROTOCOLE DHCP ............11
2.1. POURQUOI UTILISER LE PROTOCOLE DHCP ?..........................................................................................11
2.2. COMMENT LE PROTOCOLE DHCP ALLOUE DES ADRESSES IP ..................................................................11
2.2.1. Comment fonctionne le processus de cration dun bail DHCP.....................................................11
2.2.2. Comment fonctionne le processus de renouvellement dun bail DHCP..........................................12
2.3. COMMENT UN SERVICE SERVEUR DHCP EST AUTORISE .........................................................................13
2.4. CONFIGURATION DUNE ETENDUE DHCP ...............................................................................................13
2.4.1. Que sont les tendues DHCP ? .......................................................................................................13
2.5. CONFIGURATION DUNE RESERVATION DHCP........................................................................................14
2.5.1. Quest-ce quune rservation DHCP ? ...........................................................................................14
2.6. CONFIGURATION DES OPTIONS DHCP.....................................................................................................14
2.6.1. Que sont les options DHCP ? .........................................................................................................14
2.6.2. Comment sont appliques les options au niveau du serveur DHCP, de ltendue et du client
rserv 15
2.6.3. Comment sont appliques les options au niveau de la classe DHCP .............................................15
2.7. CONFIGURATION DUN AGENT DE RELAIS DHCP ....................................................................................16
2.7.1. Quest-ce quun agent de relais DHCP ? .......................................................................................16
2.7.2. Comment fonctionne un agent de relais DHCP ..............................................................................16
2.7.3. Comment un agent de relais DHCP utilise le nombre de tronons.................................................16
2.7.4. Comment un agent de relais DHCP utilise le seuil de dmarrage..................................................16
3. GESTION ET ANALYSE DU SERVICE DHCP.....................................................................................18
3.1. GESTION DUNE BASE DE DONNEES DHCP .............................................................................................18
3.1.1. Vue densemble de la gestion du service DHCP .............................................................................18
3.1.2. Quest-ce quune base de donnes DHCP ? ...................................................................................18
3.1.3. Modalits de sauvegarde et de restauration dune base de donnes DHCP ..................................18
3.1.4. Comment sauvegarder et restaurer une base de donnes DHCP ...................................................19
3.1.5. Modalits de rconciliation dune base de donnes DHCP............................................................19
3.1.6. Comment rconcilier une base de donnes DHCP .........................................................................19
3.2. ANALYSE DU SERVICE DHCP .................................................................................................................20
3.2.1. Vue densemble de lanalyse du service DHCP ..............................................................................20
3.2.2. Prsentation des statistiques DHCP ...............................................................................................20
3.2.3. Quest-ce quun fichier journal daudit DHCP ? ...........................................................................20
3.2.4. Fonctionnement de lenregistrement daudit DHCP ......................................................................21
3.2.5. Instructions pour analyser les performances de serveur DHCP.....................................................22
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 3 / 84
3.2.6. Compteurs de performance communment utiliss pour analyser les performances de serveur
DHCP 22
3.2.7. Instructions pour crer des alertes pour un serveur DHCP ...........................................................23
3.3. APPLICATION DES INSTRUCTIONS DE SECURITE POUR LE SERVICE DHCP ...............................................24
3.3.1. Instructions pour empcher un utilisateur non autoris dobtenir un bail .....................................24
3.3.2. Instructions pour empcher les serveurs DHCP non autoriss, non-Microsoft, de louer des
adresses IP 24
3.3.3. Instructions pour limiter le cercle des personnes autorises administrer le service DHCP........24
3.3.4. Instructions pour scuriser la base de donnes DHCP...................................................................24
4. RESOLUTION DE NOMS.........................................................................................................................24
4.1. AFFICHAGE DE NOMS SUR UN CLIENT ......................................................................................................24
4.1.1. Comment les noms sont mapps des adresses IP .........................................................................24
4.1.2. Que sont les noms dhtes ?............................................................................................................24
4.1.3. Que sont les noms NetBIOS ? .........................................................................................................24
4.1.4. Comment afficher les noms sur un client ........................................................................................24
4.2. CONFIGURATION DE LA RESOLUTION DE NOMS DHOTES ........................................................................24
4.2.1. Processus de rsolution de noms dhtes........................................................................................24
4.2.2. Cache de rsolution client...............................................................................................................24
4.2.3. Fichier Hosts...................................................................................................................................24
4.3. CONFIGURATION DE LA RESOLUTION DE NOMS NETBIOS.......................................................................24
4.3.1. Processus de rsolution de noms NetBIOS .....................................................................................24
4.3.2. Cache de noms NetBIOS .................................................................................................................24
4.3.3. Comment afficher et librer le cache de noms NetBIOS.................................................................24
4.3.4. Diffusions ........................................................................................................................................24
4.3.5. Fichier Lmhosts ..............................................................................................................................24
5. RESOLUTION DE NOMS DHOTES A LAIDE DU SYSTEMES DNS .............................................24
5.1. INSTALLATION DU SERVICE SERVEUR DNS.............................................................................................24
5.1.1. Vue densemble du systme DNS ....................................................................................................24
5.1.2. Quest-ce quun espace de noms de domaines ?.............................................................................24
5.1.3. Convention dappellation standard DNS ........................................................................................24
5.1.4. Comment installer le service Serveur DNS ? ..................................................................................24
CONFIGURATION DES PROPRIETES DU SERVICE SERVEUR DNS..........................................................................24
5.1.5. Quels sont les composants dune solution DNS ? ...........................................................................24
5.1.6. Quest-ce quune requte DNS ?.....................................................................................................24
5.1.7. Fonctionnement des requtes rcursives.........................................................................................24
5.1.8. Fonctionnement des indications de racine......................................................................................24
5.1.9. Fonctionnement des requtes itratives ..........................................................................................24
5.1.10. Fonctionnement des redirecteurs ....................................................................................................24
5.1.11. Fonctionnement de la mise en cache du serveur DNS ....................................................................24
5.2. CONFIGURATION DES ZONES DNS ..........................................................................................................24
5.2.1. Stockage et maintenance des donnes DNS ....................................................................................24
5.2.2. Que sont les enregistrements de ressources et les types denregistrements ?.................................24
5.2.3. Quest-ce quune zone DNS ? .........................................................................................................24
5.2.4. Quels sont les types de zones DNS ? ...............................................................................................24
5.2.5. Comment modifier un type de zone DNS.........................................................................................24
5.2.6. Que sont les zones de recherche directe et inverse ? ....................................................................24
5.3. CONFIGURATION DES TRANSFERTS DE ZONE DNS ..................................................................................24
5.3.1. Fonctionnement des transferts de zone DNS...................................................................................24
5.3.2. Fonctionnement de DNS Notify.......................................................................................................24
5.4. CONFIGURATION DES MISES A JOUR DYNAMIQUES DNS .........................................................................24
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 4 / 84
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 5 / 84
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 6 / 84
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 7 / 84
Les routeurs sont des dispositifs rseau de couche 3 (couche rseau) du modle OSI (Open Systems
Interconnection) permettant dune part linterconnexion de rseaux LAN et WAN, d' autre part un
routeur peut galement permettre de faire de la segmentation de rseau entre plusieurs domaines de
diffusion (broadcast), ce qui permet de prserver la bande passante.
Comme dit prcdemment, linterface de routage permet dacheminer les paquets. Par exemple,
Windows Server 2003 achemine des paquets IP.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 8 / 84
Un protocole de routage supporte des protocoles routs pour fournir des mcanismes de partages
dinformations de routage afin de permettre aux routeurs de communiquer entre eux pour mettre jour
et grer leur table de routage.
Dans le cas o aucun protocole de routage nest configur, le service de routage et daccs distant
procdera au routage uniquement sur les rseaux auxquels il est physiquement connect et ceux
renseigns statiquement dans la table de routage par ladministrateur.
Le service de routage et daccs distant de Windows Server 2003 supporte 2 protocoles de routages :
RIP (Routing Information Protocol) : Utilis dans les petites et moyennes infrastructures, il
sagit dun protocole vecteur de distance qui crer dynamiquement sa table de routage puis
change ces informations avec les autres routeurs connects ces interfaces. Cette opration
se droule priodiquement afin datteindre la convergence du rseau. Ce protocole reste le
plus simple configurer.
OSPF (Open Shortest Path First) : Utilis pour de plus grandes infrastructures que RIP,
lOSPF est un protocole tat de liens. Il forme une carte partir de la configuration du
rseau. Cette carte permet au routeur de calculer le plus court chemin parcourir.
Une table de routage recense les informations sur lemplacement des ID rseaux au sein du rseau. Le
but de la table de routage est de dterminer le chemin le plus court suivant lalgorithme utilis par le
routeur.
Itinraire rseau : Cest le chemin indiquant linterface rseau utiliser pour parvenir un
autre rseau.
Itinraire hte : Chemin personnalis vers un hte (poste, serveur ou autre dispositif
administrable distance) permettant de contrler et optimiser le trafic rseau.
Itinraire par dfaut : Cet itinraire est emprunt chaque fois quaucune information vers
la destination nest disponible. Tout paquet ne trouvant pas son chemin empruntera cette
route.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 9 / 84
Destination rseau : Adresse IP du rseau (bit des htes 0) ou dun client qui reprsente la
destination rseau de litinraire enregistr. La destination 0.0.0.0 reprsente litinraire par
dfaut.
Masque rseau : Reprsente le masque de sous-rseau utilis sur le rseau de destination. Le
masque 255.255.255.255 est rserv pour les enregistrements dun hte.
Adresse Passerelle : Indique ladresse de llment intermdiaire le plus proche permettant
datteindre la destination et de changer de sous-rseau par exemple.
Adresse Interface : Adresse de linterface par laquelle les paquets vont tre envoys.
Mtrique : Elments de mesure permettant de dterminer litinraire prfr.
La console de ce service sur Windows Server 2003 permet dafficher tous les serveurs routeurs
Windows Server 2003 et les serveurs daccs distant sur votre rseau. De plus, le service est extensible
grce des API (Application Programming Interface) afin de personnaliser votre gestion de rseau.
Le filtrage des paquets spcifie le type de trafic circulant en entre et en sortie en empchant certains
types de paquets dtre envoys ou reus par lintermdiaire du routeur. Cest justement par
lintermdiaire dun filtre de paquets (Paramtre de configuration TCP/IP) que le routeur autorise ou
non des paquets entrants ou sortants.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 10 / 84
Avec lutilisation du service routage et accs distant, il est possible daffecter des filtres de paquets par
interface et les configurer comme suit :
faire passer tout le trafic lexception des paquets interdits par les filtres
ignorer tout le trafic lexception des paquets autoriss par les filtres.
Un mme filtre peut englober plusieurs paramtres comme le rseau dorigine, le rseau de destination
et le protocole utilis. Ensuite ce filtre peut autoriser ou non le trafic en entre ou en sortie sur une
interface.
Dans le cas dun filtre plusieurs paramtres, ils seront tous examins les uns aprs les autres pour
dterminer le devenir d'un paquet.
tant donn que vous pouvez dfinir des filtres dentre et de sortie pour chaque interface, il est
possible de crer des filtres contradictoires. Lorsque plusieurs filtres sont configurs, les filtres
distincts appliqus aux paquets entrants ou sortants sont compars en utilisant un OU logique.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 11 / 84
Le serveur DHCP gre lattribution et le renouvellement du bail. Ces fonctions se nomment, processus
de cration dun bail DHCP et processus de renouvellement dun bail DHCP.
Lorsque vous allumez votre ordinateur pour la premire fois, il fait une demande de bail IP en
diffusant le message DHCPDISCOVER laide dune version limite du protocole TCP/IP.
Tous les serveurs DHCP qui disposent dune adresse IP valide pour le segment rpondent avec un
message DHCPOFFER contenant ladresse matrielle du client, ladresse IP propose, un masque de
sous rseau, la dure du bail et ladresse IP du serveur DHCP.
Ladresse IP propose est rserve par le serveur, pour viter de la proposer un autre client durant le
laps de temps qui spare la proposition de la rservation par le client.
Si le client ne reoit pas de rponse dun serveur DHCP, il renvoie un DHCPDISCOVER au bout de
2 puis 4, 8, 16 secondes laquelle on ajoute une dure alatoire ente 0 et 1000 ms.
Si le client na pas obtenu de rponse, il utilise une adresse IP comprise dans la plage dadresses
169.254.0.1 et 169.254.255.254 (APIPA). Le client continue de rechercher un serveur DHCP toutes
les 5 minutes.
Lorsque le client reoit une offre dadresse IP, il rpond la premire quil reoit en diffusant un
message DHCPREQUEST pour laccepter. Toutes les adresses IP proposes par les autres serveurs
DHCP sont alors libres.
Le serveur DHCP qui a mis loffre accepte envoie un accus de rception DHCPACK. Ce message
contient le bail ainsi que les informations de configuration.
Lorsque le client DHCP reoit laccus de rception, il initialise le protocole TCP/IP.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 12 / 84
Un client DHCP tente automatiquement de renouveler son bail 50% de sa dure. Pour cela, il envoie
un message DHCPREQUEST au serveur DHCP qui lui a fourni son bail. Le serveur DHCP lui
retourne un DHCPACK contenant la dure du nouveau bail ainsi que les paramtres de configuration
mis jour.
Si le serveur DHCP nest pas prsent, il ressaiera 75% de la dure du bail puis 87,5% ; sil na
pas reu de rponse 87,5% alors il enverra un message DHCPDISCOVER auprs de tous les
serveurs DHCP. Sil reoit un DHCPOFFER pour mettre jour son bail en cours, alors il effectuera le
renouvellement auprs de ce serveur DHCP compter de ce moment.
Si le bail expire, alors le client cesse immdiatement dutiliser ladresse IP et recommencera toute la
procdure dattribution
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 13 / 84
Lorsque vous dmarrez un ordinateur qui dispose dun bail toujours valide, il commence par tenter le
renouvellement de bail.
Si un client demande le renouvellement dun bail non valide (machine dplace) ou en double, le
serveur DHCP rpond par un DHCPNAK, le client est alors contraint dobtenir une nouvelle adresse
IP.
Le message DHCPRELEASE sera envoy au serveur DHCP et le protocole TCP/IP sera stopp.
Un serveur DHCP, pendant son initialisation, diffuse le message DHCPINFORM. Les serveurs
DHCP en fonctionnement lui retournent un DHCPACK contenant les informations du domaine racine
Active Directory. Avec ces informations, il contacte le contrleur de domaine pour vrifier quil fait
partie de la liste des serveurs DHCP autoriss puis dmarre. Sil nest pas autoris, le service DHCP
ajoute un message derreur au journal des vnements et ne rpond pas aux clients.
Pour autoriser un serveur DCHP, il faut tre membre du groupe Administrateurs dEntreprise ou de
Domaine.
Pour utiliser ladressage IP dynamique, vous devez crer une tendue sur le serveur. Chaque tendue
se caractrise par un nom, une description, une plage dadresses IP avec le masque de sous rseau
correspondant, une dure de bail, les plages dIP exclues (facultatif) et ladresse de la passerelle
(routeur). Chaque sous rseau possde une tendue DHCP unique contenant une plage dadresses IP
unique et permanente.
Il faut activer une tendue pour quelle soit disponible.
Une dure de bail courte est conseille lorsque vous avez moins dadresses IP que de machines. Dans
ce cas, lorsque lon teint des machines, leur adresse IP est plus rapidement libre. Cest aussi utile
lorsque les paramtres du rseau changent souvent.
Une dure de bail plus longue permet de diminuer le trafic rseau engendr par le renouvellement des
IP.
Une dure de bail illimite supprime le trafic engendr par le protocole DHCP. En effet, les clients ne
lutilisent quau dmarrage de la machine.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 14 / 84
Options dtendues :
Les options dtendues permettent de fournir diverses informations en mme temps que la distribution
de ladresse IP.
Les options dtendues courantes sont ladresse de la passerelle par dfaut, le nom de domaine DNS,
ladresse des serveurs DNS et WINS, le type de Nud WINS utiliser.
Les options dtendues peuvent tre dfinies plusieurs niveaux, cela simplifie ladministration.
Au niveau du serveur, les options sappliquent tous les clients DHCP.
Au niveau de ltendue, les options sappliquent uniquement aux clients DHCP qui reoivent un bail
de cette tendue, elles sont prioritaires sur les options de serveur.
Au niveau de la classe, les options sont appliques sur les clients qui appartiennent une mme classe.
Les classes doivent tre dfinies sur les clients. Les options de classe sont prioritaires sur les options
dtendues et les options de serveur.
Au niveau du client rserv, les options que vous dfinissez au niveau du client sont prioritaires sur
toutes les autres options.
Les options DHCP sont les paramtres supplmentaires que le serveur DHCP peut configurer sur les
clients lors de lattribution dun bail.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 15 / 84
Le service DHCP applique des options aux ordinateurs clients dans un ordre prcis :
1. Au niveau du serveur
2. Au niveau de ltendue
3. Au niveau de la classe
4. Au niveau du client rserv
Par consquent, vous pouvez dfinir des options attribues par le service DHCP en utilisant diffrents
niveaux dautorit afin que certaines options soient prioritaires sur dautres.
Le tableau suivant dcrit les ordres de priorit et les niveaux des options DHCP :
Exemple de configuration :
Le niveau serveur permet aux clients dutiliser tous les mmes serveurs WINS et/ou DNS
Le niveau tendue permet chaque tendue dutiliser le mme routeur
Le niveau client rserv permet par contre lutilisation dun autre routeur.
Les options au niveau de classe sont utilises pour modifier les valeurs des autres niveaux. Les options
de la classe sappliquent au client sidentifiant dans une classe. Vous pouvez utiliser deux types
doption de classe :
La Classe de Fournisseur est une fonction qui permet de regrouper les clients DHCP en
fonction de leur type de configuration, de fournisseur et de matriel.
La Classe dutilisateur est une fonction qui permet de regrouper les utilisateurs DHCP en
fonction dun identifiant partag ou commun.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 16 / 84
Un agent de relais DHCP est un ordinateur ou un routeur pouvant couter les messages
DHCP/BOOTP des clients pour les transmettre au serveur DHCP sur diffrents sous rseaux. Ces
agents font partie des normes DHCP et BOOTP et fonctionnent en conformit avec les RFC.
Certaines entreprises pensent quil est plus facile de grer un serveur DHCP global pour tous leurs
rseaux. A cause de lutilisation de diffusion lors du processus de demande de bail, les serveurs DHCP
ne fournissent des baux que sur leur sous rseau. Il est alors ncessaire dutiliser des routeurs
compatibles ou des agents de relais logiciels. Par exemple, le service routage et accs distant de
Windows Server 2003 est configur pour fonctionner en agent de relais DHCP.
Le seuil du nombre de tronons correspond au nombre de routeurs que le paquet peut traverser avant
dtre rejet. Le nombre de tronons permet de dterminer la distance en routeurs entre lagent de
relais DHCP et le serveur DHCP le plus loign. Si le nombre de tronons est infrieur la distance
avec le serveur DHCP, lagent ne pourra pas fournir de baux. Le nombre maximum de tronons est
de 16.
Le seuil de dmarrage est une temporisation pendant laquelle lagent de relais va attendre pour laisser
le serveur DHCP local au sous-rseau de rpondre au client. Ce dlai permet au serveur local de
rpondre le premier et quand le client va recevoir le DHCPOFFER du serveur DHCP distant (par
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 17 / 84
lintermdiaire de lagent de relais), il le refusera. Par contre dans le cas dun disfonctionnement du
serveur DHCP local, loffre distante arrivant la premire sera accepte.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 18 / 84
Une fois un service quelconque install, vous devez le surveiller pour le faire voluer au sein de votre
environnement. Pour le serveur DHCP, cest la mme chose du fait que lenvironnement rseau est
susceptible dvoluer.
Il est ncessaire de grer le service DHCP pour quil rponde aux besoins dadressage IP des clients
lorsque que le rseau est modifi (Ajout de clients, de serveurs par exemple). Il est aussi ncessaire de
veiller aux conditions de fonctionnement du serveur sur lequel sexcute le service DHCP et protger
la base de donnes contre toutes dfaillances.
La base de donnes du serveur DHCP contient les donnes de configuration DHCP. Cest une base de
donnes mise jour dynamiquement lorsquun client acquiert ou libre un bail.
# $
Cette base est stocke dans le rpertoire %Systemroot%\System32\Dhcp et par dfaut, elle est
sauvegarde dans le rpertoire Systemroot%\System32\Dhcp\Backup\New.
La sauvegarde de la base de donnes DHCP permet de faire une restauration en cas de dfaillance. Par
dfaut, le service DHCP sauvegarde toutes les heures la base et les entres du registre dans le
rpertoire Backup\New. Ladministrateur peut ensuite copier ces fichiers sur un support magntique
ou sur un autre disque.
Si le serveur narrive pas dmarrer partir de sa base de donnes, il effectue automatiquement une
restauration partir du rpertoire de sauvegarde par dfaut (qui peut tre modifi).
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 19 / 84
Il est possible de sauvegarder ou de restaurer la base de donnes aussi bien automatiquement que
manuellement, mais sil sagit dutiliser un support externe, lopration sera obligatoirement manuelle.
Lors dune sauvegarde manuelle, il faut choisir un autre rpertoire que celui par dfaut, car en cas de
modification des fichiers de sauvegarde automatique manuellement, le service DHCP ne fonctionnera
pas correctement.
La rconciliation est le processus qui vrifie la base de donnes en fonction des valeurs de registre
DHCP.
Lorsque les donnes de la base sont correctes mais ne saffichent pas correctement dans la
console.
Lors dune restauration de la base qui ne contient pas les valeurs les plus rcentes.
Lorsquon rconcilie un serveur ou une tendue, le service reconstruit sa configuration grce aux
informations rsumes contenues dans le registre de Windows et des informations dtailles de la base
de donnes DHCP.
Avant de rconcilier une ou toutes les tendues, vous devez vous assurer que le serveur respecte les
conditions suivantes :
Toutes les cls du registre doivent tre restes intactes suite lactivit antrieure du serveur
DHCP ou alors restaurer ces cls de registres.
Une nouvelle version du fichier de base de donnes du serveur DHCP doit se trouver dans le
dossier %Systemroot%\System32\Dhcp.
Une fois la rconciliation effectue, il est possible que les proprits des clients individuels figurant
dans les baux actifs soient affiches de manire incorrecte. Ces informations seront mises jour lors
du renouvellement du bail par les clients.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 20 / 84
La rconciliation seffectue partir de la console DHCP en dessous de la restauration (voir image ci-
dessus).
En cas de croissance de la base de donnes, il faut utiliser loutil Jetpack.exe pour compacter la base
de donnes DHCP.
Etant donn que lenvironnement DHCP est dynamique, les besoins des clients et de lorganisation
changent constamment par de nouvelles options, dajouts dtendues pour dventuels clients
supplmentaires. Comme le serveur DHCP est un point trs important du rseau, il faut tablir une
base de performances pour permettre dvaluer les serveurs.
Dans la plupart des cas, les serveurs qui officient en tant que serveurs DHCP ne sont pas
exclusivement ddis cette activit. Il faut donc tenir compte des possibles interactions entre les
services DHCP et leur utilisation respective des ressources systmes.
Des informations concernant le service DHCP sont disponibles dans les statistiques DHCP, les
vnements DHCP et les donnes de performances DHCP.
Un fichier journal daudit DHCP recense les vnements relatifs lis au service, par exemple quand
le service dmarre ou sarrte, quand des autorisations ont t vrifies ou quand des adresses IP sont
loues, renouveles, libres ou refuses.
Le journal daudit DHCP permet ladministrateur danalyser les vnements quotidiens, voir plus
longs, de lactivit du serveur DHCP.
Les fichiers journaux sont des fichiers texte contenant des enregistrements qui reprsentent des lignes
de texte avec des virgules comme sparateurs de colonnes.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 21 / 84
ID : Code de lvnement
Date
Heure
Description
Adresse IP
Nom dhte
Adresse MAC
1. Lorsque le serveur DHCP dmarre ou que cest un nouveau jour (heure 00 :00), le serveur
crit une nouvelle entte dans le fichier journal.
2. Ds que lenregistrement daudit a dbut, le serveur DHCP fait des vrifications despace au
niveau du disque mais aussi de la taille du fichier daudit pour que celui-ci ne soit pas trop
volumineux.
A chaque fois que lhorloge du serveur atteint 00:00 ou quun certain nombre dvnements a
t enregistr, par dfaut 50, le serveur effectue une vrification totale du disque.
A chaque contrle du disque, le serveur vrifie si lespace disque est rempli. Le disque est
considr plein lorsque lune des conditions suivantes est vraie :
a. Lespace disque restant est infrieur au minimum requis par le serveur DHCP pour
lenregistrement daudit (par dfaut : 20Mo).
b. La taille du fichier journal daudit actuel est suprieure un septime (1/7) de lespace
maximal allou pour lensemble des journaux daudit actuellement stocks sur le
serveur. La limite par dfaut est configure dans le registre 70 Mo.
Dans tous les cas, si le disque est considr comme plein, aucun enregistrement dvnement
ne sera accept tant quil ny aura pas dautre place ou tant que le serveur narrive pas 00:00.
3. A 00:00 heure locale sur lordinateur serveur, le journal courant est ferm pour passer au
suivant. Par exemple, si on passe du mercredi au jeudi, le fichier de log passera du
DhcpSrvLog-Mer DhcpSrvLog-Jeu.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 22 / 84
Il faut dans un premier temps crer une ligne de base (minimum requis au niveau performance) pour
avoir un seuil prcis des performances sous lesquelles on estime que le serveur qui hberge le DHCP
est surcharg.
Ensuite il faut, si le serveur hberge dautres services ou applications pouvant utiliser les ressources de
la machine, valuer la charge totale du serveur et les circonstances dans lesquelles ces diffrentes
applications pourraient influencer sur le fonctionnement du service Serveur DHCP.
Puis, il est judicieux dexaminer les propres compteurs du serveur DHCP pour voir par exemple le
nombre de baux traits. Une augmentation pourrait tre due une diminution du temps accord aux
baux mais une augmentation pourrait reflter d'un disfonctionnement dune partie du rseau.
La console de performances de
Windows Server 2003 permet de
vrifier les performances prcises
de lactivit du serveur DHCP.
Le Moniteur systme permet
d'ajouter des objets et des
compteurs de performance dans
l'
un des trois modes d' affichage
graphique : courbe, histogramme et
rapport. Vous pouvez galement
afficher les donnes enregistres
dans les journaux. Si vous ajoutez
un compteur comportant plusieurs
instances, vous avez la possibilit
de slectionner l'instance souhaite.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 23 / 84
Une alerte est un processus qui se dclenche lorsque la valeur surveille est soit infrieure, soit
suprieure au seuil indiqu nomm seuil dalerte.
Affecter des alertes auprs de certains compteurs de performances du serveur DHCP qui ont une
activit anormale avant lapparition de problmes connus, peut permettre ladministrateur dy
configurer le lancement dun script.
Pour dfinir ces compteurs, il faut auditer les compteurs DHCP durant une certaine priode afin de
surveiller lvolution des compteurs pour crer une zone de fonctionnement normal. Il faudra ensuite
crer des alertes pour prvenir lorsque que le compteur est en dehors de sa zone.
Afin de rpondre aux alertes DHCP par un script, il existe les commandes Netshell pour DHCP. Les
commandes Netshell pour DHCP offrent pour l' administration des serveurs DHCP un outil d' aide de
ligne de commande totalement quivalent, Dhcpmon.dll, qui constitue une alternative la gestion sur
console.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 24 / 84
Lorsquun utilisateur possde un accs physique (cble ou wireless) un rseau possdant un serveur
DHCP, il peut rcuprer un bail auprs de ce serveur sans fournir son nom dutilisateur ou mot de
passe. Un utilisateur mal intentionn peut donc bloquer de nombreux baux et donc diminuer les baux
disponibles aux utilisateurs du rseau.
Il existe des prcautions simples pour empcher un utilisateur non autoris dobtenir un bail :
Seuls les serveurs DHCP Windows 2000 et Windows 2003 peuvent tre autoriss dans lannuaire
Active Directory. Dans le cas o un serveur dcouvre quil nest pas autoris dans Active Directory, ce
serveur ne fournira pas de baux. Cette option permet dempcher les serveurs installs par un
utilisateur malveillant ou incomptent sur Windows 2000 et 2003 de fournir des baux et de ne pas
corrompre la configuration rseau des postes.
Par contre dans le cas de lutilisation de serveur DHCP non-Microsoft, il est impossible dutiliser cette
option, il faudra donc bien veiller interdire laccs physique dautres personnes votre rseau.
Lors de linstallation du service DHCP sur un serveur membre ou autonome, deux groupes locaux sont
crs :
Utilisateurs DHCP
Administrateurs DHCP
Par contre lors de linstallation de ce service sur un contrleur de domaine, ces deux groupes sont
crs en tant que groupes locaux du domaine.
Pour administrer le serveur DHCP (avec NETSH ou console DHCP), il faut soit faire parti du groupe
Administrateurs, soit du groupe Administrateurs DHCP. De plus, il est lorigine ncessaire dtre
membre du groupe Administrateurs de lentreprise pour autoriser ou interdire le serveur DHCP
dans lannuaire Active Directory. Mais il est possible de dlguer ce droit dautres entits de
scurit.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 25 / 84
Les membres de ce groupe peuvent afficher et Les membres de ce groupe ne possdent quun
modifier toutes les donnes lies au service accs en lecture seule aux donnes du serveur.
serveur DHCP. Les droits de ce compte sont
limits au service serveur DHCP, ils nont aucun
autre droit sur les autres services du serveur.
Pour administrer des serveurs DHCP dans un domaine, il faut ajouter un utilisateur ou un groupe
tous les groupes Administrateurs DHCP de chaque serveur DHCP du domaine.
Les autorisations par dfaut pour le dossier DHCP ont pour but dempcher quiconque, lexception
des utilisateurs autoriss, daccder aux fichiers de base de donnes et aux fichiers daudit. Modifiez
ces autorisations par dfaut sil y a lieu pour accorder un accs ces fichiers aux personnes qui
doivent effectuer des tches administratives (par exemple analyser et sauvegarder les fichiers journaux
de serveur DHCP).
Ne modifiez pas les autorisations des groupes Systme ou Administrateurs. Si vous le faites, vous
risquez de provoquer des dysfonctionnements du serveur DHCP et dempcher les administrateurs
dassurer sa maintenance, par exemple en sauvegardant la base de donnes.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 26 / 84
4. Rsolution de noms
Il est difficile pour un utilisateur de travailler Cest ce service qui effectue la rsolution de noms
avec des adresses IP. La rsolution est le complets (ou alphanumriques). Ce service est
processus qui permet deffectuer fourni par WINS (Windows Internet Name
automatiquement une traduction entre des noms Service) et DNS (Domain Name System).
alphanumriques et des adresses IP.
Lorsquun utilisateur veut atteindre une ressource disponible sur un serveur, il y fait appel par le nom
du serveur (ex : ServSupinfo1). Lordinateur va dterminer ladresse IP associ au serveur (ex :
192.168.1.1) et ensuite effectuer la connexion partir de celle-ci.
Il existe deux types de noms dans les rseaux : nom dhtes et noms NetBIOS.
Un nom de domaine pleinement qualifi (FQDN) est un nom de domaine DNS. Cest la forme lisible
et hirarchique du nom complet d' un ordinateur. Le FQDN (Fully Qualified Domain Name) dfinit
un nom d' hte complet (ex: www.labo-microsoft.com). Il inclut la partie domaine ou suffixe (ex: labo-
microsoft.com) et la partie hte (ex: www), ce qui permet la rsolution des noms dhtes sur Internet.
Les noms dhtes sont utiliss pour trouver un priphrique rseau sur un rseau. Afin de trouver un
dispositif rseau partir de son nom dhte, il faut quil soit connu du fichier Hosts ou dun serveur
DNS.
- . # $ +/
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 27 / 84
Un nom NetBIOS est un nom qui permet didentifier les services NetBIOS sur un ordinateur. Ce nom
est compos dun nom de 15 caractres plus 1 qui indique le service (Station de travail, Serveur,
Messenger, Groupe,).
Par contre les noms NetBIOS nont aucune utilit sur Internet car ils ne possdent aucune hirarchie.
Un exemple simple : aucun nom NetBIOS ne peut tre en double sur le mme sous rseau.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 28 / 84
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 29 / 84
127.0.0.1 Localhost
Le fichier Hosts (exemple ci-dessus) est stock sur lordinateur client lemplacement
%Systemroot%\System32\Drivers\Etc et se nomme Hosts.
Il sert stocker dans le cache de rsolution client des entres statiques comme par exemple 127.0.0.1
qui correspond localhost. De plus une entre de ce fichier ne contient aucune dure de vie dans le
cache.
Chaque poste client peut possder le mme fichier Hosts car ce fichier est compatible avec les fichiers
Hosts dUNIX.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 30 / 84
Le cache de nom NetBIOS est lemplacement mmoire o se trouvent les noms correspondants aux
adresses IP rcemment rsolues par une diffusion, fichier Lmhosts, un serveur WINS ou les noms
prchargs partir du fichier Lmhosts.
Le cache de nom NetBIOS est utilis avant le serveur WINS, car lutilisation du fichier Lmhosts ne
produit aucun trafic rseau et reste trs rapide.
La dure de vie dune entre dans le cache de nom NetBIOS est de 10 minutes. Cette dure est
rinitialise chaque rsolution du nom.
Loutil utilis pour interagir avec le cache de noms NetBIOS est nbtstat. Utilis sans argument, il
permet dafficher laide.
Commandes courantes :
4.3.4. Diffusions
Les diffusions dites broadcast sont des messages produits par un poste destination de tous les htes
de son segment rseau.
La diffusion se produit si la rsolution du nom NetBIOS na pas fonctionn avec le cache et le serveur
WINS. Il ny pas de configuration requise pour la diffusion.
Le principe de la diffusion est de lancer un message destination de tous les nuds sur le segment
rseau afin que lordinateur possdant le nom NetBIOS recherch renvoie son adresse au destinataire
de la diffusion.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 31 / 84
Le fichier LMHOSTS est un fichier statique situ sur lordinateur et configur par ladministrateur
pour mapper les adresses IP des noms NetBIOS pour des ordinateurs situs en dehors du sous rseau
local.
Ce fichier est utilis dans le cas o aucune autre mthode de rsolution na fonctionn. Cest un fichier
texte ASCII compos du nom NetBIOS de lordinateur cible et de ladresse IP correspondante. Pour
utiliser ce fichier situ dans %Systemroot%\System32\Drivers\Etc\ qui porte une extension .sam, il
faut supprimer l' extension pour que le fichier puisse tre lu.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 32 / 84
Le service de rsolution de noms de Windows Server 2003 est nomm DNS (Domain Name System).
Il permet de rsoudre des adresses URL structures comme www.laboratoire-microsoft.org en adresse
IP: 212.180.91.68.
Le systme de noms DNS est une base de donnes distribue, utilise sur les rseaux IP pour
transposer et rsoudre les noms dordinateurs en adresses IP. Cest la principale mthode de rsolution
de noms de Windows 2003.
Le systme de noms sur lequel est fond DNS est une structure hirarchique et logique appele espace
de noms de domaine. L InterNIC (Internet Network Information Center) gre la racine de cette
arborescence. LInterNIC est charg de dlguer la responsabilit administrative de portions de
lespace de noms de domaine mais aussi dinscrire les noms de domaine.
Le Nom de Domaine Pleinement Qualifi ou FQDN (Fully Qualified Domain Name) dcrit la relation
exacte entre un hte et son domaine.
Le serveur DNS contient des informations sur la portion de lespace de noms DNS quil va fournir au
client. Le serveur DNS va stocker des noms / adresses IP de sa zone dans un fichier de zone.
Lorsquun ordinateur client envoie une requte de rsolution de nom un serveur DNS, ce dernier va
consulter sa base de donnes de noms et va, soit rpondre au client sil possde la correspondance nom
/ adresse IP, soit interroger les autres serveurs DNS en cas dchec de la recherche dans sa base de
donnes locale.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 33 / 84
Les conventions lies lappellation standard DNS permettent lentreprise qui implmente un espace
de noms de lutiliser sur internet. Ces conventions autorisent un jeu de caractres ASCII limit spcifi
par la RFC 1123 qui est :
A-Z
a-z
0-9
Trait dunion (-)
0 # #1 $ #
Il est ncessaire de configurer le futur serveur DNS pour quil utilise une adresse IP fixe au lieu dune
adresse attribue dynamiquement par un serveur DHCP. Il faut pour cela configurer le protocole
TCP/IP, et entrer une adresse statique dans la boite de dialogue Proprits de protocole Internet.
Microsoft recommande galement de configurer le nom de domaine sur le serveur DNS, dans
Proprits de protocole Internet (TCP/IP).
Linstallation se fait via lassistant ajout / suppression de programmes . Le service Serveur DNS
fait partie des services de mise en rseau. (Composants intgrs de Windows 2003).
Serveur DNS :
Ordinateur excutant le serveur DNS
Hberge un ou une partie de lespace de noms
Fait autorit pour un espace de noms de domaine
Traite les demandes de rsolution de noms soumises par les clients
Client DNS :
Ordinateur excutant le Service Client DNS
Les clients DNS envoient des requtes au serveur DNS ce qui constitue le processus de rsolution du
nom. Il existe deux types de requtes, les rcursives et les itratives.
Une requte peut provenir dun client mais aussi dun serveur, par exemple, une requte peut tre
envoye par un client un serveur qui peut ensuite lenvoyer un autre serveur si il ne parvient pas
la rsoudre.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 34 / 84
Un serveur DNS, qui fait autorit sur un espace de nom, possde une copie principale ou secondaire
dune zone DNS.
Lors dune requte, le serveur faisant autorit renvoie ladresse IP correspondant au nom, de deux
faons possibles :
Une requte rcursive peut tre lance dun client mais aussi dun serveur sil est configur avec un
redirecteur.
Le serveur DNS doit absolument fournir un rsultat au client pour ce type de requte. Dans le
cas o il ne possde pas de rponse la requte, le serveur DNS va effectuer, pour le compte du client
des requtes itratives spares vers dautres serveurs qui laident rpondre la requte rcursive.
Les indications de racine sont des enregistrements de ressources DNS stockes sur un serveur DNS
qui rpertorient les adresses IP des serveurs racines du systmes DNS.
Pour utiliser le processus de rcursivit, le serveur DNS a besoin de connatre les coordonnes des
autres serveurs DNS de l' espace de noms de domaines DNS. Ces informations sont fournies sous la
forme d' indications racine. Une liste d'
enregistrements de ressources prliminaires peut tre utilise
par le service DNS pour localiser d' autres serveurs DNS qui font autorit pour la racine de
l'
arborescence des espaces de noms de domaines DNS. Les serveurs racine font autorit pour la racine
et les domaines de premier niveau du domaine dans l' arborescence.
Elles sont envoyes par un client un serveur DNS. Ce dernier renvoie la meilleure rponse quil
possde partir de ses donnes de cache ou de zone. Sil ne possde pas la rponse exacte, il renvoie
le client vers un serveur de rfrence dans un niveau infrieur de lespace de noms de domaine. Le
client va alors interroger le serveur correspondant. Ce processus se poursuit jusqu ce que le client
localise le serveur qui pourra rsoudre le nom en adresse IP ou bien jusqu ce quune erreur se
produise ou encore que le dlai soit dpass.
Il est possible de configurer les serveurs DNS pour qu'ils envoient toutes les requtes rcursives une
liste slectionne de serveurs dit redirecteurs. Les serveurs de la liste des redirecteurs assurent les
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 35 / 84
recherches rcursives pour rsoudre les requtes reues par un serveur DNS qui ne peut pas y rpondre
en s'
appuyant sur ses zones locales. Pendant le processus de redirection, un serveur DNS configur
pour utiliser des redirecteurs (un ou plusieurs serveurs en fonction de la liste de redirecteurs) se
comporte essentiellement comme un client DNS vis--vis de ses redirecteurs.
La mise en cache permet de rpondre plus rapidement aux requtes frquentes en stockant
temporairement dans la mmoire les rsultats des requtes rcemment rsolues.
Lors du traitement dune requte rcursive, le serveur DNS peut tre amen interroger les serveurs
de noms racines pour redescendre au fur mesure des niveaux afin dobtenir des informations. Ce
processus peut prendre plus ou moins de temps et peut utiliser des liaisons coteuses.
Le serveur place donc toutes les informations collectes lors de ce processus dans son cache DNS
pendant une dure spcifie. Ce temps est appel TTL (Time To Live) et se mesure en secondes. Cest
ladministrateur de serveur associ la zone principale qui dfinit le TTL.
Une fois les donnes en cache, le TTL se dcrmente et lorsquun client fait une requte pouvant tre
rsolue avec les informations contenues dans le cache, le client obtient linformation laide dun TTL
valide et en cours. Lorsque le TTL dun enregistrement est expir celui-ci nest pas conserv.
Le cache a galement pour utilit le stockage des rponses nayant pas abouti : les rponses ngatives.
Cette mise en cache vite la rptition des requtes concernant des noms qui nexistent pas. Le TTL
associ a ces rponses est infrieur celui des rponses positives (par dfaut : 5 minutes).
Un serveur qui ne possde aucune zone et qui na aucune autorit sur un quelconque domaine est un
serveur ddi la mise en cache grce la configuration des indicateurs de racine.
Un enregistrement de ressource stock dans un fichier de zone dfinit une zone. Le fichier de zone
stocke des informations pour effectuer la rsolution de noms. Toutes les tches administratives lies
aux serveurs DNS se font travers le SNAP-IN MMC DNS.
Une zone est une portion contigu de lespace de noms de domaine pour laquelle un serveur DNS sert
de rfrence pour la rsolution des requtes DNS. Elle permet de stocker des noms concernant un ou
plusieurs domaines DNS ou des portions de domaines DNS.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 36 / 84
Les utilisateurs peuvent avoir accs aux enregistrements de ressources notamment dans les cas
suivants :
Recherche dun site Web, le navigateur envoie une requte de recherche directe au
serveur.
Lors de la connexion sur un domaine. A louverture de session, le poste cherche un
contrleur de domaine par lintermdiaire du DNS.
Les types denregistrements reprsentent les diffrents types de donnes pouvant tre enregistres dans
le serveur DNS.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 37 / 84
Exemple denregistrement MX :
Une zone est une portion contigu de lespace de noms de domaine pour laquelle un serveur DNS sert
de rfrence pour la rsolution des requtes DNS. Elle permet de stocker des noms concernant un ou
plusieurs domaines DNS (si ces domaines sont contigus : relation parent-enfant) ou des portions de
domaines DNS.
Un serveur DNS peut hberger diffrents types de zones tout comme un ou plusieurs types de zones
peuvent tre hbergs sur plusieurs serveurs DNS pour fournir une tolrance de panne et rpartir la
rsolution de noms et la charge de travail.
Un serveur fait autorit sur une zone sil possde des enregistrements de ressources correspondants
aux noms et aux adresses que les clients demandent dans le fichier de zone.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 38 / 84
% $ ##
+ 2
Recherche directe
Lorsque vous crez une zone de recherche directe, lassistant vous proposera les trois types de zone
disponibles, puis il vous invitera entrer le nom de la zone grer et enfin il vous demandera de
valider le nom du fichier contenant la zone DNS. Une fois ces tapes passes, lassistant va crer
automatiquement la zone, le fichier et des enregistrements de type "Source de nom" (Serveur ayant
lautorit sur la zone) et "Serveurs de noms" (Serveur pouvant rpondre aux requtes des clients).
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 39 / 84
Recherche inverse
Lorsque vous crez une zone inverse, lassistant vous propose dindiquer lID (Partie rseau de votre
adresse IP). Pendant que vous entrez lID, le nom de la zone de recherche inverse saffiche sous la
forme des nombres de votre ID en ordre inverse suivi de ".in-addr.arpa" (ex : Pour "172.16.0.0/16"
"16.172.in-addr.arpa"). Le nom in-addr.arpa reprsente un domaine spcial au niveau DNS, il est
rserv la rsolution dadresses IP en noms dhtes.
Le transfert de zone consiste en la diffusion des entres contenues dans une zone lensemble des
serveurs DNS secondaires de cette zone.
Sous Windows 2003, il est possible de mettre en place des transferts complets et des transferts
incrmentiels de zone.
Le transfert de zone complet est le type de standard pris en compte par tous les serveurs DNS pour
mettre jour et synchroniser les donnes dune zone. La requte dclenchant ce type de
synchronisation est AXFR.
Le transfert de zone incrmentiel permet de mettre jour seulement les donnes de zones modifies
depuis la dernire mise jour. Ce type de transfert ne seffectue quentre 2 serveurs le prenant en
charge la suite dune requte de type IXFR.
Un serveur matre envoie une notification de modification de la zone aux serveurs DNS
secondaires de la zone. Une fois cette notification reue, les serveurs secondaires envoient une
requte de mise jour au serveur matre.
Chaque serveur DNS secondaire interroge intervalles rguliers ses serveurs matres sur les
modifications de la zone. Cette requte est lance aussi chaque dmarrage du service DNS.
Toutes les informations lies la frquence dexcution des transferts de zone sont stockes dans les
enregistrements de ressource de noms (SOA Start of Authority).
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 40 / 84
Il est possible de limiter le nombre de serveurs que vous allez autoriser recevoir les zones. Ceci est
dfini soit par une liste dadresses IP de serveurs DNS soit en limitant les transferts aux serveurs DNS
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 41 / 84
situs dans le mme domaine. De la mme manire, il est possible de dfinir une liste de serveurs DNS
secondaires qui recevront une notification des mises jour dun fichier de zone.
DNS notify est une mise jour de la spcification dorigine du protocole DNS qui permet dinformer
les serveurs secondaires des modifications de zones.
Les serveurs qui reoivent une notification peuvent demander un transfert de zone afin de corriger les
modifications. Les serveurs qui font autorit dans cette zone prviennent les serveurs secondaires des
modifications par lintermdiaire dune liste de serveurs secondaires.
Avec DNS notify, les mises jour seffectuent au rythme des modifications.
Il existe 2 mthodes pour inscrire des enregistrements dans la base de donnes DNS, soit
manuellement, soit dynamiquement.
La mthode manuelle devient vite inadapte lorsquil faut inscrire la main tous les postes dun rseau
de grande tendue mais peut devenir pratique si on possde un rseau avec des cas isols, avec des
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 42 / 84
serveurs UNIX par exemple. Par contre la mthode dynamique permet dautomatiser le processus
denregistrement mais aussi de le maintenir jour.
Les clients DNS excutant la famille Server 2003, famille 2000 et Windows XP sont configurs par
dfaut pour inscrire et mettre jour dynamiquement leurs noms dhtes et leurs adresses IP dans DNS.
Un client configur par un serveur DHCP ou statiquement peut sinscrire automatiquement sur le
serveur DNS. Le composant qui inscrit lenregistrement de ressource DNS pour un client DNS est le
service de client DHCP, il faut donc activer le service de client DHCP.
Le processus ci-dessous rsume les tapes pour lenregistrement dynamique des clients DNS :
a. Le client envoie une requte SOA au serveur DNS faisant autorit pour
lenregistrement de ressource.
b. Le serveur renvoie le nom de zone et ladresse IP du serveur DNS faisant autorit
pour la zone dans laquelle le client DNS veut sinscrire.
c. Le client DNS envoie ensuite une mise jour qui vrifie la prsence de
lenregistrement.
d. Le serveur rpond au client DNS.
e. Si aucune inscription nexiste dans la zone DNS, le client DNS envoie son inscription.
Lorsquun client DHCP reoit une adresse IP, les enregistrements DNS le concernant doivent tre mis
jour. Ainsi, les machines excutant Windows 2003, 2000 ou XP (aussi bien les serveurs que les
clients) sont capables de mettre jour les informations du serveur DNS.
Dans le cas dune machine Windows XP cliente DHCP, lorsque celle-ci va envoyer une requte
DHCP pour obtenir une adresse IP elle va joindre sa requte le nom de domaine complet (FQDN).
Le serveur DHCP envoie ladresse IP au client. Une fois ladresse IP reue, le client DHCP envoie une
mise jour de son enregistrement de recherche directe (A) au serveur DNS et le serveur DHCP envoie
une mise jour de lenregistrement de recherche inverse (PTR) au serveur DNS.
Dans le cas dune machine excutant une version antrieure de Windows 2000, celle-ci ne peut mettre
jour elle-mme les enregistrements du DNS. Il est alors ncessaire de configurer le serveur DHCP
afin quil puisse mettre jour la fois les enregistrements A et PTR de la machine.
Une zone DNS intgre Active Directory est une zone DNS stocke dans Active Directory.
Lorsque vous configurez un contrleur de domaine, Active Directory exige linstallation de DNS.
Les zones DNS principales ou secondaires configures dans un domaine Active Directory peuvent
devenir des zones DNS intgres Active Directory.
Les zones DNS intgres Active Directory prsentent plusieurs avantages par rapport aux zones
DNS principales ou secondaires:
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 43 / 84
Ce modle est considr comme multi-matres. Tous les contrleurs de domaine contenant les
informations de cette zone DNS peuvent agir comme serveur principal et apporter des modifications
la zone.
Lintgration des zones DNS dans lActive Directory permet de stocker les zones DNS dans lActive
Directory et ainsi bnficier dun certain nombre davantages :
Les mises jour de la zone ne sont plus limites un seul serveur (DNS
Pas de point faible principal standard) mais peuvent tre ralises sur lensemble des
unique serveurs DNS de la zone et toutes les modifications sont rpliques sur
lensemble des serveurs DNS de la zone.
La topologie de duplication est alors lie celle de lActive Directory
Topologie de duplication
ce qui permet dviter une configuration de rplication isole pour le
unique
DNS.
Mises jour dynamiques Il est possible de limiter les mises jour dynamiques un certain
scurises nombre dordinateurs autoriss.
. # 2 , -# # 34 # / $
4 # 5
5.4.5. Utilisation des mises jour dynamiques scurises par les zones
DNS intgres Active Directory
Pour que les mises jour dynamiques soient possibles, il est ncessaire de configurer le serveur DNS
afin quil les accepte. Pour configurer le serveur DNS, on dispose de trois options:
$ %! # 4 6 , $
#$ -# # 3 $ %! 4
# , $
Il est ncessaire de configurer le serveur DHCP pour lenregistrement automatique sur le serveur
DNS.
Il faut tout dabord activer loption Mettre jour automatiquement les informations de client
DHCP dans DNS puis choisir lune des options suivantes :
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 44 / 84
De plus, si vous disposez de clients excutant des versions antrieures de Windows, assurez vous que
loption Activer des mises jour pour les clients DNS qui ne prennent pas en charge la mise
jour dynamique est active.
Pour finir, il faudra configurer les clients (uniquement ceux tournant sous Windows 2003) :
Dans la configuration DNS des clients, il faudra activer les options Enregistrer les adresses de cette
connexion dans le systme DNS et Utiliser le suffixe DNS de cette connexion pour
lenregistrement DNS.
Si vous navez pas de suffixe DNS configur sur le client, la rsolution et la mise jour des noms
risquent de ne pas fonctionner correctement. En configurant correctement des suffixes DNS sur le
client, vous garantissez la russite de la rsolution de noms.
Loption de slection de suffixe indique que la rsolution de noms non qualifis sur lordinateur
considr est limite aux suffixes du domaine principal et du domaine de second niveau.
Loption Ajouter des suffixes parents indique que la rsolution de noms non qualifis sur lordinateur
considr est limite aux suffixes du domaine principal et au suffixe spcifique la connexion.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 45 / 84
Le suffixe spcifique la connexion fournit un espace pour configurer un suffixe DNS propre une
connexion spcifique. Si un serveur DHCP configure cette connexion et que vous ne spcifiez pas de
suffixe DNS, le serveur DHCP affecte un suffixe DNS sil est configur pour le faire.
Il sagit du processus distribuant lautorit sur les domaines enfants de votre espace de noms DNS
une autre entit en ajoutant des enregistrements dans la base de donnes DNS.
En tant que gestionnaire dun domaine DNS, vous avez la possibilit de crer des domaines enfants et
leurs zones respectives qui pourront ensuite tre stockes, distribues et rpliques vers dautres
serveurs DNS. La gestion de ces zones supplmentaires peut tre dlgue dautres administrateurs.
Pour dterminer si vous devez ou non diviser votre espace de noms DNS pour dlguer des zones,
prenez en compte les facteurs suivants :
ncessit de dlguer la gestion dune partie de votre espace de noms DNS un autre
emplacement ou un autre secteur de votre organisation ;
ncessit de diviser une zone de grande taille en zones plus petites afin de rpartir le trafic
entre plusieurs serveurs, damliorer les performances de la rsolution de noms DNS ou de
crer un environnement DNS qui tolre mieux les pannes ;
ncessit dtendre lespace de noms en ajoutant des sous-domaines (par exemple, pour
prendre en charge louverture dune nouvelle filiale ou dun nouveau site).
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 46 / 84
La valeur de dure de vie (Time to live,TTL) est un dlai exprim en secondes qui figure dans les
enregistrements DNS retourns par une requte DNS. Ce dlai indique aux destinataires le temps
denregistrement dune ressource avant suppression dans les informations DNS.
Il existe deux types de TTL dans le DNS : le TTL dune zone qui est appliqu tous les
enregistrements crs dans cette zone et le TTL dun enregistrement qui est appliqu
lenregistrement en particulier.
Suivant la dure dun TTL, deux comportements dans votre rseau se produisent :
Si la valeur du TTL est trop petite, le trafic des requtes DNS va augmenter.
Si la valeur du TTL est trop grande, le trafic li aux requtes DNS va tre faible mais il y a
plus de chance pour que des enregistrements obsoltes perdurent dans le cache des clients
DNS.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 47 / 84
Le vieillissement est un processus qui dtermine si un enregistrement de ressource DNS obsolte doit
tre supprim de la base de donnes DNS.
Le nettoyage est un processus qui consiste supprimer les noms obsoltes ou caducs de la base de
donnes DNS.
Avec la mise jour dynamique des enregistrements de ressources DNS, un client DNS sinscrit dans
la base automatiquement. A prsent, si celui-ci perd sa connexion au rseau, alors son enregistrement
risque de ne pas tre supprim.
Ce cas est de plus en plus frquent avec lutilisation de linformatique mobile. Afin de ne pas polluer
la base de donnes DNS, Microsoft Windows Server 2003 avec DNS est capable de supprimer des
enregistrements obsoltes en recherchant dans la base de donnes les enregistrements de ressources
dont la dure de vie est suprieure une priode spcifie.
DNS utilise un datage quil attribue chaque enregistrement et qui va tre associ 2 intervalles
configurables pour dterminer sil doit nettoyer des enregistrements ou non.
Pour se faire, le vieillissement et le nettoyage doivent tre activs sur le serveur DNS et sur la zone
DNS. Puis ils comportent deux options configurables :
Il est aussi pratique de paramtrer ces intervalles afin de rduire la rplication DNS lorsque le systme
DNS est intgr au service dannuaire Active Directory.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 48 / 84
Il est possible de lancer le nettoyage des enregistrements de ressources obsoltes en faisant un clic
droit sur le serveur et en cliquant sur Nettoyer les enregistrements de ressources obsoltes.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 49 / 84
Grce lintgration du systme DNS et du service WINS, les clients DNS peuvent employer les
entres de noms NetBIOS existantes dans le service WINS pour la recherche des noms dhtes. Le
service DNS offre en effet la possibilit dutiliser des serveurs WINS pour rechercher des noms
absents de lespace de noms DNS en contrlant lespace de noms NetBIOS gr par WINS.
IMPORTANT
Activez la case cocher
Ne pas rpliquer cet
enregistrement dans le cas
o les donnes de zone sont
rpliques vers des zones
secondaires hberges sur
des serveurs DNS tiers ne
reconnaissant pas les
enregistrements WINS ou
WINS-R.
Ainsi, les enregistrements
du localisateur WINS ne
seront pas rpliqus sur
dautres serveurs pendant
les transferts de zone. Si une
zone participe aux transferts
de zone vers des serveurs
BIND (Berkeley Internet
Name Domain), lactivation
de cette option est
indispensable car BIND ne
reconnat pas ces types
denregistrements WINS.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 50 / 84
Vous pouvez tester un serveur DNS en excutant des requtes simples ou des requtes rcursives.
Une requte simple est une requte qui excute un test local en utilisant le client DNS pour interroger
le serveur DNS. Ce type de test spcifie que le serveur DNS excute une requte simple ou itrative. Il
sagit dune requte localise qui se sert de la rsolution de client DNS sur le serveur DNS pour
interroger le service DNS local, qui se trouve sur le mme serveur DNS.
Une requte rcursive est une requte qui teste un serveur DNS en transmettant une requte rcursive
un autre serveur DNS. Ce type de test spcifie que le serveur DNS excute une requte rcursive. Il
est similaire au test par requte simple en termes de traitement initial de la requte, dans la mesure o
il utilise la rsolution de client DNS local pour interroger le serveur DNS local, hberg sur le mme
ordinateur. Cependant, le client demande au serveur dutiliser la rcursivit pour rsoudre une requte
de type serveur de noms (NS) pour la racine de lespace de noms de domaine DNS. La racine est sous
la forme dun point unique ( . ). Ce type de requte ncessite gnralement un traitement rcursif
supplmentaire et peut se rvler utile pour vrifier que des indications de racine du serveur ou des
dlgations de zone ont t configures correctement.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 51 / 84
Ces tests seffectuent partir de longlet Analyse des proprits du serveur DNS.
La vrification de la prsence dun enregistrement de ressource est une fonction de base de lanalyse et
du dpannage dun systme DNS.
Si le serveur DNS comporte des mappages nom dhte-adresse IP prims, obsoltes ou incorrects, les
clients ne pourront pas se connecter aux services rseaux. Vu le nombre considrable de mises jour
dynamiques, il est important de sassurer de la validit des enregistrements.
Pour identifier les problmes potentiels dune solution DNS, il est possible de contrler les points
suivants :
Enregistrements manquants
Enregistrements incomplets
Enregistrements mal configurs
Il existe bien des utilitaires vous permettant danalyser, grer et de dpanner le systme DNS. Ces
excutables sont Nslookup, DNSCmd et DNSLint.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 52 / 84
6.5.2. Nslookup
Nslookup est un utilitaire en ligne de commande employ pour diagnostiquer les ventuels problmes
lis linfrastructure DNS.
Nslookup permet dexcuter le test de requte sur des serveurs DNS et de rcuprer une liste de
rponses dtailles. Ces informations sont utiles lors du dpannage de la rsolution de noms ou pour
vrifier que des enregistrements de ressources ont t correctement ajouts ou mis jour dans une
zone.
Vous pouvez utiliser cette commande pour effectuer un dboguage sur dautres incidents techniques
lis au serveur DNS.
Interactif : Qui permet de rester dans le prompt de la commande ce qui vous permettra
deffectuer plusieurs requtes.
Non interactif : Qui permet dutiliser Nslookup en une simple commande. Par ce moyen,
vous pouvez rediriger la sortie de la commande vers un fichier texte.
Pour que Nslookup fonctionne correctement, un enregistrement de ressource PTR doit exister pour le
serveur sur lequel vous voulez effectuer une recherche. Au dmarrage, Nslookup effectue une
recherche inverse sur ladresse IP du serveur qui excute le service Serveur DNS et signale une erreur
sil est incapable de rsoudre ladresse en nom. Cette erreur ne nuit pas aux performances normales de
Nslookup en ce qui concerne les diagnostics.
6.5.3. DNSCmd
DNSCmd est un outil de support DNS inclus dans les outils de support du CD-ROM Windows Server
2003 (\Support\Tools\suptools.msi).
DNSCmd est une interface de ligne de commande pour la gestion des serveurs DNS. Cet outil permet
d'
crire des scripts de fichiers de commandes, pour automatiser la gestion et la mise jour des
configurations existantes de serveur DNS, ou pour effectuer l' installation et la configuration de
nouveaux serveurs DNS sur votre rseau.
6.5.4. DNSLint
DNSLint est un outil de support DNS inclus lui aussi dans les outils de support du CD-ROM
Windows Server 2003. Cet utilitaire Microsoft Windows peut excuter une srie de requtes, facilitant
ainsi le diagnostic des problmes courants lis la rsolution de noms DNS.
Afin de faciliter le diagnostic et la rsolution des problmes quentranent des enregistrements DNS
manquants ou incorrects, il est utile de sassurer de la cohrence dun ensemble particulier
denregistrements DNS sur plusieurs serveurs DNS.
Par exemple : Certains clients ont des difficults ouvrir une session sur le domaine, vrifiez si les
enregistrements SRV, utiliss par les clients pour rechercher les serveurs LDAP (Lightweight
Directory Access Protocol) et Kerberos, sont disponibles et exacts. Vous dterminerez ainsi plus
facilement si les paramtres DNS sont lorigine du problme.
DNSLint possde trois fonctions qui vrifient les enregistrements DNS et gnrent un rapport en
HTML (Hypertext Markup Language).
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 53 / 84
DNSLINT /ql vrifie un ensemble dfini par lutilisateur denregistrements DNS sur plusieurs
serveurs DNS.
DNSLINT /ad vrifie les enregistrements DNS spcifiquement employs pour la rplication
Active Directory.
Vous pouvez avoir recours lun des trois utilitaires DNS (Nslookup, DNSCmd et DNSLint) pour
effectuer des tches danalyse, comme vrifier lexistence dun enregistrement de ressource. Par
dfaut, Nslookup est disponible dans Windows Server 2003. Quant DNSCmd et DNSLint, ils
doivent tre installs partir des outils de support du CD-ROM Windows Server 2003.
Pour pouvoir utiliser les utilitaires DNSCmd et DNSLint, il faut installer suptools.msi qui se trouve
sur le Cd-Rom de Microsoft Windows Server 2003 dans le dossier /Support/Tools.
DNSCmd [nom du serveur] /enumzones: Permet dafficher la liste complte des zones
configures sur le serveur DNS.
DNSCmd [nom du serveur] /zoneinfo [zone] : Permet dafficher les informations dune
zone spcifique.
Les serveurs DNS ont une importance capitale dans la plupart des environnements, cest pourquoi
lanalyse de leurs performances procurent des avantages certains dans la stratgie doptimisation de
votre infrastructure rseau.
Lanalyse vous donne des informations utiles pour prvoir, estimer et optimiser les
performances du serveur DNS.
Lanalyse vous facilite le dpannage des serveurs DNS victimes dune baisse de
performances.
Il est recommand danalyser dune part les phases critiques de lactivit du systme DNS, comme les
mises jour dynamiques, les notifications, les transferts de zone complets et incrmentiels, les
requtes, et dautre part lintgrit du serveur DNS.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 54 / 84
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 55 / 84
Lenregistrement de dboguage DNS est un outil journal facultatif pour DNS, qui stocke les
informations DNS que vous slectionnez. Il ne faut pas oublier que lenregistrement dans un journal
ncessite des ressources du serveur, lenregistrement de dboguage nest pas activ par dfaut. Il est
configur au niveau du serveur DNS et ses paramtres ont donc une incidence sur toutes les zones
hberges sur le serveur DNS.
Vous pouvez capturer un grand nombre de donnes statistiques DNS laide de loutil Performances
qui vous permet de crer des graphiques. Si vous voulez obtenir des informations encore plus
spcifiques, vous pouvez activer lenregistrement de dboguage DNS, lequel permet de collecter des
donnes DNS spcifiques dans le fichier DNS.Log.
Par exemple, si vous voulez connatre les types de requtes envoyes par un ordinateur au serveur
DNS, vous pouvez configurer lenregistrement de dboguage DNS pour quil recueille uniquement les
informations relatives aux requtes DNS entrantes utilisant les protocoles UDP (User Datagram
Protocol) ou TCP (Transmission Control Protocol) partir dune adresse IP (Internet Protocol)
particulire.
Lenregistrement de dboguage se poursuit jusqu ce que la taille de journal spcifie soit atteinte ou
que le lecteur sur lequel se trouve le fichier journal vienne manquer despace disponible. Une fois la
limite en terme de taille de fichier est atteinte, le processus denregistrement commence craser les
entres les plus anciennes.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 56 / 84
Les fichiers journaux peuvent devenir trs volumineux, cest pourquoi il est recommand de les
stocker sur un lecteur distinct.
ATTENTION ! : Le mode dboguage pour DNS altre fortement la disponibilit des ressources
de votre systme, processeur et mmoire vive. Le temps de rponse pour les requtes des clients
DNS distants sera alors augment.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 57 / 84
Dans Windows 2003, le principal moyen utilis pour la rsolution de noms est le systme DNS. Pour
les ordinateurs clients dmarrant des versions de Windows antrieures Windows 2000, XP ou 2003,
un serveur WINS leur permettra de communiquer efficacement. (ex : Windows NT4)
Le systme WINS complet de Windows Server 2003 comprend les composants suivants :
Serveur WINS : Ordinateur qui traite les requtes dinscription de noms provenant des clients
WINS, inscrit les noms et adresses IP du client. Le serveur WINS rpond aux requtes de
noms NetBIOS soumises par les clients. Le serveur WINS renvoie ensuite ladresse IP dun
nom demand, si ce dernier figure dans la base de donnes du serveur.
Base de donnes WINS : La base de donnes WINS stocke et rplique les mappages des noms
NetBIOS aux adresses IP dun rseau.
Client WINS : Ordinateurs que vous pouvez configurer pour utiliser directement un serveur
WINS ; ces ordinateurs possdent gnralement plusieurs noms NetBIOS quils doivent
inscrire pour pouvoir tre utiliss sur le rseau.
Agents proxy WINS : Ordinateur qui contrle la diffusion des requtes de noms et rpond aux
requtes clientes lorsque les noms ne figurent pas sur le sous-rseau local. Le proxy
communique avec un serveur WINS pour rsoudre les noms, puis les met en cache pour une
priode donne.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 58 / 84
Windows Server 2003 et Windows XP sont configurs par dfaut avec la configuration de type
nuds B.
Lorsquun ordinateur excutant Windows XP, Windows Server 2003 ou Windows 2000 est configur
avec les adresses de serveurs WINS pour la rsolution de noms, il utilise automatiquement le nud.
Vous pouvez utiliser les options du protocole DHCP (Dynamic Host Configuration Protocol) pour
attribuer ce type de nud.
Au dmarrage de lordinateur, le service NetBT sur le protocole TCP/IP va envoyer une demande
denregistrement du nom NetBIOS un serveur WINS. Dans le cas o le nom NetBIOS serait dj
appropri, lordinateur ne pourra pas utiliser le protocole NetBIOS pour communiquer.
Un nom NetBIOS est inscrit de faon temporaire sur le serveur WINS. Le serveur WINS envoie un
message au client lors de son inscription pour linformer de la dure de lenregistrement acquis (TTL,
Time to Live). Ce dernier devra renouveler son enregistrement la fin du TTL afin de le conserver.
Si le processus de renouvellement nest pas effectu dans le temps imparti, linscription sur le serveur
WINS va tre supprime. Le renouvellement est donc ncessaire pour ce type denregistrement
contrairement aux enregistrements statiques qui nutilisent pas le TTL.
La dure du TTL par dfaut est de 6 jours. Un renouvellement dun enregistrement donc lieu au
bout de 3 jours car le client WINS tente son renouvellement 50% de lcoulement du TTL.
Le traitement de rponse de type rafale est utilis lorsque le nombre de tentatives simultanes excde
la taille de la file dattente de traitement (par dfaut : 500). Le principe de ce traitement est de
rpondre superficiellement aux requtes clients (par une inscription positive), ce qui permet au client
dutiliser le protocole NetBIOS pour la communication. Afin dviter des problmes denregistrements
non achevs correctement, le serveur WINS dfinit une courte dure de vie afin deffectuer une
inscription complte une fois le trafic WINS revenu la normale.
Par exemple, lorsque le courant est rtabli aprs une coupure, de nombreux utilisateurs dmarrent et
inscrivent simultanment leur nom sur le rseau, ce qui engendre un trafic WINS trs dense. Avec la
prise en charge du traitement en rafale, un serveur WINS peut rpondre positivement aux requtes des
clients, avant mme de traiter et dentrer physiquement ces mises jour dans la base de donnes du
serveur WINS.
Pour la famille Windows Server 2003, Windows XP et Windows 2000, le service WINS utilise les
options suivantes pour rsoudre un nom une fois la requte NetBIOS mise :
1. Le client WINS contacte le premier serveur WINS trois reprises pour rsoudre le nom
laide du service WINS.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 59 / 84
2. Si le premier serveur WINS ne rpond pas, le client contacte dautres serveurs WINS
disponibles jusqu ce quil obtienne une rponse.
3. Si un serveur WINS rsout le nom NetBIOS, ladresse IP est renvoye au client. Aprs avoir
reu la rponse, le client utilise cette adresse pour se connecter la ressource souhaite.
4. Si aucun serveur WINS ne peut rsoudre le nom NetBIOS, le processus de rsolution se
poursuit en dehors du service WINS. Le client avec nud H tente une diffusion. Si la
diffusion choue, le client parcourt son fichier Lmhosts local.
Pour installer le service WINS, vous pouvez passer par la console habituelle dAjout/Suppression de
programmes pour Ajouter ou supprimer des composants Windows. Ensuite dans la rubrique
Services de mise en rseau, il faut cocher Service WINS.
Vous pouvez passer aussi par la console Grer votre serveur pour y ajouter le rle de serveur WINS.
Cette console se trouve dans les outils dadministration.
Un enregistrement client est une entre contenue dans la base de donne WINS qui contient des
informations dtailles concernant les services NetBIOS excuts sur le client comme :
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 60 / 84
Adresse IP
Etat : Actif, libr ou dsactiv
Statique : Indique si le mappage est statique
Propritaire : Le serveur WINS do provient lentre
Version : Numro unique affect par le serveur lors de lenregistrement (utile pour la
rplication)
Expiration
Un mappage statique est un enregistrement client entr manuellement dans la base de donnes WINS
par ladministrateur afin denregistrer les services des clients non-WINS (ex : UNIX).
Nom NetBIOS
Type de nom (unique, groupe, nom
de domaine, )
Adresse IP
Les mthodes de filtrage et daffichage des enregistrements du service permettent dafficher lessentiel
des informations ncessaires lors dune administration distance par exemple, ou disoler un problme
plus rapidement.
Lors de la cration dun filtre de recherche, vous pouvez choisir entre 3 catgories de filtres :
Mappage des enregistrements : Recherche partir dun nom NetBIOS complet ou non, et/ou
une adresse IP avec ou sans masque de sous rseau.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 61 / 84
Pour accder aux diffrentes catgories de recherche, il faut faire un clic droit sur le dossier
Inscriptions actives puis cliquer sur Afficher les enregistrements
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 62 / 84
La rplication WINS consiste mettre jour les donnes WINS entre plusieurs serveurs afin de
synchroniser les donnes. Lorsquun client WINS veut rsoudre un nom NetBIOS, il peut passer par
nimporte quel serveur du mme rseau.
Lorsquun rseau utilise plusieurs serveurs WINS, chaque serveur est configur comme partenaire
metteur ou comme partenaire metteur/rcepteur dau moins un autre serveur WINS. La
configuration par dfaut des partenaires de rplication WINS se fait par mission/rception.
Cependant, vous pouvez modifier cette configuration en fonction des exigences de votre
environnement rseau.
Un partenaire Emetteur avertit ses partenaires de rplication lorsque le nombre de modifications dans
sa base de donnes atteint un seuil que vous pouvez configurer. Ce type de partenaire est utilis dans
le cas de liaisons rapides
Un partenaire Collecteur demande les copies des nouvelles entres de la base de donnes ses
partenaires de rplication intervalles rguliers. Vous pouvez configurer cet intervalle. Ce type de
partenaire est gnralement utilis dans le cas de liaisons lentes.
Cette option permet un serveur WINS de configurer automatiquement les autres serveurs
WINS comme ses partenaires de rplications.
Vous pouvez paramtrer la configuration automatique des partenaires. Le serveur WINS est
alors activ pour contrler les annonces de multi-diffusions provenant dautres serveurs WINS
et pour effectuer automatiquement les tapes de configuration suivantes.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 63 / 84
Activer loption Remplacer les mappages statiques uniques pour ce serveur (migration) :
Par dfaut, les partenaires de rplication WINS sont configurs en tant que partenaires
metteurs/rcepteurs. Pour modifier ce paramtre, il faut aller dans la console WINS puis faire un clic
droit sur le dossier Partenaire de rplication du serveur en cours pour appuyer sur Nouveau
partenaire de rplication. Ensuite il ne reste plus qu spcifier ladresse dun autre serveur WINS
valide pour la rplication.
Dans le cas o, il nest plus possible daltrer une base de donnes dfaillante cause dun virus ou
autres problmes similaires, vous pouvez supprimer la base WINS et en restaurer une propre .
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 64 / 84
La console de gestion WINS fournit des outils de sauvegarde avec lesquels vous pouvez sauvegarder
la base de donnes WINS. Une fois que vous avez spcifi un rpertoire de sauvegarde pour la base de
donnes, le service WINS effectue des sauvegardes compltes de la base de donnes toutes les 24
heures, par dfaut. La console de gestion WINS fournit galement une option de sauvegarde que
vous pouvez utiliser pour restaurer une base de donnes de serveur en cas de dfaillance.
Attention ! : La base de donnes restaurer doit tre dans le rpertoire de sauvegarde par dfaut.
Pour sauvegarder la base WINS, il faut au pralable spcifier le rpertoire de sauvegarde et faire une
premire sauvegarde manuelle.
Vous pouvez faire une sauvegarde manuelle en faisant un clic droit sur le serveur WINS puis
Sauvegarder la base de donnes
Il est possible de rcuprer de la place dans la base de donnes WINS en supprimant des
enregistrements obsoltes. Il existe pour cela plusieurs mthodes disponibles partir de la console
WINS :
Suppression simple denregistrements : Il suffit de supprimer des enregistrements que
ladministrateur trouve obsoltes sur le serveur. Si vous possdez plusieurs serveurs, il faut
veiller supprimer les enregistrements obsoltes sur les autres serveurs, auquel cas les
enregistrements seront de nouveau rpliqus.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 65 / 84
Pour choisir lun des deux lors de la suppression dun enregistrement, il faut faire un clic droit sur
lenregistrement en question puis supprimer.
Dans Windows Server 2003, le service WINS effectue un compactage Jet dynamique de la base de
donnes WINS pendant que le serveur est en ligne. De ce fait, le compactage manuel est beaucoup
plus rapide.
Mme si le serveur utilise le compactage Jet dynamique, le compactage manuel (jetpack.exe) permet
une meilleure rcupration despace et doit tre fait rgulirement. Lors dun compactage manuel, il
suffit de noter la taille du fichier de la base WINS (%systemroot%\System32\Wins\Wins.mdb)
avant et aprs le compactage afin de dterminer lintrt du compactage manuel et de dfinir la
frquence dutilisation de ce procd.
Donc par dfaut la base est automatiquement compacte en ligne mais vous pouvez la compacte
manuellement en mode hors connexion.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 66 / 84
Le nettoyage est le processus consistant supprimer des entres de base de donnes WINS qui ont
expires.
Le nettoyage permet de maintenir des informations dtat correctes dans la base de donnes en
contrlant chaque enregistrement appartenant au serveur WINS, en comparant le datage de
lenregistrement avec lheure actuelle, puis en modifiant ltat des enregistrements qui ont expirs. Par
exemple, le nettoyage modifie ltat dun enregistrement de ltat actif ltat libr .
Le processus de nettoyage intervient automatiquement des intervalles dfinis par la relation entre les
configurations dintervalle de renouvellement et dextinction. Configurez les proprits suivantes pour
dfinir cette relation.
4. Les noms marqus pour suppression et pour lesquels le dlai dextinction a expir
sont supprims de la base de donnes.
5. Les noms marqus pour suppression, rpliqus partir dautres serveurs et pour
lesquels le dlai dextinction a expir sont supprims de la base de donnes.
6. Les noms actifs rpliqus partir dautres serveurs et pour lesquels lintervalle de
vrification a expir sont revalids.
7. Les noms marqus pour suppression rpliqus partir dautres serveurs sont
supprims de la base de donnes.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 67 / 84
Pour configurer les intervalles, il faut aller dans longlet intervalles des proprits du serveur WINS :
Enfin pour nettoyer la base de donnes WINS, il suffit de faire un clic droit sur le serveur WINS puis
Nettoyer la base de donnes.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 68 / 84
La vrification de la cohrence dune base de donnes permet dobtenir une garantie des informations
contenues dans la base auprs des propritaires et auprs des autres serveurs WINS.
Ce processus permet de garantir lintgrit des donnes.
Vrifier la cohrence est une opration qui peut tre effectue rgulirement pour assurer la cohrence
mais il faut noter que ce processus influe beaucoup sur la charge rseau. Il faut donc veiller effectuer
cette opration pendant les heures creuses de lactivit de votre rseau.
Partenaires slectionns
alatoirement : Vrifie par
rapport un partenaire de
rplication choisi alatoirement.
Il est possible de lancer une vrification de la cohrence manuellement. Pour ce faire, il suffit de faire
un clic droit sur le serveur WINS puis choisir entre Vrifier la cohrence de la base de donnes et
Vrifier la cohrence des numros de versions
Vous pouvez retirer (supprimer) un serveur WINS pour rduire ou supprimer lutilisation du service
WINS au sein de votre rseau.
Avant de retirer un serveur WINS de votre rseau, vous devez vous assurer que les clients de ce
serveur peuvent interroger un autre serveur WINS afin deffectuer de la rsolution de noms.
Si vous souhaitez retirer tous les serveurs WINS de votre rseau, il faut installer et configurer le
service DNS comme tant votre service de rsolution de noms principal et configurer tous les clients
pour quils lutilisent.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 69 / 84
7. Aprs avoir vrifi que les enregistrements dsactivs lors de ltape 4 ont bien t
rpliqus vers dautres serveurs partenaires, arrtez le service WINS et supprimez-le du
serveur retir.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 70 / 84
Le protocole IPSec est une surcouche rseau qui permet dauthentifier, vrifier ou crypter tout trafic
transitant sur le rseau.
La scurit IPSec permet de protger les donnes qui transitent sur le rseau en respectant la stratgie
IPSec. Ladministrateur dfinit un ensemble de rgles qui dfinissent si un paquet doit tre crypt
et/ou sign numriquement.
Ce processus est transparent pour les utilisateurs et indpendant du type de donnes acheminer sauf
pour les donnes de type diffusion, multi-diffusions et paquets Kerberos qui ne peuvent tre crypts.
1. La configuration IPSec est dfinie par une stratgie locale ou une stratgie de groupe dans
lActive Directory qui est transmise aux postes clients. Ces stratgies dfinissent quelles sont
les associations de protocole de cryptage et de mthode dauthentification qui vont tre
utilises par le client.
3. Une fois lassociation tablie, le pilote IPSec crypte ou signe, suivant la stratgie employe, le
trafic voulu.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 71 / 84
La stratgie IPSec dfinit le comportement de la scurit IPSec. Une stratgie est fonde sur
lapplication dune ou plusieurs rgles. Cependant, seule une stratgie peut sappliquer un poste.
Client (en rponse seule) : Lordinateur utilisera IPSec uniquement si lordinateur distant lui en fait
la demande.
Serveur (demandez la scurit) : Lordinateur tentera dimposer IPSec, mais si lordinateur distant
ne supporte pas IPSec, alors la communication se fera normalement.
Une stratgie nest pas considrer comme une entit seule lors de communications avec dautres
postes. Pour que deux postes ngocient une association de scurit, il faut quils possdent des
stratgies complmentaires comme lindique le tableau ci-dessous :
Scuriser le
Serveur
Aucune Stratgie Client (en serveur
(demandez la
attribue rponse seule) (ncessite la
scurit)
scurit)
Aucune
Scurit IPSec Scurit IPSec Scurit IPSec Communication
Stratgie
inexistante inexistante inexistante inexistante
attribue
Client (en Scurit IPSec Scurit IPSec
Scurit IPSec Scurit IPSec
rponse seule) inexistante inexistante
Serveur
Scurit IPSec
(demandez la Scurit IPSec Scurit IPSec Scurit IPSec
inexistante
scurit)
Scuriser le
serveur Communication
Scurit IPSec Scurit IPSec Scurit IPSec
(ncessite la inexistante
scurit)
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 72 / 84
La cl publique : Elle transite sur le segment de rseau non scuris (Internet) et permet au
destinataire de vrifier la signature des donnes transmises.
Lmetteur du certificat est appel autorit de certification. Il signe numriquement les certificats pour
un utilisateur, un ordinateur ou mme un service (IPSec).
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 73 / 84
Les certificats lis la scurit IPSec permettent une entreprise de communiquer avec une autre
organisation approuvant la mme autorit de certification. Il est utilis lorsquune entreprise ncessite
un niveau de scurit suprieur au protocole Kerberos ou mthode par cls pr-partages.
Il reste encore un intrt qui permet dassurer la scurit avec des htes ne faisant pas partie de
lannuaire Active Directory ou ne supportant pas Kerberos.
Les deux autres mthodes permettant dauthentifier deux htes IPSec sont les suivantes :
- Cl pr-partage : une cl pr-partage est une chane de caractres alatoires qui sert de
mot de passe entre deux htes IPSec. Les cls pr-partages noffrent pas le mme niveau
de scurit que le protocole Kerberos ou les certificats car elles sont stockes en texte clair
dans la stratgie IPSec.
Le composant logiciel enfichable Moniteur de scurit IP vous permet dafficher des dtails sur les
stratgies IPSec locales et les stratgies attribues au domaine.
Les informations disponibles sont par exemple, les dtails de la stratgie IPSec active, notamment le
nom, la description, la date de la dernire modification, le magasin, le chemin, lunit dorganisation et
le nom de lobjet Stratgie de groupe. Il y a les filtres avec les filtres gnriques du mode principal et
du mode rapide, les filtres spcifiques, les statistiques et les associations de scurit.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 74 / 84
Un serveur daccs rseau est un serveur excutant le service Routage et accs distant de Microsoft.
Celui-ci permet aux utilisateurs distants (tltravailleurs, par exemple) de sauthentifier, puis de se
connecter au rseau comme sils y taient physiquement connects.
Un client daccs rseau permet un utilisateur dutiliser distance toutes les ressources du rseau
auquel il se connecte.
Dans une infrastructure daccs distant utilisant plusieurs serveurs daccs, luniformisation de
lauthentification des clients ncessite un Service dAuthentification Internet (IAS). Ce service utilise
le protocole RADIUS reconnu par un grand nombre de serveurs daccs, matriels et logiciels.
Active Directory stocke les informations dauthentification dun utilisateur ainsi que les proprits
daccs distance ncessaires son authentification. Une fois authentifi, lutilisateur bnficie des
mmes fonctionnalits quActive Directory offre en environnement de rseau local.
Aprs installation du service Routage et accs distant sur un serveur, lAssistant Installation du serveur
de routage et daccs distant apparat. Les informations suivantes devront tre connues afin de le
remplir correctement :
Un client VPN se connecte au serveur au travers dun rseau public non sr (comme Internet).
Un client daccs distance se connecte au serveur au moyen dun rseau de communication,
tels RTC ou RNIS, pour crer un lien physique un port sur le serveur.
Un client sans fil se connecte sur le serveur en utilisant les technologies infrarouges (IR) ou
radiofrquences (RF).
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 75 / 84
Lauthentification consiste valider des informations fournies par le client lors de la tentative de
connexion (login et mot de passe, par exemple). Ces informations sont transmises par le serveur
daccs un contrleur de domaine pour validation.
PAP
(Password Authentification Protocole utilisant des logins et des mots de passe en clair.
Protocol)
SPAP
Dpendant du constructeur matriel Shiva. Les mots de passe sont
(Shiva Password
protgs par un cryptage rversible.
Authentification Protocol)
CHAP
Aussi connu sous le nom MD5-CHAP, il permet dobtenir un niveau
(Challenge Handshake
de cryptage plus lev.
Authentification Protocol)
MS-CHAP Protocole dauthentification propritaire Microsoft permettant
(Microsoft Challenge dauthentifier les clients utilisant Windows et utilisant le principe de
Handshake CHAP. Il supporte le MPPE qui permet de crypter lensemble des
Authentification Protocol) donnes qui transitent entre le serveur et le client. Tous les OS
Microsoft depuis Windows 95 supportent le MS-CHAP.
MS-CHAP v2
Nouvelle version de MS-CHAP utilisant des cls de cryptage plus
(Microsoft Challenge
robustes ainsi que lauthentification mutuelle. Les ordinateurs sous
Handshake
Windows 95 et antrieur ne supportent pas ce protocole
Authentification Protocol
dauthentification (Windows 98 et ultrieur le supportent)
Version 2)
EAP Le client et le serveur ngocient la mthode dauthentification qui sera
(Extensible utilise. Le protocole MD5-CHAP, TLS et des mthodes propritaires
Authentification Protocol) de fournisseurs tiers peuvent tre utiliss. Ce protocole garantit la prise
en charge des futures mthodes dauthentification.
TLS Est utilis principalement avec des systmes dauthentification laide
(Transport Layer Security) de cartes puce (SmartCard).
PEAP (Protected
Ce protocole est utilis par les rseaux 802.1x afin de scuriser les
Extensible Authentication
connexions cbles et sans fil.
Protocol)
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 76 / 84
Un rseau priv virtuel (VPN) permet un client de se connecter de manire scurise son rseau au
travers dun rseau non scuris (tel Internet). Cette technique mule un mode point point entre les
deux machines et assure la confidentialit des donnes par chiffrement.
Rduction des cots. Le rseau VPN nutilise pas de ligne tlphonique ni RNIS et ncessite
un minimum de matriel.
Scurit accrue. Les donnes sont incomprhensibles pour les utilisateurs non autoriss, mais
les utilisateurs autoriss peuvent y accder grce la connexion.
Prise en charge des protocoles rseau. Vous pouvez utiliser distance une application qui
dpend des protocoles rseau les plus rpandus, dont TCP/IP (Transmission Control
Protocol/Internet Protocol).
Scurit des adresses IP. Les informations envoyes sur un rseau priv virtuel tant chiffres,
les adresses que vous spcifiez sont protges et seule ladresse IP externe est visible depuis
Internet. Aucun frais nest li la modification des adresses IP pour laccs distant sur
Internet.
Le chiffrement de donnes va permettre de protger les donnes en chiffrant lensemble des donnes
qui vont transiter entre le client et le serveur. Lutilisation des protocoles de chiffrement de donnes
est possible uniquement si le protocole dauthentification est MS-CHAP, MS-CHAP v2 ou TLS.
Deux protocoles de cryptage sont disponibles avec Windows 2003 :
MPPE : MPPE permet de protger les donnes sur une connexion PPTP avec 3 niveaux
dencodage (128 bits, 56 bits et 40 bits).
IPSec : IPSec permet de scuriser les transferts du rseau en cryptant directement les
trames IP.
Apres linstallation du service Routage et Accs distant, lAssistant Installation de laccs distant et de
routage vous aide configurer votre serveur VPN. Vous devez connatre les lments suivants avant
de vous lancer :
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 77 / 84
Un accs rseau distance est une connexion temporaire un port physique du serveur daccs, via
des technologies daccs distant, telles RTC, RNIS ou X25.
Pour configurer un serveur daccs distant, vous devez connatre les informations suivantes :
Les clients vont-ils recevoir leur adresse IP grce un serveur DHCP ou grce au serveur
VPN ?
Les clients vont-ils tre authentifis par un serveur RADIUS ou par le serveur VPN ?
Vrifier que tous les utilisateurs disposent dun compte configur pour autoriser laccs
distance.
Les rseaux sans fil permettent plusieurs priphriques de communiquer entre eux sans connectivit
physique, au moyen dondes lectromagntiques. Ces rseaux sont particulirement intressants pour
crer des rseaux temporaires, publics ou dans des locaux o installer une connectivit filaire serait
trop onreuse ou encombrante.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 78 / 84
Un rseau sans fil (WLAN) peut fonctionner selon deux modes diffrents, dfinis par la norme IEEE
802.11x :
Infrastructure. Les clients peuvent communiquer entre eux, ainsi quavec un rseau filaire,
disponible au travers dun point daccs WLAN.
Ad Hoc. Les clients peuvent uniquement communiquer entre eux, sans connectivit filaire.
La norme IEEE originale concernant les rseaux WLAN, est la 802.11 (aussi connue sous le nom de
Wi-Fi). Elle dfinit la couche physique (frquences de fonctionnement, types de modulation) ainsi que
la sous-couche MAC du modle OSI.
La norme IEEE 802.11b permet des dbits plus levs que la norme originale (5,5 et 11 Mbit/s). Elle
admet une porte apprciable, mais est sensible aux interfrences. Cest actuellement la norme la plus
rpandue, car la meilleure march.
La norme IEEE 802.11a permet, au prix dune rduction de la porte, daugmenter le dbit maximum
dun WLAN 54Mbit/s. Ce standard a linconvnient de ne pas tre compatible avec les autres
normes IEEE 802.11, car oprant dans une bande de frquences diffrente.
La norme IEEE 802.11g cumule les avantages du 802.11b et du 802.11a : il autorise des dbits allant
jusqu 54 Mbit/s, tout en tant compatible avec le 802.11b et en tant moins sensible aux
interfrences.
La norme IEEE 802.1x dfinit des protocoles dauthentification pour laccs la connectivit sans fil.
Cette norme a t dveloppe dans le but daugmenter la scurit des rseaux WLAN, mais peut tre
implmente sur les rseaux filaires.
Le standard 802.11 dfinit la confidentialit des donnes utilisateur sous le terme de Wired
Equivalent Privacy (WEP). Il rgit le type de chiffrement des donnes mais pas la manire dont les
cls sont changes. 802.1x apporte une rponse cette lacune.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 79 / 84
Windows XP a introduit le service de Configuration Automatique Sans Fil. Ce service inclus dans
Windows 2003 permet lutilisateur de pr-configurer ses rseaux sans fil prfrs sous forme de
liste. Si plusieurs rseaux sans fil sont disponibles, cest le premier apparatre dans la liste qui sera
choisi (une cl WEP peut tre paramtre lavance). Si aucun des rseaux disponibles ne figure dans
la liste, lutilisateur en est inform et peut choisir parmi les rseaux sa disposition.
Dans la version Windows 2003 Server, les autorisations de connexion daccs distant sont
dpendantes des stratgies daccs distant. Le service Routage et accs distant et le service
dauthentification Internet y ont recours pour accepter ou refuser les tentatives de connexion. Les
stratgies daccs distant regroupent plusieurs proprits ncessaires lexamen dune tentative de
connexion pour son acceptation ou son refus.
Des autorisations dappel entrant sont disponibles dans la boite de dialogue Proprits dun
utilisateur dans la console Active Directory ou Utilisateurs et groupes locaux . Les proprits
sont les suivantes :
Autorisation daccs distant (Accs distance ou VPN). Cette proprit autorise ou refuse
expressment laccs distant lutilisateur. Cette autorisation peut galement dpendre du fait
quil y ait des rgles de stratgie daccs distant.
Vrifier lidentit de lappelant. Cette proprit vrifie le numro de tlphone de lappelant,
dans le cas dune connexion par modem. Si le numro rel et le numro inscrit dans cette
proprit diffrent, la connexion choue.
Options de rappel (callback). Cette proprit permet un serveur daccs de rappeler le
client ( un numro configur par ladministrateur, ou le client). Fonctionnalit utile pour les
utilisateurs itinrants ayant des besoins de connexions leur structure.
Attribution dune adresse IP statique. Permet dattribuer une adresse IP statique
lutilisateur ds ltablissement de la connexion.
Appliquer les itinraires statiques. Permet le routage la demande. Une route configure ici
sera ajoute la table de routage du serveur une fois le client connect.
Une stratgie daccs distant est un ensemble de rgles dfinissant les paramtres respecter pour
quun utilisateur dsign ou membre dun groupe dsign puisse tablir une connexion daccs
distance. Chaque rgle contient une ou plusieurs conditions, une autorisation daccs distant, et un
profil :
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 80 / 84
Le profil de stratgie daccs distant est un ensemble de paramtres appliquer une connexion, une
fois que celle-ci a t accepte.
Contraintes pour les appels entrants. Dfinissent le dlai dattente avant dconnexion, la
dure maximum de la session, les jours, les heures, les numros de tlphone et les types de
supports (RNIS, VPN, etc.) autoriss.
Proprits IP. Configurent lattribution dadresses IP statiques et le filtrage des paquets
TCP/IP. Vous pouvez dfinir des filtres distincts pour les paquets entrants ou sortants.
Liaisons multiples. Permet dagrger plusieurs liaisons physiques sous forme dune seule
liaison logique.
Authentification. Dfinit les protocoles dauthentification utiliser parmi les protocoles
supports par Windows 2003. MS-CHAP et MS-CHAP v2 sont activs par dfaut.
Cryptage. Dtermine les chiffrements requis, permis ou interdits.
Paramtres avancs. Permet dindiquer des paramtres supplmentaires passer au serveur
RADIUS.
Le processus mis en uvre pour accepter les connexions distance commence par la comparaison des
conditions de la stratgie daccs distance avec celle de la tentative de connexion courante. La
premire stratgie dont les conditions correspondent est utilise pour dterminer laccs.
Si aucune stratgie ne correspond, laccs est refus.
Ensuite, le serveur vrifie si lutilisateur est, de manire explicite, autoris ou non se connecter (ce
paramtre se trouve dans son compte utilisateur) ou si cette tche est laisse lapprciation de la
stratgie daccs distant.
Enfin, le service Routage et accs distant applique le profil de la stratgie la connexion entrante.
RADIUS (Remote Authentication Dial-In User Service) est un protocole trs rpandu destin
lauthentification, lautorisation et la comptabilisation centralise de laccs rseau. Il repose sur le
modle client/serveur et peut valider des connexions daccs distance, VPN ou sans fil.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 81 / 84
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 82 / 84
Parfois, il est invitable de devoir arrter le serveur daccs distant. Pour cela, il faut respecter les
points suivant pour minimiser limpact de cet arrt :
Un serveur excutant le service routage et accs distant prend en charge trois types denregistrements :
Ce type de processus enregistre les informations dtailles sur les requtes de connexion au service
daccs distant. Ce type dinformation est utile pour :
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 83 / 84
- PPP : journal PPP, recense les informations lies au fonctionnement PPP (srie de
fonctions et messages de contrle)
- L2TP/IPSec :
Pour maintenir un niveau correct de fonctionnement, il est ncessaire danalyser les performances du
systme en valuant la charge de travail sur le serveur et en observant ces changements et ces
tendances. Cette collecte dinformations apporte un support pour prvoir les futures volutions, permet
danticiper des dfaillances et fait ressortir les diffrences lors de modifications de configurations ou
de rglages.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
Implmentation dune infrastructure rseau Microsoft Windows 2003 84 / 84
Windows Server 2003 inclut les outils permettant la collecte de ses donnes afin de prvoir et
identifier les problmes lis aux accs rseaux.
Moniteur systme
Cet outil permet dafficher les donnes des performances des composants slectionns en temps rel.
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs