Implementer Administrer 2003 PDF

Essentiel Windows 2003
IMPLEMENTATION, ADMINISTRATION
ET MAINTENANCE DUNE
INFRASTRUCTURE RESEAU
MICROSOFT WINDOWS 2003
!"
#$% & ' (%%)
Ecole Suprieure dInformatique de Paris

23. rue Chteau Landon 75010 PARIS
www.supinfo.com
Implmentation dune infrastructure rseau Microsoft Windows 2003 2 / 84
. 2 3
1. CONFIGURATION DU ROUTAGE A LAIDE DU SERVICE ROUTAGE ET ACCES DISTANT..7
1.1. ACTIVATION ET CONFIGURATION DU SERVICE ROUTAGE ET ACCES DISTANT ............................................7
1.1.1. Que sont les routeurs ? .....................................................................................................................7
1.1.2. Que sont les interfaces de routage ? .................................................................................................7
1.1.3. Que sont les protocoles de routage ? ................................................................................................8
1.1.4. Que sont les tables de routage ..........................................................................................................8
1.1.5. Pourquoi utiliser le service Routage et accs distant de Windows Server 2003 ?............................9
1.2. CONFIGURATION DES FILTRES DE PAQUETS ...............................................................................................9
1.2.1. Quest-ce que le filtrage des paquets ? .............................................................................................9
1.2.2. Comment les filtres de paquets sont-ils appliqus ? .......................................................................10
2. ATTRIBUTION AUTOMATIQUE DADRESSES IP A LAIDE DU PROTOCOLE DHCP ............11
2.1. POURQUOI UTILISER LE PROTOCOLE DHCP ?..........................................................................................11
2.2. COMMENT LE PROTOCOLE DHCP ALLOUE DES ADRESSES IP ..................................................................11
2.2.1. Comment fonctionne le processus de cration dun bail DHCP.....................................................11
2.2.2. Comment fonctionne le processus de renouvellement dun bail DHCP..........................................12
2.3. COMMENT UN SERVICE SERVEUR DHCP EST AUTORISE .........................................................................13
2.4. CONFIGURATION DUNE ETENDUE DHCP ...............................................................................................13
2.4.1. Que sont les tendues DHCP ? .......................................................................................................13
2.5. CONFIGURATION DUNE RESERVATION DHCP........................................................................................14
2.5.1. Quest-ce quune rservation DHCP ? ...........................................................................................14
2.6. CONFIGURATION DES OPTIONS DHCP.....................................................................................................14
2.6.1. Que sont les options DHCP ? .........................................................................................................14
2.6.2. Comment sont appliques les options au niveau du serveur DHCP, de ltendue et du client
rserv 15
2.6.3. Comment sont appliques les options au niveau de la classe DHCP .............................................15
2.7. CONFIGURATION DUN AGENT DE RELAIS DHCP ....................................................................................16
2.7.1. Quest-ce quun agent de relais DHCP ? .......................................................................................16
2.7.2. Comment fonctionne un agent de relais DHCP ..............................................................................16
2.7.3. Comment un agent de relais DHCP utilise le nombre de tronons.................................................16
2.7.4. Comment un agent de relais DHCP utilise le seuil de dmarrage..................................................16
3. GESTION ET ANALYSE DU SERVICE DHCP.....................................................................................18
3.1. GESTION DUNE BASE DE DONNEES DHCP .............................................................................................18
3.1.1. Vue densemble de la gestion du service DHCP .............................................................................18
3.1.2. Quest-ce quune base de donnes DHCP ? ...................................................................................18
3.1.3. Modalits de sauvegarde et de restauration dune base de donnes DHCP ..................................18
3.1.4. Comment sauvegarder et restaurer une base de donnes DHCP ...................................................19
3.1.5. Modalits de rconciliation dune base de donnes DHCP............................................................19
3.1.6. Comment rconcilier une base de donnes DHCP .........................................................................19
3.2. ANALYSE DU SERVICE DHCP .................................................................................................................20
3.2.1. Vue densemble de lanalyse du service DHCP ..............................................................................20
3.2.2. Prsentation des statistiques DHCP ...............................................................................................20
3.2.3. Quest-ce quun fichier journal daudit DHCP ? ...........................................................................20
3.2.4. Fonctionnement de lenregistrement daudit DHCP ......................................................................21
3.2.5. Instructions pour analyser les performances de serveur DHCP.....................................................22
* + ,,---$ . / 0 $ 1
Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
3.2.6. Compteurs de performance communment utiliss pour analyser les performances de serveur
DHCP 22
3.2.7. Instructions pour crer des alertes pour un serveur DHCP ...........................................................23
3.3. APPLICATION DES INSTRUCTIONS DE SECURITE POUR LE SERVICE DHCP ...............................................24
3.3.1. Instructions pour empcher un utilisateur non autoris dobtenir un bail .....................................24
3.3.2. Instructions pour empcher les serveurs DHCP non autoriss, non-Microsoft, de louer des
adresses IP 24
3.3.3. Instructions pour limiter le cercle des personnes autorises administrer le service DHCP........24
3.3.4. Instructions pour scuriser la base de donnes DHCP...................................................................24
4. RESOLUTION DE NOMS.........................................................................................................................24
4.1. AFFICHAGE DE NOMS SUR UN CLIENT ......................................................................................................24
4.1.1. Comment les noms sont mapps des adresses IP .........................................................................24
4.1.2. Que sont les noms dhtes ?............................................................................................................24
4.1.3. Que sont les noms NetBIOS ? .........................................................................................................24
4.1.4. Comment afficher les noms sur un client ........................................................................................24
4.2. CONFIGURATION DE LA RESOLUTION DE NOMS DHOTES ........................................................................24
4.2.1. Processus de rsolution de noms dhtes........................................................................................24
4.2.2. Cache de rsolution client...............................................................................................................24
4.2.3. Fichier Hosts...................................................................................................................................24
4.3. CONFIGURATION DE LA RESOLUTION DE NOMS NETBIOS.......................................................................24
4.3.1. Processus de rsolution de noms NetBIOS .....................................................................................24
4.3.2. Cache de noms NetBIOS .................................................................................................................24
4.3.3. Comment afficher et librer le cache de noms NetBIOS.................................................................24
4.3.4. Diffusions ........................................................................................................................................24
4.3.5. Fichier Lmhosts ..............................................................................................................................24
5. RESOLUTION DE NOMS DHOTES A LAIDE DU SYSTEMES DNS .............................................24
5.1. INSTALLATION DU SERVICE SERVEUR DNS.............................................................................................24
5.1.1. Vue densemble du systme DNS ....................................................................................................24
5.1.2. Quest-ce quun espace de noms de domaines ?.............................................................................24
5.1.3. Convention dappellation standard DNS ........................................................................................24
5.1.4. Comment installer le service Serveur DNS ? ..................................................................................24
CONFIGURATION DES PROPRIETES DU SERVICE SERVEUR DNS..........................................................................24
5.1.5. Quels sont les composants dune solution DNS ? ...........................................................................24
5.1.6. Quest-ce quune requte DNS ?.....................................................................................................24
5.1.7. Fonctionnement des requtes rcursives.........................................................................................24
5.1.8. Fonctionnement des indications de racine......................................................................................24
5.1.9. Fonctionnement des requtes itratives ..........................................................................................24
5.1.10. Fonctionnement des redirecteurs ....................................................................................................24
5.1.11. Fonctionnement de la mise en cache du serveur DNS ....................................................................24
5.2. CONFIGURATION DES ZONES DNS ..........................................................................................................24
5.2.1. Stockage et maintenance des donnes DNS ....................................................................................24
5.2.2. Que sont les enregistrements de ressources et les types denregistrements ?.................................24
5.2.3. Quest-ce quune zone DNS ? .........................................................................................................24
5.2.4. Quels sont les types de zones DNS ? ...............................................................................................24
5.2.5. Comment modifier un type de zone DNS.........................................................................................24
5.2.6. Que sont les zones de recherche directe et inverse ? ....................................................................24
5.3. CONFIGURATION DES TRANSFERTS DE ZONE DNS ..................................................................................24
5.3.1. Fonctionnement des transferts de zone DNS...................................................................................24
5.3.2. Fonctionnement de DNS Notify.......................................................................................................24
5.4. CONFIGURATION DES MISES A JOUR DYNAMIQUES DNS .........................................................................24
* + ,,---$ . / 0 $ 1
5.4.1. Que sont les mises jour dynamiques ? .........................................................................................24

5.4.2. Comment les clients DNS inscrivent et mettent jour de manire dynamique leurs
enregistrements de ressources ?...........................................................................................................................24
5.4.3. Comment configurer des mises jour DNS manuelles et dynamiques ? ........................................24
5.4.4. Quest-ce quune zone DNS intgre Active Directory ? .............................................................24
5.4.5. Utilisation des mises jour dynamiques scurises par les zones DNS intgres Active
Directory 24
5.5. CONFIGURATION DUN CLIENT DNS .......................................................................................................24
5.5.1. Fonctionnement des serveurs DNS prfrs et auxiliaires..............................................................24
5.5.2. Application des suffixes...................................................................................................................24
5.6. DELEGATION DAUTORITE POUR LES ZONES ............................................................................................24
5.6.1. Quest-ce que la dlgation dune zone DNS ?...............................................................................24
6. GESTION ET ANALYSE DU SYSTEME DNS.......................................................................................24
6.1. CONFIGURATION DE LA DUREE DE VIE ....................................................................................................24
6.1.1. Fonctionnement de la valeur de dure de vie (TTL) .......................................................................24
6.1.2. Comment configurer la valeur de dure de vie ? ............................................................................24
6.2. CONFIGURATION DES PARAMETRES DE VIEILLISSEMENT ET DE NETTOYAGE ...........................................24
6.2.1. Dfinition des paramtres de vieillissement et de nettoyage...........................................................24
6.2.2. Fonctionnement du vieillissement et du nettoyage..........................................................................24
6.3. INTEGRATION DU SYSTEME DNS ET DU SERVICE WINS .........................................................................24
6.3.1. Comment intgrer le systme DNS et le service WINS ?.................................................................24
6.4. TEST DE LA CONFIGURATION DU SERVEUR DNS .....................................................................................24
6.4.1. Fonctionnement des requtes simples et rcursives........................................................................24
6.4.2. Comment tester la configuration du serveur DNS ? .......................................................................24
6.5. VERIFICATION DE LA PRESENCE DUN ENREGISTREMENT DE RESSOURCE A LAIDE DE
NSLOOKUP, DE DNSCMD ET DE DNSLINT ........................................................................................................24
6.5.1. Pourquoi vrifier sil existe un enregistrement de ressource ?.......................................................24
6.5.2. Nslookup .........................................................................................................................................24
6.5.3. DNSCmd .........................................................................................................................................24
6.5.4. DNSLint ..........................................................................................................................................24
6.5.5. Comment vrifier la prsence dun enregistrement de ressource laide de Nslookup, de
DNSCmd et de DNSLint ? ....................................................................................................................................24
6.6. ANALYSE DES PERFORMANCES DU SERVEUR DNS ..................................................................................24
6.6.1. Principes danalyse des performances du serveur DNS laide de la console de performances...24
6.6.2. Quest-ce quun journal des vnements DNS ? .............................................................................24
6.6.3. Quest-ce que lenregistrement de dboguage DNS ? ....................................................................24
7. RESOLUTION DE NOMS NETBIOS A LAIDE DU SERVICE WINS ..............................................24
7.1. INSTALLATION ET CONFIGURATION DUN SERVEUR WINS .....................................................................24
7.1.1. Composants du service WINS .........................................................................................................24
7.1.2. Prsentation dun type de nud NetBIOS.......................................................................................24
7.1.3. Comment un client WINS inscrit et libre des noms NetBIOS ? .....................................................24
7.1.4. Fonctionnement de la prise en charge du traitement en rafale.......................................................24
7.1.5. Comment un serveur WINS rsout les noms NetBIOS ? .................................................................24
7.1.6. Comment installer le service WINS ?..............................................................................................24
7.1.7. Comment configurer la prise en charge du traitement en rafale ? .................................................24
7.2. GESTION DES ENREGISTREMENTS DANS LE SERVEUR WINS ...................................................................24
7.2.1. Prsentation dun enregistrement client .........................................................................................24
7.2.2. Prsentation dun mappage statique...............................................................................................24
7.2.3. Comment ajouter une entre de mappage statique ? ......................................................................24
* + ,,---$ . / 0 $ 1
7.2.4. Mthodes de filtrage et daffichage des enregistrements du service WINS.....................................24

7.2.5. Comment filtrer les enregistrements WINS ? ..................................................................................24
7.3. CONFIGURATION DE LA REPLICATION WINS ..........................................................................................24
7.3.1. Fonctionnement de la rplication WINS .........................................................................................24
7.3.2. Fonctionnement de la rplication par mission ..............................................................................24
7.3.3. Fonctionnement de la rplication par rception.............................................................................24
7.3.4. Prsentation de la rplication par mission/rception ...................................................................24
7.3.5. Proprits des partenaires de rplication WINS.............................................................................24
7.3.6. Comment configurer la rplication WINS ?....................................................................................24
7.4. GESTION DE LA BASE DE DONNEES WINS...............................................................................................24
7.4.1. Pourquoi sauvegarder une base de donnes WINS ?......................................................................24
7.4.2. Comment sauvegarder et restaurer une base de donnes WINS ?..................................................24
7.4.3. Prsentation de la suppression simple et de la dsactivation denregistrements............................24
7.4.4. Comment supprimer un enregistrement WINS ?.............................................................................24
7.4.5. Prsentation du compactage dynamique et du compactage hors connexion ..................................24
7.4.6. Comment compacter une base de donnes WINS ? ........................................................................24
7.4.7. Comment fonctionne le nettoyage ? ................................................................................................24
7.4.8. Comment nettoyer la base de donnes WINS ?...............................................................................24
7.4.9. Prsentation de la vrification de la cohrence dune base de donnes WINS...............................24
7.4.10. Comment vrifier la cohrence dune base de donnes WINS ?.....................................................24
7.4.11. Instructions concernant le retrait dun serveur WINS ....................................................................24
7.4.12. Comment dsinstaller un serveur WINS dune infrastructure rseau ? ..........................................24
8. PROTECTION DU TRAFIC RESEAU A LAIDE DE LA SECURITE IPSEC ET DE
CERTIFICATS ......................................................................................................................................................24
8.1. IMPLEMENTATION DE LA SECURITE IPSEC ..............................................................................................24
8.1.1. Quest-ce que la scurit IPSec ? ...................................................................................................24
8.1.2. De quelle manire la scurit IPSec protge-t-elle le trafic ? ........................................................24
8.1.3. Quest-ce quune stratgie de scurit IPSec ?...............................................................................24
8.1.4. Fonctionnement conjoint des stratgies IPSec................................................................................24
8.2. IMPLEMENTATION DE LA SECURITE IPSEC AVEC DES CERTIFICATS .........................................................24
8.2.1. Quest-ce quun certificat ? ............................................................................................................24
8.2.2. Utilisations courantes des certificats ..............................................................................................24
8.2.3. Pourquoi utiliser des certificats avec la scurit IPSec pour protger le trafic rseau ?...............24
8.3. ANALYSE DE LA SECURITE IPSEC............................................................................................................24
8.3.1. Moniteur de scurit IP...................................................................................................................24
8.3.2. Comment arrter et dmarrer les services IPSec ?.........................................................................24
9. CONFIGURATION DE LACCES RESEAU ..........................................................................................24
9.1. INTRODUCTION A LINFRASTRUCTURE DACCES RESEAU ........................................................................24
9.1.1. Composants dune infrastructure daccs rseau ...........................................................................24
9.1.2. Configuration requise pour un serveur daccs rseau ..................................................................24
9.1.3. Quest-ce quun client daccs rseau ? .........................................................................................24
9.1.4. Quentend-on par autorisation et authentification de laccs rseau ? ..........................................24
9.1.5. Mthodes dauthentification disponibles ........................................................................................24
9.2. CONFIGURATION DUNE CONNEXION VPN..............................................................................................24
9.2.1. Fonctionnement dune connexion VPN...........................................................................................24
9.2.2. Protocoles de cryptage pour une connexion VPN...........................................................................24
9.2.3. Configuration requise pour un serveur VPN ..................................................................................24
9.3. CONFIGURATION DUNE CONNEXION DACCES A DISTANCE ....................................................................24
9.3.1. Comment fonctionne laccs rseau distance ? ...........................................................................24
9.3.2. Configuration requise pour un serveur daccs distant ..................................................................24
* + ,,---$ . / 0 $ 1
9.4. CONFIGURATION DUNE CONNEXION SANS FIL ........................................................................................24

9.4.1. Vue densemble de laccs rseau sans fil ......................................................................................24
9.4.2. Normes sans fil................................................................................................................................24
9.4.3. Mthodes dauthentification disponibles pour les rseaux sans fil.................................................24
9.4.4. Configuration requise pour un client Windows XP Professionnel en vue dun accs rseau sans
fil 24
9.5. CONTROLE DE LACCES UTILISATEUR AU RESEAU ...................................................................................24
9.5.1. Autorisations dappel entrant du compte de lutilisateur................................................................24
9.5.2. Quest-ce quune stratgie daccs distant ? ..................................................................................24
9.5.3. Quest-ce quun profil de stratgie daccs distant ? .....................................................................24
9.5.4. Traitement des stratgies daccs distant .......................................................................................24
9.6. CENTRALISATION DE LAUTHENTIFICATION DE LACCES RESEAU ET DE LA GESTION DES
STRATEGIES EN UTILISANT IAS..........................................................................................................................24
9.6.1. Que signifie RADIUS ? ...................................................................................................................24

9.6.2. Que signifie IAS ? ...........................................................................................................................24
9.6.3. Fonctionnement de lauthentification centralise...........................................................................24
10.GESTION ET ANALYSE DE LACCES RESEAU ................................................................................24
10.1. GESTION DES SERVICES DACCES RESEAU ...............................................................................................24
10.1.1. Instructions relatives la gestion des services daccs rseau.......................................................24
10.2. CONFIGURATION DE LENREGISTREMENT SUR UN SERVEUR DACCES RESEAU ........................................24
10.2.1. Types denregistrements du service Routage et accs distant.........................................................24
10.2.2. Enregistrement de lauthentification et de la gestion des comptes .................................................24
10.2.3. Fichiers journaux pour des connexions spcifiques........................................................................24
10.3. COLLECTE ET ANALYSE DES DONNEES DACCES RESEAU ........................................................................24
10.3.1. Pourquoi collecter des donnes de performance ? .........................................................................24
10.3.2. Outils de collecte des donnes daccs rseau................................................................................24
* + ,,---$ . / 0 $ 1
1. Configuration du routage laide du

service Routage et accs distant
1.1. Activation et configuration du service Routage et

accs distant
La partie suivante vous prsente les diffrentes entits du routage et accs distant dans un
environnement Microsoft Windows.
1.1.1. Que sont les routeurs ?
Les routeurs sont des dispositifs rseau de couche 3 (couche rseau) du modle OSI (Open Systems
Interconnection) permettant dune part linterconnexion de rseaux LAN et WAN, d' autre part un
routeur peut galement permettre de faire de la segmentation de rseau entre plusieurs domaines de
diffusion (broadcast), ce qui permet de prserver la bande passante.
Il existe dautres dispositifs rseaux :
Le concentrateur (hub), couche 1 (couche physique)

Le commutateur (switch), couche 2 (couche liaison de donnes)
Le routeur, couche 3 (couche rseau)
En rgle gnrale, les routeurs sont diviss en deux catgories :

Le routeur matriel : Dispositif physique exclusivement ddi au routage au sein
dun rseau.
Le routeur logiciel : Logiciel permettant le routage dans un rseau, install sur un
ordinateur et pouvant exerc dautres tches. Exemple, Windows 2003 Server qui en
plus du service de routage peut aussi bien effectuer un partage de fichiers et/ou
dimprimantes.
Une solution de routage consiste en trois composants principaux :

Interface de routage : interface logique ou physique permettant lacheminement des paquets
(Exemple : la carte rseau).
Tables de routage : Table indiquant le chemin prendre pour atteindre le rseau souhait.
Protocole de routage : Rgle de communication entre les routeurs pour changer les
informations contenues dans leur table de routage afin de dterminer le meilleur chemin.
1.1.2. Que sont les interfaces de routage ?
Comme dit prcdemment, linterface de routage permet dacheminer les paquets. Par exemple,
Windows Server 2003 achemine des paquets IP.
Il existe deux types dinterfaces de routage :

Interface de rseau local (LAN, Local Aera Network) : Gnralement les dispositifs de ce
type sont des cartes rseau LAN mme si une carte rseau tendue (WAN, Wide Aera
Network) peut servir dinterface.
* + ,,---$ . / 0 $ 1
Interface de numrotation la demande : Il sagit de connexions point point qui

ncessitent une authentification pour tre tablies. Dans la plupart des cas, il sagit de
connexions laide de modem ou de rseau VPN entre routeur. Pour rappel, un rseau VPN
est lextension dun rseau priv par le biais dun rseau public ou partag.
1.1.3. Que sont les protocoles de routage ?
Un protocole de routage supporte des protocoles routs pour fournir des mcanismes de partages
dinformations de routage afin de permettre aux routeurs de communiquer entre eux pour mettre jour
et grer leur table de routage.
Dans le cas o aucun protocole de routage nest configur, le service de routage et daccs distant
procdera au routage uniquement sur les rseaux auxquels il est physiquement connect et ceux
renseigns statiquement dans la table de routage par ladministrateur.
Le service de routage et daccs distant de Windows Server 2003 supporte 2 protocoles de routages :
RIP (Routing Information Protocol) : Utilis dans les petites et moyennes infrastructures, il
sagit dun protocole vecteur de distance qui crer dynamiquement sa table de routage puis
change ces informations avec les autres routeurs connects ces interfaces. Cette opration
se droule priodiquement afin datteindre la convergence du rseau. Ce protocole reste le
plus simple configurer.
OSPF (Open Shortest Path First) : Utilis pour de plus grandes infrastructures que RIP,
lOSPF est un protocole tat de liens. Il forme une carte partir de la configuration du
rseau. Cette carte permet au routeur de calculer le plus court chemin parcourir.
1.1.4. Que sont les tables de routage
Une table de routage recense les informations sur lemplacement des ID rseaux au sein du rseau. Le
but de la table de routage est de dterminer le chemin le plus court suivant lalgorithme utilis par le
routeur.
Dans une table de routage, il existe trois types dentres :
Itinraire rseau : Cest le chemin indiquant linterface rseau utiliser pour parvenir un
autre rseau.
Itinraire hte : Chemin personnalis vers un hte (poste, serveur ou autre dispositif
administrable distance) permettant de contrler et optimiser le trafic rseau.
Itinraire par dfaut : Cet itinraire est emprunt chaque fois quaucune information vers
la destination nest disponible. Tout paquet ne trouvant pas son chemin empruntera cette
route.
* + ,,---$ . / 0 $ 1
Les entres dune table de routage comportent plusieurs informations :
Destination rseau : Adresse IP du rseau (bit des htes 0) ou dun client qui reprsente la
destination rseau de litinraire enregistr. La destination 0.0.0.0 reprsente litinraire par
dfaut.
Masque rseau : Reprsente le masque de sous-rseau utilis sur le rseau de destination. Le
masque 255.255.255.255 est rserv pour les enregistrements dun hte.
Adresse Passerelle : Indique ladresse de llment intermdiaire le plus proche permettant
datteindre la destination et de changer de sous-rseau par exemple.
Adresse Interface : Adresse de linterface par laquelle les paquets vont tre envoys.
Mtrique : Elments de mesure permettant de dterminer litinraire prfr.
1.1.5. Pourquoi utiliser le service Routage et accs distant de Windows

Server 2003 ?
Le service routage et daccs distant permet deffectuer plusieurs tches :

Segmentation de rseaux LAN et WAN
Accs distant par lintermdiaire de la numrotation la demande.
Accs au rseau LAN priv par lintermdiaire de tunnels crypts (VPN) en passant par un
rseau public ou partag
La console de ce service sur Windows Server 2003 permet dafficher tous les serveurs routeurs
Windows Server 2003 et les serveurs daccs distant sur votre rseau. De plus, le service est extensible
grce des API (Application Programming Interface) afin de personnaliser votre gestion de rseau.
1.2. Configuration des filtres de paquets
1.2.1. Quest-ce que le filtrage des paquets ?
Le filtrage des paquets spcifie le type de trafic circulant en entre et en sortie en empchant certains
types de paquets dtre envoys ou reus par lintermdiaire du routeur. Cest justement par
lintermdiaire dun filtre de paquets (Paramtre de configuration TCP/IP) que le routeur autorise ou
non des paquets entrants ou sortants.
* + ,,---$ . / 0 $ 1
Avec lutilisation du service routage et accs distant, il est possible daffecter des filtres de paquets par
interface et les configurer comme suit :
faire passer tout le trafic lexception des paquets interdits par les filtres
ignorer tout le trafic lexception des paquets autoriss par les filtres.
Il existe plusieurs utilits lutilisation de filtres de paquets :
Interdire laccs aux utilisateurs non autoriss

Interdire laccs une ressource
Filtrer le trafic dune liaison lente pour le rediriger sur une plus rapide.
1.2.2. Comment les filtres de paquets sont-ils appliqus ?
Un mme filtre peut englober plusieurs paramtres comme le rseau dorigine, le rseau de destination
et le protocole utilis. Ensuite ce filtre peut autoriser ou non le trafic en entre ou en sortie sur une
interface.
Dans le cas dun filtre plusieurs paramtres, ils seront tous examins les uns aprs les autres pour
dterminer le devenir d'un paquet.
tant donn que vous pouvez dfinir des filtres dentre et de sortie pour chaque interface, il est
possible de crer des filtres contradictoires. Lorsque plusieurs filtres sont configurs, les filtres
distincts appliqus aux paquets entrants ou sortants sont compars en utilisant un OU logique.
Lapplication des filtres de paquets seffectue dans cet ordre :
Comparaison des paquets (entrants ou sortants) avec les filtres

Si les paramtres correspondent, le filtrage (accepter ou refuser) est effectu.
Si les paramtres ne correspondent pas en totalit, le paquet est compar au prochain filtre
Si aucun filtre de paquets nest configur mais que le routeur est configur avec un filtre
dexclusion, le paquet pourra alors traverser le routeur, au contraire si le routeur est configur
avec filtre dinclusion, le paquet est alors rejet.
* + ,,---$ . / 0 $ 1
2. Attribution automatique dadresses

IP laide du protocole DHCP
2.1. Pourquoi utiliser le protocole DHCP ?

Le serveur DHCP permet dallger la charge administrative. Les ordinateurs du rseau ont toujours
une adresse IP correcte et des informations de configuration correctes. Cette technologie permet de
limiter les tches administratives raliser sur les clients au niveau de la configuration rseau.
2.2. Comment le protocole DHCP alloue des adresses

IP
Un serveur DHCP permet de grer lallocation dadresses IP automatiques partir dun point
centralis. Un serveur DHCP affecte un bail DHCP aux clients, ce bail contient tous les paramtres
rseau appliquer.
Un bail est la dure pendant laquelle le client pourra utiliser la configuration attribue.
Le serveur DHCP gre lattribution et le renouvellement du bail. Ces fonctions se nomment, processus
de cration dun bail DHCP et processus de renouvellement dun bail DHCP.
2.2.1. Comment fonctionne le processus de cration dun bail DHCP
Lorsque vous allumez votre ordinateur pour la premire fois, il fait une demande de bail IP en
diffusant le message DHCPDISCOVER laide dune version limite du protocole TCP/IP.
Tous les serveurs DHCP qui disposent dune adresse IP valide pour le segment rpondent avec un
message DHCPOFFER contenant ladresse matrielle du client, ladresse IP propose, un masque de
sous rseau, la dure du bail et ladresse IP du serveur DHCP.
Ladresse IP propose est rserve par le serveur, pour viter de la proposer un autre client durant le
laps de temps qui spare la proposition de la rservation par le client.
Si le client ne reoit pas de rponse dun serveur DHCP, il renvoie un DHCPDISCOVER au bout de
2 puis 4, 8, 16 secondes laquelle on ajoute une dure alatoire ente 0 et 1000 ms.
Si le client na pas obtenu de rponse, il utilise une adresse IP comprise dans la plage dadresses
169.254.0.1 et 169.254.255.254 (APIPA). Le client continue de rechercher un serveur DHCP toutes
les 5 minutes.
Lorsque le client reoit une offre dadresse IP, il rpond la premire quil reoit en diffusant un
message DHCPREQUEST pour laccepter. Toutes les adresses IP proposes par les autres serveurs
DHCP sont alors libres.
Le serveur DHCP qui a mis loffre accepte envoie un accus de rception DHCPACK. Ce message
contient le bail ainsi que les informations de configuration.
Lorsque le client DHCP reoit laccus de rception, il initialise le protocole TCP/IP.
* + ,,---$ . / 0 $ 1
2.2.2. Comment fonctionne le processus de renouvellement dun bail

DHCP
Un client DHCP tente automatiquement de renouveler son bail 50% de sa dure. Pour cela, il envoie
un message DHCPREQUEST au serveur DHCP qui lui a fourni son bail. Le serveur DHCP lui
retourne un DHCPACK contenant la dure du nouveau bail ainsi que les paramtres de configuration
mis jour.
Si le serveur DHCP nest pas prsent, il ressaiera 75% de la dure du bail puis 87,5% ; sil na
pas reu de rponse 87,5% alors il enverra un message DHCPDISCOVER auprs de tous les
serveurs DHCP. Sil reoit un DHCPOFFER pour mettre jour son bail en cours, alors il effectuera le
renouvellement auprs de ce serveur DHCP compter de ce moment.
Si le bail expire, alors le client cesse immdiatement dutiliser ladresse IP et recommencera toute la
procdure dattribution
* + ,,---$ . / 0 $ 1
Lorsque vous dmarrez un ordinateur qui dispose dun bail toujours valide, il commence par tenter le
renouvellement de bail.
Si un client demande le renouvellement dun bail non valide (machine dplace) ou en double, le
serveur DHCP rpond par un DHCPNAK, le client est alors contraint dobtenir une nouvelle adresse
IP.
Il est possible de demander le renouvellement du bail manuellement laide de la commande

ipconfig /renew.
Il est aussi possible de forcer labandon dun bail avec la commande

ipconfig /release.
Le message DHCPRELEASE sera envoy au serveur DHCP et le protocole TCP/IP sera stopp.
2.3. Comment un service Serveur DHCP est autoris

Sur un rseau avec un domaine Windows 2000/2003, vous devez autoriser le serveur DHCP, sinon,
celui-ci ne rpondra pas aux clients.
Un serveur DHCP, pendant son initialisation, diffuse le message DHCPINFORM. Les serveurs
DHCP en fonctionnement lui retournent un DHCPACK contenant les informations du domaine racine
Active Directory. Avec ces informations, il contacte le contrleur de domaine pour vrifier quil fait
partie de la liste des serveurs DHCP autoriss puis dmarre. Sil nest pas autoris, le service DHCP
ajoute un message derreur au journal des vnements et ne rpond pas aux clients.
Pour autoriser un serveur DCHP, il faut tre membre du groupe Administrateurs dEntreprise ou de
Domaine.
2.4. Configuration dune tendue DHCP
2.4.1. Que sont les tendues DHCP ?
Pour utiliser ladressage IP dynamique, vous devez crer une tendue sur le serveur. Chaque tendue
se caractrise par un nom, une description, une plage dadresses IP avec le masque de sous rseau
correspondant, une dure de bail, les plages dIP exclues (facultatif) et ladresse de la passerelle
(routeur). Chaque sous rseau possde une tendue DHCP unique contenant une plage dadresses IP
unique et permanente.
Il faut activer une tendue pour quelle soit disponible.
Configuration de la dure de bail :
Une dure de bail courte est conseille lorsque vous avez moins dadresses IP que de machines. Dans
ce cas, lorsque lon teint des machines, leur adresse IP est plus rapidement libre. Cest aussi utile
lorsque les paramtres du rseau changent souvent.
Une dure de bail plus longue permet de diminuer le trafic rseau engendr par le renouvellement des
IP.
Une dure de bail illimite supprime le trafic engendr par le protocole DHCP. En effet, les clients ne
lutilisent quau dmarrage de la machine.
* + ,,---$ . / 0 $ 1
Options dtendues :
Les options dtendues permettent de fournir diverses informations en mme temps que la distribution
de ladresse IP.
Les options dtendues courantes sont ladresse de la passerelle par dfaut, le nom de domaine DNS,
ladresse des serveurs DNS et WINS, le type de Nud WINS utiliser.
Les options dtendues peuvent tre dfinies plusieurs niveaux, cela simplifie ladministration.
Au niveau du serveur, les options sappliquent tous les clients DHCP.
Au niveau de ltendue, les options sappliquent uniquement aux clients DHCP qui reoivent un bail
de cette tendue, elles sont prioritaires sur les options de serveur.
Au niveau de la classe, les options sont appliques sur les clients qui appartiennent une mme classe.
Les classes doivent tre dfinies sur les clients. Les options de classe sont prioritaires sur les options
dtendues et les options de serveur.
Au niveau du client rserv, les options que vous dfinissez au niveau du client sont prioritaires sur
toutes les autres options.
2.5. Configuration dune rservation DHCP
2.5.1. Quest-ce quune rservation DHCP ?
Vous pouvez rserver une adresse IP spcifique pour un

client en faisant une rservation (base sur ladresse
MAC du client).
Il est avantageux dutiliser une rservation dadresse IP

pour des postes qui doivent toujours utiliser la mme IP
comme pour les serveurs de fichiers, dimpression ou
autres serveurs dapplications par exemple.
Une rservation est base sur plusieurs informations

comme, un nom de rservation, ladresse IP rserve,
ladresse MAC du poste, une description et un type pris
en charge (DHCP, BOOTP ou les 2).
2.6. Configuration des options DHCP
2.6.1. Que sont les options DHCP ?
Les options DHCP sont les paramtres supplmentaires que le serveur DHCP peut configurer sur les
clients lors de lattribution dun bail.
* + ,,---$ . / 0 $ 1
Voici les options les plus courantes :
Routeur : adresse dune passerelle par dfaut ou dun routeur.

Nom de domaine : Celui-ci permet de prciser le domaine de la machine. Ce qui permet au
client de pouvoir senregistrer auprs du domaine correspondant.
Serveur DNS et WINS : Adresse de ces serveurs pour la communication cliente.
2.6.2. Comment sont appliques les options au niveau du serveur DHCP,

de ltendue et du client rserv
Le service DHCP applique des options aux ordinateurs clients dans un ordre prcis :
1. Au niveau du serveur
2. Au niveau de ltendue
3. Au niveau de la classe
4. Au niveau du client rserv
Par consquent, vous pouvez dfinir des options attribues par le service DHCP en utilisant diffrents
niveaux dautorit afin que certaines options soient prioritaires sur dautres.
Le tableau suivant dcrit les ordres de priorit et les niveaux des options DHCP :
Option DHCP Ordre de priorit

Option au niveau du serveur Est attribu tous les clients du serveur DHCP
Option au niveau de ltendue Est attribu tous les clients de ltendue
Option au niveau de la classe Est attribu tous les clients appartenant la
classe
Option au niveau du client rserv Est attribu un seul client DHCP
Exemple de configuration :
Le niveau serveur permet aux clients dutiliser tous les mmes serveurs WINS et/ou DNS
Le niveau tendue permet chaque tendue dutiliser le mme routeur
Le niveau client rserv permet par contre lutilisation dun autre routeur.
2.6.3. Comment sont appliques les options au niveau de la classe

DHCP
Les options au niveau de classe sont utilises pour modifier les valeurs des autres niveaux. Les options
de la classe sappliquent au client sidentifiant dans une classe. Vous pouvez utiliser deux types
doption de classe :
La Classe de Fournisseur est une fonction qui permet de regrouper les clients DHCP en
fonction de leur type de configuration, de fournisseur et de matriel.
La Classe dutilisateur est une fonction qui permet de regrouper les utilisateurs DHCP en
fonction dun identifiant partag ou commun.
* + ,,---$ . / 0 $ 1
2.7. Configuration dun agent de relais DHCP

Dans la plupart des cas, les routeurs prennent en charge le relais DHCP/BOOTP. Si un routeur ne
peut pas fonctionner en tant quagent de relais DHCP/BOOTP, vous pouvez utiliser un agent de relais
DHCP.
2.7.1. Quest-ce quun agent de relais DHCP ?
Un agent de relais DHCP est un ordinateur ou un routeur pouvant couter les messages
DHCP/BOOTP des clients pour les transmettre au serveur DHCP sur diffrents sous rseaux. Ces
agents font partie des normes DHCP et BOOTP et fonctionnent en conformit avec les RFC.
" # $ % &' ()* #

+ , $ ,
Certaines entreprises pensent quil est plus facile de grer un serveur DHCP global pour tous leurs
rseaux. A cause de lutilisation de diffusion lors du processus de demande de bail, les serveurs DHCP
ne fournissent des baux que sur leur sous rseau. Il est alors ncessaire dutiliser des routeurs
compatibles ou des agents de relais logiciels. Par exemple, le service routage et accs distant de
Windows Server 2003 est configur pour fonctionner en agent de relais DHCP.
2.7.2. Comment fonctionne un agent de relais DHCP
Les procdures suivantes dcrivent le fonctionnement dun agent de relais DHCP :
1. Le client DHCP diffuse un paquet DHCPDISCOVER.

2. Lagent de relais DHCP sur le sous-rseau du client envoie le message DHCPDISCOVER au
serveur DHCP laide de la monodiffusion.
3. Le serveur DHCP utilise la monodiffusion pour envoyer un message DHCPOFFER lagent
de relais DHCP.
4. Lagent de relais DHCP diffuse le paquet DHCPOFFER au sous-rseau du client DHCP.
5. Le client DHCP diffuse un paquet DHCPREQUEST.
6. Lagent de relais DHCP sur le sous-rseau du client envoie le message DHCPREQUEST au
serveur DHCP laide de la monodiffusion.
7. Le serveur DHCP utilise la monodiffusion pour envoyer un message DHCPACK lagent de
relais DHCP.
8. Lagent de relais DHCP diffuse le paquet DHCPACK au sous-rseau du client DHCP.
2.7.3. Comment un agent de relais DHCP utilise le nombre de tronons
Le seuil du nombre de tronons correspond au nombre de routeurs que le paquet peut traverser avant
dtre rejet. Le nombre de tronons permet de dterminer la distance en routeurs entre lagent de
relais DHCP et le serveur DHCP le plus loign. Si le nombre de tronons est infrieur la distance
avec le serveur DHCP, lagent ne pourra pas fournir de baux. Le nombre maximum de tronons est
de 16.
2.7.4. Comment un agent de relais DHCP utilise le seuil de dmarrage
Le seuil de dmarrage est une temporisation pendant laquelle lagent de relais va attendre pour laisser
le serveur DHCP local au sous-rseau de rpondre au client. Ce dlai permet au serveur local de
rpondre le premier et quand le client va recevoir le DHCPOFFER du serveur DHCP distant (par
* + ,,---$ . / 0 $ 1
lintermdiaire de lagent de relais), il le refusera. Par contre dans le cas dun disfonctionnement du
serveur DHCP local, loffre distante arrivant la premire sera accepte.
* + ,,---$ . / 0 $ 1
3. Gestion et analyse du service DHCP
3.1. Gestion dune base de donnes DHCP
3.1.1. Vue densemble de la gestion du service DHCP
Une fois un service quelconque install, vous devez le surveiller pour le faire voluer au sein de votre
environnement. Pour le serveur DHCP, cest la mme chose du fait que lenvironnement rseau est
susceptible dvoluer.
Il est ncessaire de grer le service DHCP pour quil rponde aux besoins dadressage IP des clients
lorsque que le rseau est modifi (Ajout de clients, de serveurs par exemple). Il est aussi ncessaire de
veiller aux conditions de fonctionnement du serveur sur lequel sexcute le service DHCP et protger
la base de donnes contre toutes dfaillances.
3.1.2. Quest-ce quune base de donnes DHCP ?
La base de donnes du serveur DHCP contient les donnes de configuration DHCP. Cest une base de
donnes mise jour dynamiquement lorsquun client acquiert ou libre un bail.
# $
Cette base est stocke dans le rpertoire %Systemroot%\System32\Dhcp et par dfaut, elle est
sauvegarde dans le rpertoire Systemroot%\System32\Dhcp\Backup\New.
La base de donnes est compose de plusieurs fichiers :
DHCP.mdb : Fichier de base de donnes du service.

Tmp.edb : Fichier temporaire de la base de donnes DHCP utilis comme fichier dchange
pendant la maintenance.
J50.log et J50*.log : Journaux utiliss pour enregistrer les transactions.
Res*.log : Fichiers journaux rservs qui enregistrent les transactions existantes si lon
manque de lespace disque systme.
J50.chk : Fichier de point de contrle.
3.1.3. Modalits de sauvegarde et de restauration dune base de

donnes DHCP
La sauvegarde de la base de donnes DHCP permet de faire une restauration en cas de dfaillance. Par
dfaut, le service DHCP sauvegarde toutes les heures la base et les entres du registre dans le
rpertoire Backup\New. Ladministrateur peut ensuite copier ces fichiers sur un support magntique
ou sur un autre disque.
Si le serveur narrive pas dmarrer partir de sa base de donnes, il effectue automatiquement une
restauration partir du rpertoire de sauvegarde par dfaut (qui peut tre modifi).
* + ,,---$ . / 0 $ 1
3.1.4. Comment sauvegarder et restaurer une base de donnes DHCP
Il est possible de sauvegarder ou de restaurer la base de donnes aussi bien automatiquement que
manuellement, mais sil sagit dutiliser un support externe, lopration sera obligatoirement manuelle.
Lors dune sauvegarde manuelle, il faut choisir un autre rpertoire que celui par dfaut, car en cas de
modification des fichiers de sauvegarde automatique manuellement, le service DHCP ne fonctionnera
pas correctement.
La sauvegarde et la restauration manuelle seffectuent partir de la console DHCP.
3.1.5. Modalits de rconciliation dune base de donnes DHCP
La rconciliation est le processus qui vrifie la base de donnes en fonction des valeurs de registre
DHCP.
Il existe deux circonstances ncessitant la rconciliation de la base :
Lorsque les donnes de la base sont correctes mais ne saffichent pas correctement dans la
console.
Lors dune restauration de la base qui ne contient pas les valeurs les plus rcentes.
Lorsquon rconcilie un serveur ou une tendue, le service reconstruit sa configuration grce aux
informations rsumes contenues dans le registre de Windows et des informations dtailles de la base
de donnes DHCP.
3.1.6. Comment rconcilier une base de donnes DHCP
Avant de rconcilier une ou toutes les tendues, vous devez vous assurer que le serveur respecte les
conditions suivantes :
Toutes les cls du registre doivent tre restes intactes suite lactivit antrieure du serveur
DHCP ou alors restaurer ces cls de registres.
Une nouvelle version du fichier de base de donnes du serveur DHCP doit se trouver dans le
dossier %Systemroot%\System32\Dhcp.
Une fois la rconciliation effectue, il est possible que les proprits des clients individuels figurant
dans les baux actifs soient affiches de manire incorrecte. Ces informations seront mises jour lors
du renouvellement du bail par les clients.
* + ,,---$ . / 0 $ 1
La rconciliation seffectue partir de la console DHCP en dessous de la restauration (voir image ci-
dessus).
En cas de croissance de la base de donnes, il faut utiliser loutil Jetpack.exe pour compacter la base
de donnes DHCP.
3.2. Analyse du service DHCP
3.2.1. Vue densemble de lanalyse du service DHCP
Etant donn que lenvironnement DHCP est dynamique, les besoins des clients et de lorganisation
changent constamment par de nouvelles options, dajouts dtendues pour dventuels clients
supplmentaires. Comme le serveur DHCP est un point trs important du rseau, il faut tablir une
base de performances pour permettre dvaluer les serveurs.
Dans la plupart des cas, les serveurs qui officient en tant que serveurs DHCP ne sont pas
exclusivement ddis cette activit. Il faut donc tenir compte des possibles interactions entre les
services DHCP et leur utilisation respective des ressources systmes.
Des informations concernant le service DHCP sont disponibles dans les statistiques DHCP, les
vnements DHCP et les donnes de performances DHCP.
3.2.2. Prsentation des statistiques DHCP
Les statistiques DHCP reprsentent les

informations collectes depuis le dernier
dmarrage du serveur DHCP. Le but des
statistiques DHCP est doffrir une vue en
temps rel afin de vrifier ltat du serveur.
3.2.3. Quest-ce quun fichier journal daudit DHCP ?
Un fichier journal daudit DHCP recense les vnements relatifs lis au service, par exemple quand
le service dmarre ou sarrte, quand des autorisations ont t vrifies ou quand des adresses IP sont
loues, renouveles, libres ou refuses.
Le journal daudit DHCP permet ladministrateur danalyser les vnements quotidiens, voir plus
longs, de lactivit du serveur DHCP.
Les fichiers journaux sont des fichiers texte contenant des enregistrements qui reprsentent des lignes
de texte avec des virgules comme sparateurs de colonnes.
* + ,,---$ . / 0 $ 1
Les champs disponibles pour ces fichiers sont :
ID : Code de lvnement
Date
Heure
Description
Adresse IP
Nom dhte
Adresse MAC
3.2.4. Fonctionnement de lenregistrement daudit DHCP
Voici le fonctionnement quotidien de lenregistrement de laudit DHCP :
1. Lorsque le serveur DHCP dmarre ou que cest un nouveau jour (heure 00 :00), le serveur
crit une nouvelle entte dans le fichier journal.
a. Si le fichier existe mais na pas subi de modifications au cours des dernires 24

heures, il est remplac.
b. Si le fichier existe mais a t modifi depuis moins de 24 heures, il nest pas
remplac, cest le cas lorsque le serveur dmarre par exemple.
2. Ds que lenregistrement daudit a dbut, le serveur DHCP fait des vrifications despace au
niveau du disque mais aussi de la taille du fichier daudit pour que celui-ci ne soit pas trop
volumineux.
A chaque fois que lhorloge du serveur atteint 00:00 ou quun certain nombre dvnements a
t enregistr, par dfaut 50, le serveur effectue une vrification totale du disque.
A chaque contrle du disque, le serveur vrifie si lespace disque est rempli. Le disque est
considr plein lorsque lune des conditions suivantes est vraie :
a. Lespace disque restant est infrieur au minimum requis par le serveur DHCP pour
lenregistrement daudit (par dfaut : 20Mo).
b. La taille du fichier journal daudit actuel est suprieure un septime (1/7) de lespace
maximal allou pour lensemble des journaux daudit actuellement stocks sur le
serveur. La limite par dfaut est configure dans le registre 70 Mo.
Dans tous les cas, si le disque est considr comme plein, aucun enregistrement dvnement
ne sera accept tant quil ny aura pas dautre place ou tant que le serveur narrive pas 00:00.
3. A 00:00 heure locale sur lordinateur serveur, le journal courant est ferm pour passer au
suivant. Par exemple, si on passe du mercredi au jeudi, le fichier de log passera du
DhcpSrvLog-Mer DhcpSrvLog-Jeu.
* + ,,---$ . / 0 $ 1
3.2.5. Instructions pour analyser les performances de serveur DHCP
Il faut dans un premier temps crer une ligne de base (minimum requis au niveau performance) pour
avoir un seuil prcis des performances sous lesquelles on estime que le serveur qui hberge le DHCP
est surcharg.
Ensuite il faut, si le serveur hberge dautres services ou applications pouvant utiliser les ressources de
la machine, valuer la charge totale du serveur et les circonstances dans lesquelles ces diffrentes
applications pourraient influencer sur le fonctionnement du service Serveur DHCP.
Puis, il est judicieux dexaminer les propres compteurs du serveur DHCP pour voir par exemple le
nombre de baux traits. Une augmentation pourrait tre due une diminution du temps accord aux
baux mais une augmentation pourrait reflter d'un disfonctionnement dune partie du rseau.
3.2.6. Compteurs de performance communment utiliss pour analyser

les performances de serveur DHCP
La console de performances de
Windows Server 2003 permet de
vrifier les performances prcises
de lactivit du serveur DHCP.
Le Moniteur systme permet
d'ajouter des objets et des
compteurs de performance dans
l'
un des trois modes d' affichage
graphique : courbe, histogramme et
rapport. Vous pouvez galement
afficher les donnes enregistres
dans les journaux. Si vous ajoutez
un compteur comportant plusieurs
instances, vous avez la possibilit
de slectionner l'instance souhaite.
Compteurs de Donnes collectes Interprtation vnements

performance rechercher
aprs l'tablissement
d'une ligne de base
Paquets Nombre de paquets Un nombre lev indique un Surveillez les
reus/seconde de messages que le volume important de augmentations ou les
serveur DHCP reoit messages DHCP transmis au diminutions soudaines
par seconde. serveur. qui pourraient dnoter
des problmes sur le
rseau.
Nombre de Nombre de messages Une augmentation soudaine Surveillez les
* + ,,---$ . / 0 $ 1
requtes/seconde de demande DHCP ou inhabituelle de ce nombre augmentations ou les

que le serveur DHCP indique qu'un grand nombre diminutions soudaines
reoit par seconde de de clients essaient de qui pourraient dnoter
clients. renouveler leurs baux auprs des problmes sur le
du serveur DHCP. Ceci peut rseau.
dnoter que les dures de bail
de l'
tendue sont trop courtes.
Longueur de la Longueur actuelle de Une valeur leve peut Surveillez les
file d'attente la file d' attente de indiquer que le serveur DHCP augmentations
active messages interne du est dbord par le nombre de soudaines ou graduelles,
serveur DHCP. Cette demandes qu' il reoit. qui pourraient dnoter
valeur est gale au un accroissement de la
nombre de messages charge ou une baisse de
non traits que reoit la capacit de traitement
le serveur. du serveur.
Doublons Nombre de paquets Ce nombre peut augmenter Surveillez avec ce
ignors/seconde en double que le lorsque plusieurs agents de compteur toute activit
serveur DHCP relais DHCP ou interfaces pouvant indiquer que
supprime par rseau transmettent le mme plusieurs demandes sont
seconde. paquet au serveur. transmises au serveur au
Une valeur leve indique nom des clients.
que le serveur ne rpond pas
assez vite ou que le nombre
de secondes spcifi comme
seuil de redmarrage pour
l'
agent de relais n' est pas
assez lev.
3.2.7. Instructions pour crer des alertes pour un serveur DHCP
Une alerte est un processus qui se dclenche lorsque la valeur surveille est soit infrieure, soit
suprieure au seuil indiqu nomm seuil dalerte.
Affecter des alertes auprs de certains compteurs de performances du serveur DHCP qui ont une
activit anormale avant lapparition de problmes connus, peut permettre ladministrateur dy
configurer le lancement dun script.
Pour dfinir ces compteurs, il faut auditer les compteurs DHCP durant une certaine priode afin de
surveiller lvolution des compteurs pour crer une zone de fonctionnement normal. Il faudra ensuite
crer des alertes pour prvenir lorsque que le compteur est en dehors de sa zone.
Afin de rpondre aux alertes DHCP par un script, il existe les commandes Netshell pour DHCP. Les
commandes Netshell pour DHCP offrent pour l' administration des serveurs DHCP un outil d' aide de
ligne de commande totalement quivalent, Dhcpmon.dll, qui constitue une alternative la gestion sur
console.
* + ,,---$ . / 0 $ 1
3.3. Application des instructions de scurit pour le

service DHCP
3.3.1. Instructions pour empcher un utilisateur non autoris dobtenir

un bail
Lorsquun utilisateur possde un accs physique (cble ou wireless) un rseau possdant un serveur
DHCP, il peut rcuprer un bail auprs de ce serveur sans fournir son nom dutilisateur ou mot de
passe. Un utilisateur mal intentionn peut donc bloquer de nombreux baux et donc diminuer les baux
disponibles aux utilisateurs du rseau.
Il existe des prcautions simples pour empcher un utilisateur non autoris dobtenir un bail :
Sassurer que seules les personnes autorises ont un accs au rseau

Activer laudit sur tous les serveurs DHCP du rseau pour les analyser lorsque ceux-ci
reoivent un nombre lev de demandes de baux DHCP.
Utiliser des commutateurs ou des points daccs bass sur les technologies 802.1x pour laccs
au rseau. Il permet lauthentification (Certificat ou Cl WEP) avant laccs au DHCP.
3.3.2. Instructions pour empcher les serveurs DHCP non autoriss,

non-Microsoft, de louer des adresses IP
Seuls les serveurs DHCP Windows 2000 et Windows 2003 peuvent tre autoriss dans lannuaire
Active Directory. Dans le cas o un serveur dcouvre quil nest pas autoris dans Active Directory, ce
serveur ne fournira pas de baux. Cette option permet dempcher les serveurs installs par un
utilisateur malveillant ou incomptent sur Windows 2000 et 2003 de fournir des baux et de ne pas
corrompre la configuration rseau des postes.
Par contre dans le cas de lutilisation de serveur DHCP non-Microsoft, il est impossible dutiliser cette
option, il faudra donc bien veiller interdire laccs physique dautres personnes votre rseau.
3.3.3. Instructions pour limiter le cercle des personnes autorises

administrer le service DHCP
Lors de linstallation du service DHCP sur un serveur membre ou autonome, deux groupes locaux sont
crs :
Utilisateurs DHCP
Administrateurs DHCP
Par contre lors de linstallation de ce service sur un contrleur de domaine, ces deux groupes sont
crs en tant que groupes locaux du domaine.
Pour administrer le serveur DHCP (avec NETSH ou console DHCP), il faut soit faire parti du groupe
Administrateurs, soit du groupe Administrateurs DHCP. De plus, il est lorigine ncessaire dtre
membre du groupe Administrateurs de lentreprise pour autoriser ou interdire le serveur DHCP
dans lannuaire Active Directory. Mais il est possible de dlguer ce droit dautres entits de
scurit.
* + ,,---$ . / 0 $ 1
Administrateurs DHCP Utilisateur DHCP
Les membres de ce groupe peuvent afficher et Les membres de ce groupe ne possdent quun
modifier toutes les donnes lies au service accs en lecture seule aux donnes du serveur.
serveur DHCP. Les droits de ce compte sont
limits au service serveur DHCP, ils nont aucun
autre droit sur les autres services du serveur.
Pour administrer des serveurs DHCP dans un domaine, il faut ajouter un utilisateur ou un groupe
tous les groupes Administrateurs DHCP de chaque serveur DHCP du domaine.
3.3.4. Instructions pour scuriser la base de donnes DHCP
Les autorisations par dfaut pour le dossier DHCP ont pour but dempcher quiconque, lexception
des utilisateurs autoriss, daccder aux fichiers de base de donnes et aux fichiers daudit. Modifiez
ces autorisations par dfaut sil y a lieu pour accorder un accs ces fichiers aux personnes qui
doivent effectuer des tches administratives (par exemple analyser et sauvegarder les fichiers journaux
de serveur DHCP).
Ne modifiez pas les autorisations des groupes Systme ou Administrateurs. Si vous le faites, vous
risquez de provoquer des dysfonctionnements du serveur DHCP et dempcher les administrateurs
dassurer sa maintenance, par exemple en sauvegardant la base de donnes.
* + ,,---$ . / 0 $ 1
4. Rsolution de noms
4.1. Affichage de noms sur un client

Un nom pour un poste permet lidentification de celui-ci sur un rseau par toute autre entit.
Chaque ordinateur possde deux identificateurs : un nom alphanumrique et une adresse IP.
4.1.1. Comment les noms sont mapps des adresses IP
La rsolution de noms Un service de rsolution de noms
Il est difficile pour un utilisateur de travailler Cest ce service qui effectue la rsolution de noms
avec des adresses IP. La rsolution est le complets (ou alphanumriques). Ce service est
processus qui permet deffectuer fourni par WINS (Windows Internet Name
automatiquement une traduction entre des noms Service) et DNS (Domain Name System).
alphanumriques et des adresses IP.
Lorsquun utilisateur veut atteindre une ressource disponible sur un serveur, il y fait appel par le nom
du serveur (ex : ServSupinfo1). Lordinateur va dterminer ladresse IP associ au serveur (ex :
192.168.1.1) et ensuite effectuer la connexion partir de celle-ci.
Il existe deux types de noms dans les rseaux : nom dhtes et noms NetBIOS.
4.1.2. Que sont les noms dhtes ?
Dans noms dhtes, il y a :

Nom : Identificateur du poste dans le rseau.
Nom dhtes : Nom DNS dun priphrique rseau.
Un nom de domaine pleinement qualifi (FQDN) est un nom de domaine DNS. Cest la forme lisible
et hirarchique du nom complet d' un ordinateur. Le FQDN (Fully Qualified Domain Name) dfinit
un nom d' hte complet (ex: www.labo-microsoft.com). Il inclut la partie domaine ou suffixe (ex: labo-
microsoft.com) et la partie hte (ex: www), ce qui permet la rsolution des noms dhtes sur Internet.
Les noms dhtes sont utiliss pour trouver un priphrique rseau sur un rseau. Afin de trouver un
dispositif rseau partir de son nom dhte, il faut quil soit connu du fichier Hosts ou dun serveur
DNS.
Caractristiques du nom dhte

Alias attribu un poste pour lidentifier
Identique au nom NetBIOS par dfaut sur Windows 2003 et XP
Chane comportant au maximum 255 caractres
Nom unique avec comme mthodes de rsolution, le fichier Hosts et le serveur DNS
- . # $ +/
* + ,,---$ . / 0 $ 1
4.1.3. Que sont les noms NetBIOS ?
Un nom NetBIOS est un nom qui permet didentifier les services NetBIOS sur un ordinateur. Ce nom
est compos dun nom de 15 caractres plus 1 qui indique le service (Station de travail, Serveur,
Messenger, Groupe,).
Par contre les noms NetBIOS nont aucune utilit sur Internet car ils ne possdent aucune hirarchie.
Un exemple simple : aucun nom NetBIOS ne peut tre en double sur le mme sous rseau.
Caractristiques du nom NetBIOS

Pas forcement gal au nom dhte
Longueur max de 15 caractres
Unique sur le rseau
Lutilitaire Nbtstat affiche les noms NetBIOS de la machine locale ou distante
4.1.4. Comment afficher les noms sur un client
Nom dhte Nom NetBIOS
Localit Affichage Localit Affichage

Commande Ipconfig Nom de lhte Commande Nbtstat -n Noms NetBIOS
/all Suffixe DNS locaux
principal
Commande hostname Nom dhte Commande Nbtstat -A Noms NetBIOS
Systme dans le Nom dhte @IP distants
Panneau de Nom de domaine Systme dans Panneau de Nom NetBIOS
configuration, onglet configuration, onglet Nom du groupe de
nom de lordinateur. nom de lordinateur. travail
Pour modifier, le nom du poste, il faut aller

dans Systme dans le Panneau de configuration
(clic droit proprits sur poste de travail),
onglet nom de lordinateur puis faire modifier.
Si lordinateur est membre dun domaine, vous

devrez possder un compte sur le domaine
ayant les droits de renommer le poste.
* + ,,---$ . / 0 $ 1
4.2. Configuration de la rsolution de noms dhtes
4.2.1. Processus de rsolution de noms dhtes
1. Utilisation dun nom dhte par une application ou un service

2. Recherche dans le cache de rsolution client (cr partir du fichier Hosts et des dernires
recherches).
3. Si lentre nexiste pas dans le cache, le poste client envoie une requte un serveur DNS.
4. Si ces mthodes de rsolutions ont chou et que le nom ne dpasse pas 15 caractres, le
poste client passe la mthode de rsolution de noms NetBIOS.
5. Lorsque le nom dhte est trouv, Ladresse IP est retourne au service ou lapplication
qui est lorigine de cette procdure
4.2.2. Cache de rsolution client
Le cache de rsolution client stocke le contenu du

fichier Hosts (enregistrement PTR) et les noms
dhtes rcemment rsolus pendant un temps dfini
(dure de vie) pour ne pas avoir un cache trop
important..
Ce cache est le premier endroit utilis lors de la

rsolution de nom dhte car il ne gnre aucune
requte rseau et reste plus rapide.
Les rsolutions choues (entres de cache ngatives)

sont enregistres 5 minutes dans le cache afin de ne
pas rinterroger le serveur DNS pour rien. (ex :
www.existepas.fr ).
Pour afficher le cache de rsolution, il faut utiliser la

commande Ipconfig /displaydns, de plus, il est
possible depuis la version Windows 2000 de vider ce
cache avec la commande Ipconfig /flushdns.
4.2.3. Fichier Hosts
# Copyright (c) 1993-1999 Microsoft Corp.

#
# Ceci est un exemple de fichier HOSTS utilis par Microsoft TCP/IP pour
Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'htes.
# Chaque entre doit tre sur une ligne propre. L'adresse IP doit tre
place dans la # premire colonne, suivie par le nom d'hte correspondant.
L'adresse IP et le nom
* + ,,---$ . / 0 $ 1
# d'hte doivent tre spars par au moins un espace.

#
# De plus, des commentaires (tels que celui-ci) peuvent tre insrs sur
des lignes
# propres ou aprs le nom d'ordinateur. Ils sont indiqu par le symbole
'#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hte client x
127.0.0.1 Localhost
Le fichier Hosts (exemple ci-dessus) est stock sur lordinateur client lemplacement
%Systemroot%\System32\Drivers\Etc et se nomme Hosts.
Il sert stocker dans le cache de rsolution client des entres statiques comme par exemple 127.0.0.1
qui correspond localhost. De plus une entre de ce fichier ne contient aucune dure de vie dans le
cache.
Chaque poste client peut possder le mme fichier Hosts car ce fichier est compatible avec les fichiers
Hosts dUNIX.
4.3. Configuration de la rsolution de noms NetBIOS
4.3.1. Processus de rsolution de noms NetBIOS
1. Lorsquune application a besoin de rsoudre un nom NetBIOS, elle recherche dans le

cache NetBIOS.
2. Si le cache NetBIOS ne rsout pas la requte, le serveur WINS est alors interrog.
3. Si le serveur WINS ne rsout pas le nom NetBIOS en adresse IP, le client tente de la
diffusion au sein de son rseau local.
4. Si la diffusion naboutit rien, le poste regarde dans son fichier Lmhosts.
5. Lorsque le nom NetBIOS est trouv, ladresse IP correspondante est renvoye
lapplication.
4.3.2. Cache de noms NetBIOS
* + ,,---$ . / 0 $ 1
Le cache de nom NetBIOS est lemplacement mmoire o se trouvent les noms correspondants aux
adresses IP rcemment rsolues par une diffusion, fichier Lmhosts, un serveur WINS ou les noms
prchargs partir du fichier Lmhosts.
Le cache de nom NetBIOS est utilis avant le serveur WINS, car lutilisation du fichier Lmhosts ne
produit aucun trafic rseau et reste trs rapide.
La dure de vie dune entre dans le cache de nom NetBIOS est de 10 minutes. Cette dure est
rinitialise chaque rsolution du nom.
Il existe deux types de noms NetBIOS :
- Uniques : Fait rfrence un service NetBIOS existant sur un ordinateur individuel.

- Collectifs : Fait rfrence un service NetBIOS regroupant plusieurs ordinateurs.
4.3.3. Comment afficher et librer le cache de noms NetBIOS
Loutil utilis pour interagir avec le cache de noms NetBIOS est nbtstat. Utilis sans argument, il
permet dafficher laide.
Commandes courantes :
- Nbtstat c : Afficher le cache

- Nbtstat R : Vide le cache et recharge les entres prcharges partir du fichier Lmhosts
- Nbtstat n : Affiche la table de noms NetBIOS locale.
4.3.4. Diffusions
Les diffusions dites broadcast sont des messages produits par un poste destination de tous les htes
de son segment rseau.
La diffusion se produit si la rsolution du nom NetBIOS na pas fonctionn avec le cache et le serveur
WINS. Il ny pas de configuration requise pour la diffusion.
Le principe de la diffusion est de lancer un message destination de tous les nuds sur le segment
rseau afin que lordinateur possdant le nom NetBIOS recherch renvoie son adresse au destinataire
de la diffusion.
4.3.5. Fichier Lmhosts
# Copyright (c) 1993-1999 Microsoft Corp.

#
# Ce fichier est un modle de fichier LMHOSTS utilis par Microsoft TCP/IP
pour
# Windows.
#
# Ce fichier contient les mappages des noms d'ordinateur NT (NetBIOS) sur
des adresses
# IP. Vous devez vous en tenir une seule entre par ligne.
# L'adresse IP doit tre place dans la premire colonne, suivie du nom
d'ordinateur
# correspondant. L'adresse et le nom d'ordinateur doivent tre spars par
au moins un
* + ,,---$ . / 0 $ 1
# Espace ou une tabulation. Le caractre # est gnralement utilis pour

marquer le
# Dbut d'un commentaire (voir les exceptions ci-dessous).
#
# Toutes ces extensions sont prsentes dans les exemples suivants :
#
# 102.54.94.97 rhino #PRE #DOM:networking #DC du groupe rseau
# 102.54.94.102 "appname \0x14" #serveur d'app.
spcial
# 102.54.94.123 popular #PRE #serveur source
# 102.54.94.117 localsrv #PRE #ncessaire pour le
include
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\rhino\public\lmhosts
# #END_ALTERNATE
Le fichier LMHOSTS est un fichier statique situ sur lordinateur et configur par ladministrateur
pour mapper les adresses IP des noms NetBIOS pour des ordinateurs situs en dehors du sous rseau
local.
Ce fichier est utilis dans le cas o aucune autre mthode de rsolution na fonctionn. Cest un fichier
texte ASCII compos du nom NetBIOS de lordinateur cible et de ladresse IP correspondante. Pour
utiliser ce fichier situ dans %Systemroot%\System32\Drivers\Etc\ qui porte une extension .sam, il
faut supprimer l' extension pour que le fichier puisse tre lu.
Mots cls prdfinis :
- #PRE : Permet de prcharger des entres dans le cache de noms NetBIOS.

- #DOM:[nom_domaine] : Facilite lactivit de domaine telle que la validation dune
connexion sur un routeur, la synchronisation et la navigation.
- #BEGIN_ALTERNATE <> #END_ALTERNATE: Dfinit une liste dautres
emplacements (chemin UNC dfinit au pralable dans le fichier Lmhosts) pour des
fichiers Lmhosts.
- #INCLUDE : Charge et recherche les entres NetBIOS dans un fichier distinct du fichier
Lmhosts par dfaut.
* + ,,---$ . / 0 $ 1
5. Rsolution de noms dhtes laide

du systmes DNS
5.1. Installation du service serveur DNS
5.1.1. Vue densemble du systme DNS
Le service de rsolution de noms de Windows Server 2003 est nomm DNS (Domain Name System).
Il permet de rsoudre des adresses URL structures comme www.laboratoire-microsoft.org en adresse
IP: 212.180.91.68.
Le systme de noms DNS est une base de donnes distribue, utilise sur les rseaux IP pour
transposer et rsoudre les noms dordinateurs en adresses IP. Cest la principale mthode de rsolution
de noms de Windows 2003.
Le systme de noms sur lequel est fond DNS est une structure hirarchique et logique appele espace
de noms de domaine. L InterNIC (Internet Network Information Center) gre la racine de cette
arborescence. LInterNIC est charg de dlguer la responsabilit administrative de portions de
lespace de noms de domaine mais aussi dinscrire les noms de domaine.
5.1.2. Quest-ce quun espace de noms de domaines ?
La structure hirarchique de lespace de noms de domaines est telle que :
Le domaine racine, qui se trouve en haut de la structure du nom de domaine, est

reprsent par un point.
Les domaines de niveau suprieur (premier niveau) suivent directement les domaines
racines ; ils peuvent tres reprsents par le type dorganisation ou la localisation
gographique (ex : com, org, fr, de, )
Les domaines de second niveau (deuxime niveau) sont enregistrs directement auprs
des entreprises et peuvent possder de nombreux sous domaines.
Les sous-domaines permettent une organisation de subdiviser encore son nom de
domaine par dpartements ou services (ex : microsoft.supinfo.com).
Le Nom de Domaine Pleinement Qualifi ou FQDN (Fully Qualified Domain Name) dcrit la relation
exacte entre un hte et son domaine.
Dans les FQDN suivant : web.labo-microsoft.supinfo.com, le domaine racine est le . A partir de la

droite du nom de domaine, le .com est le nom de domaine de 1er niveau, le .supinfo est le nom de
domaine du deuxime niveau et le reste sont des sous domaines dans la prsente arborescence de noms
de domaines.
Le serveur DNS contient des informations sur la portion de lespace de noms DNS quil va fournir au
client. Le serveur DNS va stocker des noms / adresses IP de sa zone dans un fichier de zone.
Lorsquun ordinateur client envoie une requte de rsolution de nom un serveur DNS, ce dernier va
consulter sa base de donnes de noms et va, soit rpondre au client sil possde la correspondance nom
/ adresse IP, soit interroger les autres serveurs DNS en cas dchec de la recherche dans sa base de
donnes locale.
* + ,,---$ . / 0 $ 1
5.1.3. Convention dappellation standard DNS
Les conventions lies lappellation standard DNS permettent lentreprise qui implmente un espace
de noms de lutiliser sur internet. Ces conventions autorisent un jeu de caractres ASCII limit spcifi
par la RFC 1123 qui est :
A-Z
a-z
0-9
Trait dunion (-)
0 # #1 $ #
5.1.4. Comment installer le service Serveur DNS
Il est ncessaire de configurer le futur serveur DNS pour quil utilise une adresse IP fixe au lieu dune
adresse attribue dynamiquement par un serveur DHCP. Il faut pour cela configurer le protocole
TCP/IP, et entrer une adresse statique dans la boite de dialogue Proprits de protocole Internet.
Microsoft recommande galement de configurer le nom de domaine sur le serveur DNS, dans
Proprits de protocole Internet (TCP/IP).
Linstallation se fait via lassistant ajout / suppression de programmes . Le service Serveur DNS
fait partie des services de mise en rseau. (Composants intgrs de Windows 2003).
Configuration des proprits du service Serveur DNS
5.1.5. Quels sont les composants dune solution DNS ?
Serveur DNS :
Ordinateur excutant le serveur DNS
Hberge un ou une partie de lespace de noms
Fait autorit pour un espace de noms de domaine
Traite les demandes de rsolution de noms soumises par les clients
Client DNS :
Ordinateur excutant le Service Client DNS
Enregistrement de ressources DNS :

Entres de la base de donnes DNS qui mappent les noms dhtes des ressources
5.1.6. Quest-ce quune requte DNS ?
Les clients DNS envoient des requtes au serveur DNS ce qui constitue le processus de rsolution du
nom. Il existe deux types de requtes, les rcursives et les itratives.
Une requte peut provenir dun client mais aussi dun serveur, par exemple, une requte peut tre
envoye par un client un serveur qui peut ensuite lenvoyer un autre serveur si il ne parvient pas
la rsoudre.
* + ,,---$ . / 0 $ 1
Un serveur DNS, qui fait autorit sur un espace de nom, possde une copie principale ou secondaire
dune zone DNS.
Lors dune requte, le serveur faisant autorit renvoie ladresse IP correspondant au nom, de deux
faons possibles :
Recherche dans le cache local

Recherche dans la zone DNS
Sinon il renvoie une rponse ngative qui fait autorit.

Par contre, sil ne fait pas autorit, il transmet la requte au redirecteur. Le serveur utilise les adresses
connues de plusieurs serveurs racines pour aller chercher la rponse plus haut dans larborescence
DNS.
5.1.7. Fonctionnement des requtes rcursives
Une requte rcursive peut tre lance dun client mais aussi dun serveur sil est configur avec un
redirecteur.
Le serveur DNS doit absolument fournir un rsultat au client pour ce type de requte. Dans le
cas o il ne possde pas de rponse la requte, le serveur DNS va effectuer, pour le compte du client
des requtes itratives spares vers dautres serveurs qui laident rpondre la requte rcursive.
5.1.8. Fonctionnement des indications de racine
Les indications de racine sont des enregistrements de ressources DNS stockes sur un serveur DNS
qui rpertorient les adresses IP des serveurs racines du systmes DNS.
Pour utiliser le processus de rcursivit, le serveur DNS a besoin de connatre les coordonnes des
autres serveurs DNS de l' espace de noms de domaines DNS. Ces informations sont fournies sous la
forme d' indications racine. Une liste d'
enregistrements de ressources prliminaires peut tre utilise
par le service DNS pour localiser d' autres serveurs DNS qui font autorit pour la racine de
l'
arborescence des espaces de noms de domaines DNS. Les serveurs racine font autorit pour la racine
et les domaines de premier niveau du domaine dans l' arborescence.
5.1.9. Fonctionnement des requtes itratives
Elles sont envoyes par un client un serveur DNS. Ce dernier renvoie la meilleure rponse quil
possde partir de ses donnes de cache ou de zone. Sil ne possde pas la rponse exacte, il renvoie
le client vers un serveur de rfrence dans un niveau infrieur de lespace de noms de domaine. Le
client va alors interroger le serveur correspondant. Ce processus se poursuit jusqu ce que le client
localise le serveur qui pourra rsoudre le nom en adresse IP ou bien jusqu ce quune erreur se
produise ou encore que le dlai soit dpass.
5.1.10. Fonctionnement des redirecteurs
Il est possible de configurer les serveurs DNS pour qu'ils envoient toutes les requtes rcursives une
liste slectionne de serveurs dit redirecteurs. Les serveurs de la liste des redirecteurs assurent les
* + ,,---$ . / 0 $ 1
recherches rcursives pour rsoudre les requtes reues par un serveur DNS qui ne peut pas y rpondre
en s'
appuyant sur ses zones locales. Pendant le processus de redirection, un serveur DNS configur
pour utiliser des redirecteurs (un ou plusieurs serveurs en fonction de la liste de redirecteurs) se
comporte essentiellement comme un client DNS vis--vis de ses redirecteurs.
Un redirecteur peut tre configur en 2 modes :
Non exclusif : Si le redirecteur nest pas en mesure de rsoudre la requte initiale, le

serveur de noms va tenter de rsoudre la requte lui-mme.
Exclusif : Si le redirecteur nest pas en mesure de rsoudre la requte, une rponse
ngative est renvoye.
5.1.11. Fonctionnement de la mise en cache du serveur DNS
La mise en cache permet de rpondre plus rapidement aux requtes frquentes en stockant
temporairement dans la mmoire les rsultats des requtes rcemment rsolues.
Lors du traitement dune requte rcursive, le serveur DNS peut tre amen interroger les serveurs
de noms racines pour redescendre au fur mesure des niveaux afin dobtenir des informations. Ce
processus peut prendre plus ou moins de temps et peut utiliser des liaisons coteuses.
Le serveur place donc toutes les informations collectes lors de ce processus dans son cache DNS
pendant une dure spcifie. Ce temps est appel TTL (Time To Live) et se mesure en secondes. Cest
ladministrateur de serveur associ la zone principale qui dfinit le TTL.
Une fois les donnes en cache, le TTL se dcrmente et lorsquun client fait une requte pouvant tre
rsolue avec les informations contenues dans le cache, le client obtient linformation laide dun TTL
valide et en cours. Lorsque le TTL dun enregistrement est expir celui-ci nest pas conserv.
Le cache a galement pour utilit le stockage des rponses nayant pas abouti : les rponses ngatives.
Cette mise en cache vite la rptition des requtes concernant des noms qui nexistent pas. Le TTL
associ a ces rponses est infrieur celui des rponses positives (par dfaut : 5 minutes).
Un serveur qui ne possde aucune zone et qui na aucune autorit sur un quelconque domaine est un
serveur ddi la mise en cache grce la configuration des indicateurs de racine.
5.2. Configuration des zones DNS
5.2.1. Stockage et maintenance des donnes DNS
Un enregistrement de ressource stock dans un fichier de zone dfinit une zone. Le fichier de zone
stocke des informations pour effectuer la rsolution de noms. Toutes les tches administratives lies
aux serveurs DNS se font travers le SNAP-IN MMC DNS.
Une zone est une portion contigu de lespace de noms de domaine pour laquelle un serveur DNS sert
de rfrence pour la rsolution des requtes DNS. Elle permet de stocker des noms concernant un ou
plusieurs domaines DNS ou des portions de domaines DNS.
* + ,,---$ . / 0 $ 1
5.2.2. Que sont les enregistrements de ressources et les types

denregistrements ?
Les utilisateurs peuvent avoir accs aux enregistrements de ressources notamment dans les cas
suivants :
Recherche dun site Web, le navigateur envoie une requte de recherche directe au
serveur.
Lors de la connexion sur un domaine. A louverture de session, le poste cherche un
contrleur de domaine par lintermdiaire du DNS.
Les types denregistrements reprsentent les diffrents types de donnes pouvant tre enregistres dans
le serveur DNS.
Principaux types denregistrements :
Type denregistrement Description Exemple

Hte (A) Reprsente un priphrique Microsoft.supinfo.com rsolu en
rseau. Ils sont les 192.168.0.43
enregistrements les plus
courants.
Pointeur (PTR) Permet de retrouver le nom 192.168.0.43 rsolu en
partir de ladresse IP. Ils se Microsoft.supinfo.com
trouvent dans la zone de
recherche inverse.
Source de noms (SOA) (start of Cest le premier lment dans Rsout un nom de domaine en
authority) tout fichier de zone. Il identifie nom dhte. Supinfo.com rsolu
le serveur de noms DNS en serv1.supinfo.com.
principal de la zone, ladresse
de messagerie de
ladministration charge de la
zone. Recense les informations
ncessaires la rplication.
Service (SRV) Indique un service rseau _TCP._LDAP.supinfo.com rsolu
offert par un hte et rsout un en serv1.supinfo.com
nom de service et un port
dhte.
Serveur de noms (NS) Facilite la dlgation en Supinfo.com rsolu en
(Nameserver) identifiant les serveurs DNS de NS1.supinfo.com
chaque zone. Quand un serveur
DNS a besoin denvoyer une
requte un domaine dlgu,
il se rfre lenregistrement
de ressource NS pour trouver
les serveurs DNS de la zone
cible.
Serveur de messagerie (MX) Indique la prsence dun Supinfo.com rsolu en
(Mail Exchanger) serveur de messagerie SMTP mail.supinfo.com
(Simple Mail Transfert
Protocol).
Alias (CNAME) Cest un nom dhte qui fait www.supinfo.com en
rfrence un autre nom Webserv.supinfo.com
dhte.
* + ,,---$ . / 0 $ 1
Exemple denregistrement MX :
5.2.3. Quest-ce quune zone DNS ?
Une zone est une portion contigu de lespace de noms de domaine pour laquelle un serveur DNS sert
de rfrence pour la rsolution des requtes DNS. Elle permet de stocker des noms concernant un ou
plusieurs domaines DNS (si ces domaines sont contigus : relation parent-enfant) ou des portions de
domaines DNS.
Un serveur DNS peut hberger diffrents types de zones tout comme un ou plusieurs types de zones
peuvent tre hbergs sur plusieurs serveurs DNS pour fournir une tolrance de panne et rpartir la
rsolution de noms et la charge de travail.
Les caractristiques dune zone sont :
Une zone est un ensemble de mappages de noms dhtes adresses IP.

Les donnes dune zone sont gres par le serveur et sont stockes dans un fichier de zone
ou dans une base de donnes Active Directory.
Un serveur fait autorit sur une zone sil possde des enregistrements de ressources correspondants
aux noms et aux adresses que les clients demandent dans le fichier de zone.
5.2.4. Quels sont les types de zones DNS ?
Il existe diffrents types de zone :
* + ,,---$ . / 0 $ 1
Contient une version en lecture / criture dans un fichier.

Principale
Rcupre toutes les modifications de la zone.
standard
Doit toujours tre cre en premier pour une nouvelle zone.
Contient la copie en lecture seule du fichier de la zone principale standard.
Secondaire Toute modification effectue sur le fichier de zone principale standard est
standard rplique sur celui-ci.
Permet de rpartir la charge de rsolution de noms des serveurs DNS.
Contient une copie dune zone qui possde uniquement les enregistrements de
ressources ncessaires lidentification du serveur DNS faisant autorit pour la
Zone de stub
zone en question. Une zone de stub est en quelque sorte un signet qui pointe
simplement vers le serveur DNS qui fait autorit pour la zone DNS concerne.
% $ ##
+ 2
5.2.5. Comment modifier un type de zone DNS
Pour modifier un type de zone DNS :
Dans la console DNS, slectionnez la

zone modifier menu action
proprits.
Dans la fentre proprits de votre

zone, il faut cliquer sur Modifier et
modifier la zone.
5.2.6. Que sont les zones de recherche directe et inverse ?
Recherche directe
Lorsque vous crez une zone de recherche directe, lassistant vous proposera les trois types de zone
disponibles, puis il vous invitera entrer le nom de la zone grer et enfin il vous demandera de
valider le nom du fichier contenant la zone DNS. Une fois ces tapes passes, lassistant va crer
automatiquement la zone, le fichier et des enregistrements de type "Source de nom" (Serveur ayant
lautorit sur la zone) et "Serveurs de noms" (Serveur pouvant rpondre aux requtes des clients).
* + ,,---$ . / 0 $ 1
Recherche inverse
Lorsque vous crez une zone inverse, lassistant vous propose dindiquer lID (Partie rseau de votre
adresse IP). Pendant que vous entrez lID, le nom de la zone de recherche inverse saffiche sous la
forme des nombres de votre ID en ordre inverse suivi de ".in-addr.arpa" (ex : Pour "172.16.0.0/16"
"16.172.in-addr.arpa"). Le nom in-addr.arpa reprsente un domaine spcial au niveau DNS, il est
rserv la rsolution dadresses IP en noms dhtes.
5.3. Configuration des transferts de zone DNS
5.3.1. Fonctionnement des transferts de zone DNS
Le transfert de zone consiste en la diffusion des entres contenues dans une zone lensemble des
serveurs DNS secondaires de cette zone.
Sous Windows 2003, il est possible de mettre en place des transferts complets et des transferts
incrmentiels de zone.
Le transfert de zone complet est le type de standard pris en compte par tous les serveurs DNS pour
mettre jour et synchroniser les donnes dune zone. La requte dclenchant ce type de
synchronisation est AXFR.
Le transfert de zone incrmentiel permet de mettre jour seulement les donnes de zones modifies
depuis la dernire mise jour. Ce type de transfert ne seffectue quentre 2 serveurs le prenant en
charge la suite dune requte de type IXFR.
Le processus de transfert de zone intervient dans 2 cas :
Un serveur matre envoie une notification de modification de la zone aux serveurs DNS
secondaires de la zone. Une fois cette notification reue, les serveurs secondaires envoient une
requte de mise jour au serveur matre.
Chaque serveur DNS secondaire interroge intervalles rguliers ses serveurs matres sur les
modifications de la zone. Cette requte est lance aussi chaque dmarrage du service DNS.
Toutes les informations lies la frquence dexcution des transferts de zone sont stockes dans les
enregistrements de ressource de noms (SOA Start of Authority).
* + ,,---$ . / 0 $ 1
Un certain nombre de paramtres sont modifiables (dans les proprits de la zone) :
Le numro de srie fonctionne comme un numro de version (il est donc

Numro de srie incrment chaque version) permettant de savoir si, lors de la synchronisation
avec le serveur matre, le fichier de zone doit tre mis jour.
Serveur Le serveur principal prcise le nom de domaine complet du serveur principal.
principal
Personne La personne responsable sera avertie par e-mail chaque fois quune erreur se
responsable produit lors dun transfert de zone.
Intervalle Lintervalle dactualisation spcifie la frquence laquelle un serveur secondaire
dactualisation va envoyer une requte de mise jour son serveur matre.
Intervalle avant Lintervalle avant nouvelle tentative dtermine lintervalle de temps quun
nouvelle serveur secondaire va prendre pour re-contacter son serveur matre suite lchec
tentative de la tentative dune mise jour.
Dfinit le dlai dexpiration dun serveur secondaire sil narrive pas contacter
Expire aprs son serveur matre. A la suite de lexpiration il ne rpondra plus aux requtes de
la zone.
Dure de vie La dure de vie (TTL) minimale indique le temps durant lequel un serveur peut
minimale mettre en cache des informations pour une zone.
Dure de vie Spcifie la dure TTL de lenregistrement SOA.
pour cet
enregistrement
Il est possible de limiter le nombre de serveurs que vous allez autoriser recevoir les zones. Ceci est
dfini soit par une liste dadresses IP de serveurs DNS soit en limitant les transferts aux serveurs DNS
* + ,,---$ . / 0 $ 1
situs dans le mme domaine. De la mme manire, il est possible de dfinir une liste de serveurs DNS
secondaires qui recevront une notification des mises jour dun fichier de zone.
5.3.2. Fonctionnement de DNS Notify
DNS notify est une mise jour de la spcification dorigine du protocole DNS qui permet dinformer
les serveurs secondaires des modifications de zones.
Les serveurs qui reoivent une notification peuvent demander un transfert de zone afin de corriger les
modifications. Les serveurs qui font autorit dans cette zone prviennent les serveurs secondaires des
modifications par lintermdiaire dune liste de serveurs secondaires.
Avec DNS notify, les mises jour seffectuent au rythme des modifications.
5.4. Configuration des mises jour dynamiques DNS
5.4.1. Que sont les mises jour dynamiques ?
Il existe 2 mthodes pour inscrire des enregistrements dans la base de donnes DNS, soit
manuellement, soit dynamiquement.
En mode dynamique, le client sinscrit auprs du serveur DNS.
La mthode manuelle devient vite inadapte lorsquil faut inscrire la main tous les postes dun rseau
de grande tendue mais peut devenir pratique si on possde un rseau avec des cas isols, avec des
* + ,,---$ . / 0 $ 1
serveurs UNIX par exemple. Par contre la mthode dynamique permet dautomatiser le processus
denregistrement mais aussi de le maintenir jour.
5.4.2. Comment les clients DNS inscrivent et mettent jour de manire

dynamique leurs enregistrements de ressources
Les clients DNS excutant la famille Server 2003, famille 2000 et Windows XP sont configurs par
dfaut pour inscrire et mettre jour dynamiquement leurs noms dhtes et leurs adresses IP dans DNS.
Un client configur par un serveur DHCP ou statiquement peut sinscrire automatiquement sur le
serveur DNS. Le composant qui inscrit lenregistrement de ressource DNS pour un client DNS est le
service de client DHCP, il faut donc activer le service de client DHCP.
Le processus ci-dessous rsume les tapes pour lenregistrement dynamique des clients DNS :
a. Le client envoie une requte SOA au serveur DNS faisant autorit pour
lenregistrement de ressource.
b. Le serveur renvoie le nom de zone et ladresse IP du serveur DNS faisant autorit
pour la zone dans laquelle le client DNS veut sinscrire.
c. Le client DNS envoie ensuite une mise jour qui vrifie la prsence de
lenregistrement.
d. Le serveur rpond au client DNS.
e. Si aucune inscription nexiste dans la zone DNS, le client DNS envoie son inscription.
5.4.3. Comment configurer des mises jour DNS manuelles et

dynamiques
Lorsquun client DHCP reoit une adresse IP, les enregistrements DNS le concernant doivent tre mis
jour. Ainsi, les machines excutant Windows 2003, 2000 ou XP (aussi bien les serveurs que les
clients) sont capables de mettre jour les informations du serveur DNS.
Dans le cas dune machine Windows XP cliente DHCP, lorsque celle-ci va envoyer une requte
DHCP pour obtenir une adresse IP elle va joindre sa requte le nom de domaine complet (FQDN).
Le serveur DHCP envoie ladresse IP au client. Une fois ladresse IP reue, le client DHCP envoie une
mise jour de son enregistrement de recherche directe (A) au serveur DNS et le serveur DHCP envoie
une mise jour de lenregistrement de recherche inverse (PTR) au serveur DNS.
Dans le cas dune machine excutant une version antrieure de Windows 2000, celle-ci ne peut mettre
jour elle-mme les enregistrements du DNS. Il est alors ncessaire de configurer le serveur DHCP
afin quil puisse mettre jour la fois les enregistrements A et PTR de la machine.
5.4.4. Quest-ce quune zone DNS intgre Active Directory ?
Une zone DNS intgre Active Directory est une zone DNS stocke dans Active Directory.
Lorsque vous configurez un contrleur de domaine, Active Directory exige linstallation de DNS.
Les zones DNS principales ou secondaires configures dans un domaine Active Directory peuvent
devenir des zones DNS intgres Active Directory.
Les zones DNS intgres Active Directory prsentent plusieurs avantages par rapport aux zones
DNS principales ou secondaires:
* + ,,---$ . / 0 $ 1
Elles permettent de stocker les donnes de configuration de zone dans Active

Directory au lieu de les stocker dans un fichier de zone ;
Elles permettent dutiliser la rplication Active Directory la place des transferts de
zone ;
Elles permettent dautoriser uniquement les mises jour dynamiques scurises ( la
place des mises jour scurises et non scurises sur une zone DNS non intgre
Active Directory).
Ce modle est considr comme multi-matres. Tous les contrleurs de domaine contenant les
informations de cette zone DNS peuvent agir comme serveur principal et apporter des modifications
la zone.
Lintgration des zones DNS dans lActive Directory permet de stocker les zones DNS dans lActive
Directory et ainsi bnficier dun certain nombre davantages :
Les mises jour de la zone ne sont plus limites un seul serveur (DNS
Pas de point faible principal standard) mais peuvent tre ralises sur lensemble des
unique serveurs DNS de la zone et toutes les modifications sont rpliques sur
lensemble des serveurs DNS de la zone.
La topologie de duplication est alors lie celle de lActive Directory
Topologie de duplication
ce qui permet dviter une configuration de rplication isole pour le
unique
DNS.
Mises jour dynamiques Il est possible de limiter les mises jour dynamiques un certain
scurises nombre dordinateurs autoriss.
. # 2 , -# # 34 # / $
4 # 5
5.4.5. Utilisation des mises jour dynamiques scurises par les zones
DNS intgres Active Directory
Pour que les mises jour dynamiques soient possibles, il est ncessaire de configurer le serveur DNS
afin quil les accepte. Pour configurer le serveur DNS, on dispose de trois options:
Non : Interdit les mises jour dynamiques pour la zone.

Oui : Autorise les mises jour dynamiques pour la zone.
Uniquement les mises jours scurises : Autorise les mises jour dynamiques pour
la zone uniquement aux ordinateurs spcifis (Uniquement lorsque la zone est intgre
Active Directory).
$ %! # 4 6 , $
#$ -# # 3 $ %! 4
# , $
Il est ncessaire de configurer le serveur DHCP pour lenregistrement automatique sur le serveur
DNS.
Il faut tout dabord activer loption Mettre jour automatiquement les informations de client
DHCP dans DNS puis choisir lune des options suivantes :
Mettre jour uniquement si un client DHCP le demande : Le client mettra jour

lenregistrement A et le serveur DHCP lenregistrement PTR.
Toujours mettre jour DNS : Indique que le serveur DHCP va mettre jour la fois
les enregistrements A et PTR.
* + ,,---$ . / 0 $ 1
De plus, si vous disposez de clients excutant des versions antrieures de Windows, assurez vous que
loption Activer des mises jour pour les clients DNS qui ne prennent pas en charge la mise
jour dynamique est active.
Pour finir, il faudra configurer les clients (uniquement ceux tournant sous Windows 2003) :
Dans la configuration DNS des clients, il faudra activer les options Enregistrer les adresses de cette
connexion dans le systme DNS et Utiliser le suffixe DNS de cette connexion pour
lenregistrement DNS.
5.5. Configuration dun client DNS
5.5.1. Fonctionnement des serveurs DNS prfrs et auxiliaires
Un serveur DNS prfr est un serveur

qui reoit les requtes DNS envoyes par
le client DNS. Cest galement le serveur
sur lequel le client DNS met jour ses
enregistrements de ressources.
Un serveur DNS auxiliaire est un

serveur qui est utilis lorsque le serveur
DNS prfr est inaccessible ou lorsque
celui-ci ne peut pas rsoudre les requtes
DNS provenant dun client DNS.
Le serveur auxiliaire nest pas interrog

dans le cas dune rponse ngative la
requte de rsolution de noms.
Si aucun serveur DNS prfr nest

spcifi, alors le client DNS ne pourra
pas interroger un serveur DNS.
Sans serveur DNS auxiliaire, aucune

requte DNS nest rsolue si le serveur
DNS prfr est hors service. Vous
pouvez avoir plusieurs serveurs DNS
auxiliaires (16 au maximum).
5.5.2. Application des suffixes
Si vous navez pas de suffixe DNS configur sur le client, la rsolution et la mise jour des noms
risquent de ne pas fonctionner correctement. En configurant correctement des suffixes DNS sur le
client, vous garantissez la russite de la rsolution de noms.
Loption de slection de suffixe indique que la rsolution de noms non qualifis sur lordinateur
considr est limite aux suffixes du domaine principal et du domaine de second niveau.
Loption Ajouter des suffixes parents indique que la rsolution de noms non qualifis sur lordinateur
considr est limite aux suffixes du domaine principal et au suffixe spcifique la connexion.
* + ,,---$ . / 0 $ 1
Le suffixe spcifique la connexion fournit un espace pour configurer un suffixe DNS propre une
connexion spcifique. Si un serveur DHCP configure cette connexion et que vous ne spcifiez pas de
suffixe DNS, le serveur DHCP affecte un suffixe DNS sil est configur pour le faire.
5.6. Dlgation dautorit pour les zones
5.6.1. Quest-ce que la dlgation dune zone DNS ?
Il sagit du processus distribuant lautorit sur les domaines enfants de votre espace de noms DNS
une autre entit en ajoutant des enregistrements dans la base de donnes DNS.
En tant que gestionnaire dun domaine DNS, vous avez la possibilit de crer des domaines enfants et
leurs zones respectives qui pourront ensuite tre stockes, distribues et rpliques vers dautres
serveurs DNS. La gestion de ces zones supplmentaires peut tre dlgue dautres administrateurs.
Pour dterminer si vous devez ou non diviser votre espace de noms DNS pour dlguer des zones,
prenez en compte les facteurs suivants :
ncessit de dlguer la gestion dune partie de votre espace de noms DNS un autre
emplacement ou un autre secteur de votre organisation ;
ncessit de diviser une zone de grande taille en zones plus petites afin de rpartir le trafic
entre plusieurs serveurs, damliorer les performances de la rsolution de noms DNS ou de
crer un environnement DNS qui tolre mieux les pannes ;
ncessit dtendre lespace de noms en ajoutant des sous-domaines (par exemple, pour
prendre en charge louverture dune nouvelle filiale ou dun nouveau site).
* + ,,---$ . / 0 $ 1
6. Gestion et analyse du systme DNS
6.1. Configuration de la dure de vie
6.1.1. Fonctionnement de la valeur de dure de vie (TTL)
La valeur de dure de vie (Time to live,TTL) est un dlai exprim en secondes qui figure dans les
enregistrements DNS retourns par une requte DNS. Ce dlai indique aux destinataires le temps
denregistrement dune ressource avant suppression dans les informations DNS.
Il existe deux types de TTL dans le DNS : le TTL dune zone qui est appliqu tous les
enregistrements crs dans cette zone et le TTL dun enregistrement qui est appliqu
lenregistrement en particulier.
Suivant la dure dun TTL, deux comportements dans votre rseau se produisent :
Si la valeur du TTL est trop petite, le trafic des requtes DNS va augmenter.
Si la valeur du TTL est trop grande, le trafic li aux requtes DNS va tre faible mais il y a
plus de chance pour que des enregistrements obsoltes perdurent dans le cache des clients
DNS.
6.1.2. Comment configurer la valeur de dure de vie
TTL dune zone TTL dun enregistrement de ressource
Premirement, il faut activer laffichage dtaill

Pour configurer le TTL dune zone, il faut aller dans
dans le menu Affichage de la console DNS.
les proprits de celle-ci, dans longlet Sources de
Ensuite il suffit daller dans les proprits de
noms et la valeur en cours apparat dans la case :
lenregistrement en question et le champ Dure
Dure de vie pour cet enregistrement.
de vie apparat.
* + ,,---$ . / 0 $ 1
6.2. Configuration des paramtres de vieillissement et

de nettoyage
6.2.1. Dfinition des paramtres de vieillissement et de nettoyage
Le vieillissement est un processus qui dtermine si un enregistrement de ressource DNS obsolte doit
tre supprim de la base de donnes DNS.
Le nettoyage est un processus qui consiste supprimer les noms obsoltes ou caducs de la base de
donnes DNS.
Avec la mise jour dynamique des enregistrements de ressources DNS, un client DNS sinscrit dans
la base automatiquement. A prsent, si celui-ci perd sa connexion au rseau, alors son enregistrement
risque de ne pas tre supprim.
Ce cas est de plus en plus frquent avec lutilisation de linformatique mobile. Afin de ne pas polluer
la base de donnes DNS, Microsoft Windows Server 2003 avec DNS est capable de supprimer des
enregistrements obsoltes en recherchant dans la base de donnes les enregistrements de ressources
dont la dure de vie est suprieure une priode spcifie.
DNS utilise un datage quil attribue chaque enregistrement et qui va tre associ 2 intervalles
configurables pour dterminer sil doit nettoyer des enregistrements ou non.
Pour se faire, le vieillissement et le nettoyage doivent tre activs sur le serveur DNS et sur la zone
DNS. Puis ils comportent deux options configurables :
Lintervalle de non-actualisation correspond la priode durant laquelle le serveur

DNS naccepte pas les clients actualisant leur enregistrement. Pendant cet intervalle,
les enregistrements de ressources ne peuvent pas actualiser leur datage.
Lintervalle dactualisation correspond la priode au cours de laquelle le serveur

DNS accepte que les clients actualisent leurs enregistrements. Pendant cet intervalle,
les enregistrements de ressources peuvent actualiser leur datage.
Il est important de paramtrer les intervalles dactualisation et de non-actualisation.

Il est ncessaire dajuster le temps de conservation des enregistrements de ressources.
Il est aussi pratique de paramtrer ces intervalles afin de rduire la rplication DNS lorsque le systme
DNS est intgr au service dannuaire Active Directory.
6.2.2. Fonctionnement du vieillissement et du nettoyage
Processus dexcution du vieillissement et du nettoyage
1. Lenregistrement est dat
2. Le serveur DNS naccepte pas dactualisation pour lenregistrement de ressource durant la

priode dintervalle de non-actualisation de la zone. Mais le serveur DNS accepte la mise
jour de lenregistrement (IP par exemple).
* + ,,---$ . / 0 $ 1
3. Ensuite, lenregistrement passe dans lintervalle dactualisation. Au cours de lintervalle

dactualisation, si le serveur reoit une demande dactualisation de lenregistrement de
ressource, il la traite et retourne ltape 1.
4. Lorsque, par la suite, le serveur procde au nettoyage de la zone, il compare la date en

cours au cumul du datage + intervalle de non-actualisation + intervalle dactualisation.
Si la date en cours est suprieure au cumul, le serveur efface lenregistrement. Dans le cas
contraire, celui-ci est conserv.
5. Comment configurer le vieillissement et le nettoyage ?
Pour configurer le vieillissement

Pour configurer le et le nettoyage pour une zone
vieillissement et le DNS, faites un clic droit sur la
nettoyage du serveur zone Proprits. Puis dans
DNS, faites un clic droit longlet gnral appuyer sur le
dans la console DNS sur bouton Vieillissement. La fentre
le serveur paramtrer qui saffiche est identique celle
et cliquez sur Dfinir le gauche, except ce champ :
vieillissement/nettoyage
pour toutes les zones
lheure du prochain nettoyage de
zone y est affiche.
Pour activer le nettoyage

automatique des enregistrements
obsoltes, vous devez paramtrer les
proprits du serveur DNS depuis la
console DNS, dans longlet avanc.
Activez cette option en bas de la
fentre sans oublier de spcifier le
dlai de nettoyage.
Il est possible de lancer le nettoyage des enregistrements de ressources obsoltes en faisant un clic
droit sur le serveur et en cliquant sur Nettoyer les enregistrements de ressources obsoltes.
* + ,,---$ . / 0 $ 1
6.3. Intgration du systme DNS et du service WINS
6.3.1. Comment intgrer le systme DNS et le service WINS
Le systme DNS a pour fonction de rsoudre les noms dhtes.

Le service WINS a pour fonction de rsoudre les noms NetBIOS.
Dans certains cas, il savre intressant dutiliser la base de donnes WINS existante pour les
recherches de noms dhtes, au lieu de configurer lidentique la base de donnes DNS.
Grce lintgration du systme DNS et du service WINS, les clients DNS peuvent employer les
entres de noms NetBIOS existantes dans le service WINS pour la recherche des noms dhtes. Le
service DNS offre en effet la possibilit dutiliser des serveurs WINS pour rechercher des noms
absents de lespace de noms DNS en contrlant lespace de noms NetBIOS gr par WINS.
Pour intgrer le service

WINS au systme DNS,
vous devez activer le
paramtre dans les
proprits WINS de la zone
de recherche directe ou dans
longlet WINS-R des
proprits de la zone de
recherche inverse.
Cochez la case Utiliser la

recherche directe WINS
IMPORTANT
Activez la case cocher
Ne pas rpliquer cet
enregistrement dans le cas
o les donnes de zone sont
rpliques vers des zones
secondaires hberges sur
des serveurs DNS tiers ne
reconnaissant pas les
enregistrements WINS ou
WINS-R.
Ainsi, les enregistrements
du localisateur WINS ne
seront pas rpliqus sur
dautres serveurs pendant
les transferts de zone. Si une
zone participe aux transferts
de zone vers des serveurs
BIND (Berkeley Internet
Name Domain), lactivation
de cette option est
indispensable car BIND ne
reconnat pas ces types
denregistrements WINS.
* + ,,---$ . / 0 $ 1
6.4. Test de la configuration du serveur DNS
6.4.1. Fonctionnement des requtes simples et rcursives
Vous pouvez tester un serveur DNS en excutant des requtes simples ou des requtes rcursives.
Lors de modifications de configuration du serveur DNS, ce type de requtes permet de contrler le

fonctionnement de votre serveur. Cette mesure est utile si vous devez rsoudre des problmes lis aux
requtes DNS.
Une requte simple est une requte qui excute un test local en utilisant le client DNS pour interroger
le serveur DNS. Ce type de test spcifie que le serveur DNS excute une requte simple ou itrative. Il
sagit dune requte localise qui se sert de la rsolution de client DNS sur le serveur DNS pour
interroger le service DNS local, qui se trouve sur le mme serveur DNS.
Une requte rcursive est une requte qui teste un serveur DNS en transmettant une requte rcursive
un autre serveur DNS. Ce type de test spcifie que le serveur DNS excute une requte rcursive. Il
est similaire au test par requte simple en termes de traitement initial de la requte, dans la mesure o
il utilise la rsolution de client DNS local pour interroger le serveur DNS local, hberg sur le mme
ordinateur. Cependant, le client demande au serveur dutiliser la rcursivit pour rsoudre une requte
de type serveur de noms (NS) pour la racine de lespace de noms de domaine DNS. La racine est sous
la forme dun point unique ( . ). Ce type de requte ncessite gnralement un traitement rcursif
supplmentaire et peut se rvler utile pour vrifier que des indications de racine du serveur ou des
dlgations de zone ont t configures correctement.
* + ,,---$ . / 0 $ 1
6.4.2. Comment tester la configuration du serveur DNS
Ces tests seffectuent partir de longlet Analyse des proprits du serveur DNS.
6.5. Vrification de la prsence dun enregistrement

de ressource laide de Nslookup, de DNSCmd et de
DNSLint
6.5.1. Pourquoi vrifier sil existe un enregistrement de ressource ?
La vrification de la prsence dun enregistrement de ressource est une fonction de base de lanalyse et
du dpannage dun systme DNS.
Si le serveur DNS comporte des mappages nom dhte-adresse IP prims, obsoltes ou incorrects, les
clients ne pourront pas se connecter aux services rseaux. Vu le nombre considrable de mises jour
dynamiques, il est important de sassurer de la validit des enregistrements.
Pour identifier les problmes potentiels dune solution DNS, il est possible de contrler les points
suivants :
Enregistrements manquants
Enregistrements incomplets
Enregistrements mal configurs
Il existe bien des utilitaires vous permettant danalyser, grer et de dpanner le systme DNS. Ces
excutables sont Nslookup, DNSCmd et DNSLint.
* + ,,---$ . / 0 $ 1
6.5.2. Nslookup
Nslookup est un utilitaire en ligne de commande employ pour diagnostiquer les ventuels problmes
lis linfrastructure DNS.
Nslookup permet dexcuter le test de requte sur des serveurs DNS et de rcuprer une liste de
rponses dtailles. Ces informations sont utiles lors du dpannage de la rsolution de noms ou pour
vrifier que des enregistrements de ressources ont t correctement ajouts ou mis jour dans une
zone.
Vous pouvez utiliser cette commande pour effectuer un dboguage sur dautres incidents techniques
lis au serveur DNS.
Nslookup peut tre utilis en 2 modes :
Interactif : Qui permet de rester dans le prompt de la commande ce qui vous permettra
deffectuer plusieurs requtes.
Non interactif : Qui permet dutiliser Nslookup en une simple commande. Par ce moyen,
vous pouvez rediriger la sortie de la commande vers un fichier texte.
Pour que Nslookup fonctionne correctement, un enregistrement de ressource PTR doit exister pour le
serveur sur lequel vous voulez effectuer une recherche. Au dmarrage, Nslookup effectue une
recherche inverse sur ladresse IP du serveur qui excute le service Serveur DNS et signale une erreur
sil est incapable de rsoudre ladresse en nom. Cette erreur ne nuit pas aux performances normales de
Nslookup en ce qui concerne les diagnostics.
6.5.3. DNSCmd
DNSCmd est un outil de support DNS inclus dans les outils de support du CD-ROM Windows Server
2003 (\Support\Tools\suptools.msi).
DNSCmd est une interface de ligne de commande pour la gestion des serveurs DNS. Cet outil permet
d'
crire des scripts de fichiers de commandes, pour automatiser la gestion et la mise jour des
configurations existantes de serveur DNS, ou pour effectuer l' installation et la configuration de
nouveaux serveurs DNS sur votre rseau.
6.5.4. DNSLint
DNSLint est un outil de support DNS inclus lui aussi dans les outils de support du CD-ROM
Windows Server 2003. Cet utilitaire Microsoft Windows peut excuter une srie de requtes, facilitant
ainsi le diagnostic des problmes courants lis la rsolution de noms DNS.
Afin de faciliter le diagnostic et la rsolution des problmes quentranent des enregistrements DNS
manquants ou incorrects, il est utile de sassurer de la cohrence dun ensemble particulier
denregistrements DNS sur plusieurs serveurs DNS.
Par exemple : Certains clients ont des difficults ouvrir une session sur le domaine, vrifiez si les
enregistrements SRV, utiliss par les clients pour rechercher les serveurs LDAP (Lightweight
Directory Access Protocol) et Kerberos, sont disponibles et exacts. Vous dterminerez ainsi plus
facilement si les paramtres DNS sont lorigine du problme.
DNSLint possde trois fonctions qui vrifient les enregistrements DNS et gnrent un rapport en
HTML (Hypertext Markup Language).
* + ,,---$ . / 0 $ 1
DNSLINT /d diagnostique les causes possibles de dlgations inappropries et dautres

problmes DNS apparents.
o La dlgation inapproprie survient si un sous-domaine DNS est configur pour
utiliser un serveur DNS qui soit nexiste pas, soit ne fait pas autorit pour ce sous-
domaine.
DNSLINT /ql vrifie un ensemble dfini par lutilisateur denregistrements DNS sur plusieurs
serveurs DNS.
DNSLINT /ad vrifie les enregistrements DNS spcifiquement employs pour la rplication
Active Directory.
6.5.5. Comment vrifier la prsence dun enregistrement de ressource

laide de Nslookup, de DNSCmd et de DNSLint
Vous pouvez avoir recours lun des trois utilitaires DNS (Nslookup, DNSCmd et DNSLint) pour
effectuer des tches danalyse, comme vrifier lexistence dun enregistrement de ressource. Par
dfaut, Nslookup est disponible dans Windows Server 2003. Quant DNSCmd et DNSLint, ils
doivent tre installs partir des outils de support du CD-ROM Windows Server 2003.
Pour pouvoir utiliser les utilitaires DNSCmd et DNSLint, il faut installer suptools.msi qui se trouve
sur le Cd-Rom de Microsoft Windows Server 2003 dans le dossier /Support/Tools.
Exemple dutilisation de ces commandes :
DNSCmd [nom du serveur] /enumzones: Permet dafficher la liste complte des zones
configures sur le serveur DNS.
DNSCmd [nom du serveur] /zoneinfo [zone] : Permet dafficher les informations dune
zone spcifique.
6.6. Analyse des performances du serveur DNS
6.6.1. Principes danalyse des performances du serveur DNS laide de

la console de performances
Les serveurs DNS ont une importance capitale dans la plupart des environnements, cest pourquoi
lanalyse de leurs performances procurent des avantages certains dans la stratgie doptimisation de
votre infrastructure rseau.
Lanalyse vous donne des informations utiles pour prvoir, estimer et optimiser les
performances du serveur DNS.
Lanalyse vous facilite le dpannage des serveurs DNS victimes dune baisse de
performances.
Il est recommand danalyser dune part les phases critiques de lactivit du systme DNS, comme les
mises jour dynamiques, les notifications, les transferts de zone complets et incrmentiels, les
requtes, et dautre part lintgrit du serveur DNS.
* + ,,---$ . / 0 $ 1
Compteurs de Donnes collectes Signification des donnes Tendance valuer une

performance fois la ligne de base
tablie
Mises jour Nombre total de Un nombre lev de Si ce nombre passe au-
dynamiques mises jour demandes refuses par un dessus de la ligne de base,
refuses dynamiques serveur DNS configur pour il convient de raliser des
refuses par le autoriser les mises jour recherches
serveur DNS scurises peut signifier que supplmentaires.
des ordinateurs non autoriss
effectuent des tentatives de
mises jour.
Requtes Nombre moyen de Ce compteur fournit une Si la valeur de ce
rcursives/seconde requtes rcursives indication de la charge lie compteur chute ou
reues par un aux requtes imposes au augmente
serveur DNS serveur DNS. considrablement, il
chaque seconde. convient de raliser des
recherches
supplmentaires.
Demandes AXFR Nombre total de Le serveur DNS qui hberge Si la valeur de ce
envoyes transferts de zone la zone secondaire demande compteur dpasse
complets envoys des transferts de zone largement la ligne de
par le service incrmentiels. Si ce nombre base, il est possible que
Serveur DNS est lev, cela veut dire que vous deviez revoir le
lorsquil joue le les modifications effectues nombre de modifications
rle dun serveur sur la zone principale sont apportes la zone et
secondaire pour fort nombreuses. revoir la configuration des
une zone. transferts de zone.
* + ,,---$ . / 0 $ 1
6.6.2. Quest-ce quun journal des vnements DNS ?
Un journal des vnements DNS est un journal

systme configur pour nenregistrer que les
vnements DNS.
Vous pouvez avoir recours lObservateur

dvnements pour consulter et analyser les
vnements DNS lis aux clients. Ceux-ci
saffichent dans le journal systme et sont crits par
le service Client DNS sur tous les ordinateurs
Windows (toutes les versions).
Dans Windows Server 2003, les messages

dvnements de serveur DNS sont conservs
sparment dans un journal qui leur est propre (le Son fichier journal contient des vnements consigns
journal du serveur DNS). par le service Serveur DNS. Par exemple, lors de
larrt ou du dmarrage du serveur DNS, un message
Ce journal peut tre consult laide de la console dvnement correspondant est inscrit dans ce journal.
DNS ou de lObservateur dvnements. Les vnements derreurs du service DNS y sont
galement enregistrs, par exemple lorsque le serveur
dmarre et quil y a une erreur lors des transferts de
zone ou encore lorsque les informations de zone
ncessaires au dmarrage ne sont pas disponibles.
6.6.3. Quest-ce que lenregistrement de dboguage DNS ?
Lenregistrement de dboguage DNS est un outil journal facultatif pour DNS, qui stocke les
informations DNS que vous slectionnez. Il ne faut pas oublier que lenregistrement dans un journal
ncessite des ressources du serveur, lenregistrement de dboguage nest pas activ par dfaut. Il est
configur au niveau du serveur DNS et ses paramtres ont donc une incidence sur toutes les zones
hberges sur le serveur DNS.
Vous pouvez capturer un grand nombre de donnes statistiques DNS laide de loutil Performances
qui vous permet de crer des graphiques. Si vous voulez obtenir des informations encore plus
spcifiques, vous pouvez activer lenregistrement de dboguage DNS, lequel permet de collecter des
donnes DNS spcifiques dans le fichier DNS.Log.
Par exemple, si vous voulez connatre les types de requtes envoyes par un ordinateur au serveur
DNS, vous pouvez configurer lenregistrement de dboguage DNS pour quil recueille uniquement les
informations relatives aux requtes DNS entrantes utilisant les protocoles UDP (User Datagram
Protocol) ou TCP (Transmission Control Protocol) partir dune adresse IP (Internet Protocol)
particulire.
Lenregistrement de dboguage se poursuit jusqu ce que la taille de journal spcifie soit atteinte ou
que le lecteur sur lequel se trouve le fichier journal vienne manquer despace disponible. Une fois la
limite en terme de taille de fichier est atteinte, le processus denregistrement commence craser les
entres les plus anciennes.
* + ,,---$ . / 0 $ 1
Les fichiers journaux peuvent devenir trs volumineux, cest pourquoi il est recommand de les
stocker sur un lecteur distinct.
ATTENTION ! : Le mode dboguage pour DNS altre fortement la disponibilit des ressources
de votre systme, processeur et mmoire vive. Le temps de rponse pour les requtes des clients
DNS distants sera alors augment.
* + ,,---$ . / 0 $ 1
7. Rsolution de noms NetBIOS

laide du service WINS
Le service WINS a t cr dans le but de limiter le trafic de diffusion et de permettre la rsolution de
noms NetBIOS sur plusieurs segments de rseau.
Dans Windows 2003, le principal moyen utilis pour la rsolution de noms est le systme DNS. Pour
les ordinateurs clients dmarrant des versions de Windows antrieures Windows 2000, XP ou 2003,
un serveur WINS leur permettra de communiquer efficacement. (ex : Windows NT4)
7.1. Installation et configuration dun serveur WINS
7.1.1. Composants du service WINS
Le systme WINS complet de Windows Server 2003 comprend les composants suivants :
Serveur WINS : Ordinateur qui traite les requtes dinscription de noms provenant des clients
WINS, inscrit les noms et adresses IP du client. Le serveur WINS rpond aux requtes de
noms NetBIOS soumises par les clients. Le serveur WINS renvoie ensuite ladresse IP dun
nom demand, si ce dernier figure dans la base de donnes du serveur.
Base de donnes WINS : La base de donnes WINS stocke et rplique les mappages des noms
NetBIOS aux adresses IP dun rseau.
Client WINS : Ordinateurs que vous pouvez configurer pour utiliser directement un serveur
WINS ; ces ordinateurs possdent gnralement plusieurs noms NetBIOS quils doivent
inscrire pour pouvoir tre utiliss sur le rseau.
Agents proxy WINS : Ordinateur qui contrle la diffusion des requtes de noms et rpond aux
requtes clientes lorsque les noms ne figurent pas sur le sous-rseau local. Le proxy
communique avec un serveur WINS pour rsoudre les noms, puis les met en cache pour une
priode donne.
7.1.2. Prsentation dun type de nud NetBIOS
Les types de nuds NetBIOS permettent un administrateur de configurer lordre et la mthode

utilise par un client lors de la rsolution de noms NetBIOS en adresses IP.
Il y a plusieurs possibilits en fonction du type de nud :
Nud B (broadcast-node) : Utilise la diffusion pour lenregistrement et la rsolution

de noms.
Nud P (Peer-to-peer-node) : Utilise un serveur de noms (WINS) pour la rsolution.
Nud M (mixed-node) : Mthode B et P : si aucun rsultat par la mthode B
(mthode de rsolution par dfaut), utilisation de la mthode P.
* + ,,---$ . / 0 $ 1
Nud H (Hybrid-node) : Mthode B et P : si aucun rsultat par la mthode P

(mthode de rsolution par dfaut), utilisation de la mthode B.
Windows Server 2003 et Windows XP sont configurs par dfaut avec la configuration de type
nuds B.
Lorsquun ordinateur excutant Windows XP, Windows Server 2003 ou Windows 2000 est configur
avec les adresses de serveurs WINS pour la rsolution de noms, il utilise automatiquement le nud.
Vous pouvez utiliser les options du protocole DHCP (Dynamic Host Configuration Protocol) pour
attribuer ce type de nud.
7.1.3. Comment un client WINS inscrit et libre des noms NetBIOS
Au dmarrage de lordinateur, le service NetBT sur le protocole TCP/IP va envoyer une demande
denregistrement du nom NetBIOS un serveur WINS. Dans le cas o le nom NetBIOS serait dj
appropri, lordinateur ne pourra pas utiliser le protocole NetBIOS pour communiquer.
Un nom NetBIOS est inscrit de faon temporaire sur le serveur WINS. Le serveur WINS envoie un
message au client lors de son inscription pour linformer de la dure de lenregistrement acquis (TTL,
Time to Live). Ce dernier devra renouveler son enregistrement la fin du TTL afin de le conserver.
Si le processus de renouvellement nest pas effectu dans le temps imparti, linscription sur le serveur
WINS va tre supprime. Le renouvellement est donc ncessaire pour ce type denregistrement
contrairement aux enregistrements statiques qui nutilisent pas le TTL.
La dure du TTL par dfaut est de 6 jours. Un renouvellement dun enregistrement donc lieu au
bout de 3 jours car le client WINS tente son renouvellement 50% de lcoulement du TTL.
7.1.4. Fonctionnement de la prise en charge du traitement en rafale
Le traitement de rponse de type rafale est utilis lorsque le nombre de tentatives simultanes excde
la taille de la file dattente de traitement (par dfaut : 500). Le principe de ce traitement est de
rpondre superficiellement aux requtes clients (par une inscription positive), ce qui permet au client
dutiliser le protocole NetBIOS pour la communication. Afin dviter des problmes denregistrements
non achevs correctement, le serveur WINS dfinit une courte dure de vie afin deffectuer une
inscription complte une fois le trafic WINS revenu la normale.
Par exemple, lorsque le courant est rtabli aprs une coupure, de nombreux utilisateurs dmarrent et
inscrivent simultanment leur nom sur le rseau, ce qui engendre un trafic WINS trs dense. Avec la
prise en charge du traitement en rafale, un serveur WINS peut rpondre positivement aux requtes des
clients, avant mme de traiter et dentrer physiquement ces mises jour dans la base de donnes du
serveur WINS.
7.1.5. Comment un serveur WINS rsout les noms NetBIOS
Pour la famille Windows Server 2003, Windows XP et Windows 2000, le service WINS utilise les
options suivantes pour rsoudre un nom une fois la requte NetBIOS mise :
1. Le client WINS contacte le premier serveur WINS trois reprises pour rsoudre le nom
laide du service WINS.
* + ,,---$ . / 0 $ 1
2. Si le premier serveur WINS ne rpond pas, le client contacte dautres serveurs WINS
disponibles jusqu ce quil obtienne une rponse.
3. Si un serveur WINS rsout le nom NetBIOS, ladresse IP est renvoye au client. Aprs avoir
reu la rponse, le client utilise cette adresse pour se connecter la ressource souhaite.
4. Si aucun serveur WINS ne peut rsoudre le nom NetBIOS, le processus de rsolution se
poursuit en dehors du service WINS. Le client avec nud H tente une diffusion. Si la
diffusion choue, le client parcourt son fichier Lmhosts local.
7.1.6. Comment installer le service WINS
Pour installer le service WINS, vous pouvez passer par la console habituelle dAjout/Suppression de
programmes pour Ajouter ou supprimer des composants Windows. Ensuite dans la rubrique
Services de mise en rseau, il faut cocher Service WINS.
Vous pouvez passer aussi par la console Grer votre serveur pour y ajouter le rle de serveur WINS.
Cette console se trouve dans les outils dadministration.
7.1.7. Comment configurer la prise en charge du traitement en rafale
Vous pouvez configurer le niveau de prise en

charge du traitement en rafale utilis par le
serveur et adapter ainsi la taille de la file dattente
de transmission en rafale pour des rafales faibles,
moyennes ou leves. La prise en charge du
traitement en rafale est active par dfaut et la file
dattente de transmission en rafale est dfinie sur
le niveau moyen.
Pour configurer cette prise en charge, il faut aller

dans longlet Avanc des proprits du serveur
WINS.
Correspondance Niveau et requtes :

Faible 300
Moyen 500
Haut 1000
Personnalis entre 50 et 5000
7.2. Gestion des enregistrements dans le serveur

WINS
7.2.1. Prsentation dun enregistrement client
Un enregistrement client est une entre contenue dans la base de donne WINS qui contient des
informations dtailles concernant les services NetBIOS excuts sur le client comme :
Nom denregistrement : Nom NetBIOS inscrit

Type : Type de service
* + ,,---$ . / 0 $ 1
Adresse IP
Etat : Actif, libr ou dsactiv
Statique : Indique si le mappage est statique
Propritaire : Le serveur WINS do provient lentre
Version : Numro unique affect par le serveur lors de lenregistrement (utile pour la
rplication)
Expiration
7.2.2. Prsentation dun mappage statique
Un mappage statique est un enregistrement client entr manuellement dans la base de donnes WINS
par ladministrateur afin denregistrer les services des clients non-WINS (ex : UNIX).
7.2.3. Comment ajouter une entre de mappage statique
Pour ajouter une entre de mappage statique,

il est ncessaire de possder trois lments
concernant ce mappage :
Nom NetBIOS
Type de nom (unique, groupe, nom
de domaine, )
Adresse IP
Lajout se trouve dans la console WINS :

Clic droit sur le dossier Inscription actives du
serveur WINS \ Nouveau mappage
statique
7.2.4. Mthodes de filtrage et daffichage des enregistrements du service

WINS
Les mthodes de filtrage et daffichage des enregistrements du service permettent dafficher lessentiel
des informations ncessaires lors dune administration distance par exemple, ou disoler un problme
plus rapidement.
Lors de la cration dun filtre de recherche, vous pouvez choisir entre 3 catgories de filtres :
Mappage des enregistrements : Recherche partir dun nom NetBIOS complet ou non, et/ou
une adresse IP avec ou sans masque de sous rseau.
Propritaires des enregistrements : Recherche partir denregistrements dans les

enregistrements de noms dun ou de plusieurs propritaires denregistrements de noms.
* + ,,---$ . / 0 $ 1
Types denregistrement : Recherche partir denregistrements sur un ou plusieurs types

denregistrements, grce au suffixe du nom NetBIOS.
7.2.5. Comment filtrer les enregistrements WINS
Pour accder aux diffrentes catgories de recherche, il faut faire un clic droit sur le dossier
Inscriptions actives puis cliquer sur Afficher les enregistrements
Une fois le filtre configur, il ne reste plus qu appuyer sur rechercher.
* + ,,---$ . / 0 $ 1
7.3. Configuration de la rplication WINS
7.3.1. Fonctionnement de la rplication WINS
La rplication WINS consiste mettre jour les donnes WINS entre plusieurs serveurs afin de
synchroniser les donnes. Lorsquun client WINS veut rsoudre un nom NetBIOS, il peut passer par
nimporte quel serveur du mme rseau.
Lorsquun rseau utilise plusieurs serveurs WINS, chaque serveur est configur comme partenaire
metteur ou comme partenaire metteur/rcepteur dau moins un autre serveur WINS. La
configuration par dfaut des partenaires de rplication WINS se fait par mission/rception.
Cependant, vous pouvez modifier cette configuration en fonction des exigences de votre
environnement rseau.
7.3.2. Fonctionnement de la rplication par mission
Un partenaire Emetteur avertit ses partenaires de rplication lorsque le nombre de modifications dans
sa base de donnes atteint un seuil que vous pouvez configurer. Ce type de partenaire est utilis dans
le cas de liaisons rapides
7.3.3. Fonctionnement de la rplication par rception
Un partenaire Collecteur demande les copies des nouvelles entres de la base de donnes ses
partenaires de rplication intervalles rguliers. Vous pouvez configurer cet intervalle. Ce type de
partenaire est gnralement utilis dans le cas de liaisons lentes.
7.3.4. Prsentation de la rplication par mission/rception
Un partenaire Emetteur/Collecteur demande la copie des nouvelles entres intervalles rguliers et

avertit ses partenaires de rplication lorsque le nombre de modifications atteint un seuil. Par dfaut un
serveur WINS est configur en partenaire Emetteur/Collecteur.
7.3.5. Proprits des partenaires de rplication WINS
Activer la configuration automatique des partenaires :
Cette option permet un serveur WINS de configurer automatiquement les autres serveurs
WINS comme ses partenaires de rplications.
Vous pouvez paramtrer la configuration automatique des partenaires. Le serveur WINS est
alors activ pour contrler les annonces de multi-diffusions provenant dautres serveurs WINS
et pour effectuer automatiquement les tapes de configuration suivantes.
* + ,,---$ . / 0 $ 1
Lorsque vous configurez loption Activer la configuration automatique des partenaires ,

le serveur WINS :
ajoute ladresse IP des serveurs dcouverts sa liste de serveurs partenaires de

rplication
configure les serveurs dcouverts la fois comme partenaires metteurs et rcepteurs
configure la rplication par rception des intervalles de 2 heures sur les serveurs
dcouverts
Activer les connexions permanentes :
Gnralement, le serveur WINS se dconnecte une fois la rplication effectue. Lors

dutilisation de liaisons fixes entre les serveurs, il est prfrable et plus rapide de rendre ces
connexions permanentes. Il ne reste plus qu activer le seuil de rplication 0 et la
convergence de base de donnes sera instantane.
Activer loption Remplacer les mappages statiques uniques pour ce serveur (migration) :
Contrairement aux mappages dynamiques qui sont automatiquement supprims du service

WINS au bout dun certain temps, les mappages statiques peuvent rester inscrits dans la base
de donnes WINS de faon permanente ou jusqu ce que ladministrateur rseau les
supprime.
Si, au cours dune mise jour, le service WINS reoit une entre statique et une entre
dynamique portant le mme nom, il conserve par dfaut lentre de type statique.
Cependant, vous pouvez utiliser le paramtre Remplacer les mappages statiques uniques pour
ce serveur pour modifier ce comportement.
Vous pouvez configurer ce paramtre uniquement partir de la bote de dialogue des
proprits de lobjet Partenaire de rplication dans la console WINS.
7.3.6. Comment configurer la rplication WINS
Par dfaut, les partenaires de rplication WINS sont configurs en tant que partenaires
metteurs/rcepteurs. Pour modifier ce paramtre, il faut aller dans la console WINS puis faire un clic
droit sur le dossier Partenaire de rplication du serveur en cours pour appuyer sur Nouveau
partenaire de rplication. Ensuite il ne reste plus qu spcifier ladresse dun autre serveur WINS
valide pour la rplication.
Il est possible de modifier le type de partenaire de rplication (Emission, Collecte ou

Emission/Collecte) dans longlet Avanc des proprits du serveur se trouvant dans les partenaires de
rplication.
7.4. Gestion de la base de donnes WINS
7.4.1. Pourquoi sauvegarder une base de donnes WINS ?
Dans le cas o, il nest plus possible daltrer une base de donnes dfaillante cause dun virus ou
autres problmes similaires, vous pouvez supprimer la base WINS et en restaurer une propre .
* + ,,---$ . / 0 $ 1
La console de gestion WINS fournit des outils de sauvegarde avec lesquels vous pouvez sauvegarder
la base de donnes WINS. Une fois que vous avez spcifi un rpertoire de sauvegarde pour la base de
donnes, le service WINS effectue des sauvegardes compltes de la base de donnes toutes les 24
heures, par dfaut. La console de gestion WINS fournit galement une option de sauvegarde que
vous pouvez utiliser pour restaurer une base de donnes de serveur en cas de dfaillance.
Pour restaurer la base :
Arrtez le service WINS,

Supprimez tous les fichiers de la base de donnes actuelle
Effectuez la restauration partir de la sauvegarde
Redmarrez le service.
Attention ! : La base de donnes restaurer doit tre dans le rpertoire de sauvegarde par dfaut.
7.4.2. Comment sauvegarder et restaurer une base de donnes WINS
Pour sauvegarder la base WINS, il faut au pralable spcifier le rpertoire de sauvegarde et faire une
premire sauvegarde manuelle.
Pour spcifier le rpertoire de sauvegarde, il faut

faire un clic droit sur le serveur WINS ( partir de la
console WINS) pour afficher les proprits de celui-
ci. Ensuite dans longlet Gnral, il faut entrer le
chemin de la sauvegarde dans la zone Chemin par
dfaut de la copie de sauvegarde. Lorsque le
service WINS sauvegarde la base de donnes du
serveur, il cre un dossier Wins_bak\New dans le
dossier de sauvegarde spcifi.
Pour initier la premire sauvegarde, il suffit de

cocher Effectuer une copie de sauvegarde de la
base de donnes lors de larrt du serveur si
ncessaire.
Vous pouvez faire une sauvegarde manuelle en faisant un clic droit sur le serveur WINS puis
Sauvegarder la base de donnes
7.4.3. Prsentation de la suppression simple et de la dsactivation

denregistrements
Il est possible de rcuprer de la place dans la base de donnes WINS en supprimant des
enregistrements obsoltes. Il existe pour cela plusieurs mthodes disponibles partir de la console
WINS :
Suppression simple denregistrements : Il suffit de supprimer des enregistrements que
ladministrateur trouve obsoltes sur le serveur. Si vous possdez plusieurs serveurs, il faut
veiller supprimer les enregistrements obsoltes sur les autres serveurs, auquel cas les
enregistrements seront de nouveau rpliqus.
* + ,,---$ . / 0 $ 1
Dsactivation denregistrement : Le serveur WINS modifie ltat de lenregistrement en le

mettant dsactiv. Une fois un enregistrement dsactiv, le serveur WINS ne peut plus le
rsoudre lors de requtes clientes. Ensuite lors de la rplication, le serveur va indiquer aux
autres serveurs le nouvel tat de lenregistrement qui va ensuite expirer et tre supprim.
7.4.4. Comment supprimer un enregistrement WINS
Il y a donc 2 possibilits de suppression dun enregistrement : la suppression simple et la

dsactivation.
Pour choisir lun des deux lors de la suppression dun enregistrement, il faut faire un clic droit sur
lenregistrement en question puis supprimer.
Une bote de dialogue apparat alors :
7.4.5. Prsentation du compactage dynamique et du compactage hors

connexion
Le compactage permet de rorganiser la base de donnes afin de rcuprer la place des

enregistrements supprims.
Dans Windows Server 2003, le service WINS effectue un compactage Jet dynamique de la base de
donnes WINS pendant que le serveur est en ligne. De ce fait, le compactage manuel est beaucoup
plus rapide.
Mme si le serveur utilise le compactage Jet dynamique, le compactage manuel (jetpack.exe) permet
une meilleure rcupration despace et doit tre fait rgulirement. Lors dun compactage manuel, il
suffit de noter la taille du fichier de la base WINS (%systemroot%\System32\Wins\Wins.mdb)
avant et aprs le compactage afin de dterminer lintrt du compactage manuel et de dfinir la
frquence dutilisation de ce procd.
7.4.6. Comment compacter une base de donnes WINS
Donc par dfaut la base est automatiquement compacte en ligne mais vous pouvez la compacte
manuellement en mode hors connexion.
Pour compacter la base de donnes WINS hors connexion :
1. Arrtez le service WINS en utilisant la commande net. linvite de commandes, tapez

net stop wins.
* + ,,---$ . / 0 $ 1
2. partir du rpertoire %systemroot%\System32\, excutez lutilitaire de ligne de

commande jetpack.exe laide de la syntaxe de commande suivante : jetpack
%systemroot%\System32\Wins\Wins.mdb Nom_Temporaire.mdb (o Nom_Temporaire
est le nom que vous attribuez au fichier). Cette procdure compacte le contenu du fichier
Wins.mdb dans Nom_Temporaire.mdb, copiez le fichier temporaire dans Wins.mdb et
supprimez le fichier temporaire.
3. Redmarrez le service WINS en utilisant la commande net. linvite de commandes,

tapez net start wins.
7.4.7. Comment fonctionne le nettoyage
Le nettoyage est le processus consistant supprimer des entres de base de donnes WINS qui ont
expires.
Le nettoyage permet de maintenir des informations dtat correctes dans la base de donnes en
contrlant chaque enregistrement appartenant au serveur WINS, en comparant le datage de
lenregistrement avec lheure actuelle, puis en modifiant ltat des enregistrements qui ont expirs. Par
exemple, le nettoyage modifie ltat dun enregistrement de ltat actif ltat libr .
Le processus de nettoyage intervient automatiquement des intervalles dfinis par la relation entre les
configurations dintervalle de renouvellement et dextinction. Configurez les proprits suivantes pour
dfinir cette relation.
Le nettoyage est effectu conformment une planification dfinie comme suit :
1. Le minuteur de nettoyage est activ au dmarrage du serveur et correspond la moiti

de lintervalle de renouvellement.
2. Les noms actifs appartenant au serveur WINS et pour lesquels lintervalle de

renouvellement a expir sont marqus comme tant librs.
3. Les noms librs appartenant au serveur WINS et pour lesquels lintervalle

dextinction a expir sont marqus pour suppression.
4. Les noms marqus pour suppression et pour lesquels le dlai dextinction a expir
sont supprims de la base de donnes.
5. Les noms marqus pour suppression, rpliqus partir dautres serveurs et pour
lesquels le dlai dextinction a expir sont supprims de la base de donnes.
6. Les noms actifs rpliqus partir dautres serveurs et pour lesquels lintervalle de
vrification a expir sont revalids.
7. Les noms marqus pour suppression rpliqus partir dautres serveurs sont
supprims de la base de donnes.
* + ,,---$ . / 0 $ 1
7.4.8. Comment nettoyer la base de donnes WINS
Pour configurer les intervalles, il faut aller dans longlet intervalles des proprits du serveur WINS :
Intervalles Description de lintervalle

Intervalle de Frquence laquelle un client WINS renouvelle son inscription de nom
renouvellement auprs du serveur WINS. La valeur par dfaut est de six jours.
Intervalle entre lheure laquelle une entre est marque comme libre
Intervalle dextinction (plus inscrite) et lheure laquelle elle est marque comme teinte. La
valeur par dfaut est de quatre jours.
Intervalle entre lheure laquelle une entre est marque comme teinte
et lheure laquelle elle est effectivement supprime de la base de
Dlai dextinction
donnes WINS. La valeur par dfaut est la mme que celle de lintervalle
de renouvellement et ne peut pas tre infrieure 24 heures.
Intervalle aprs lequel le serveur WINS vrifie que les noms dont il nest
Intervalle de vrification pas propritaire (noms dupliqus partir dautres serveurs WINS) sont
encore actifs. La valeur minimale est de 24 jours.
Enfin pour nettoyer la base de donnes WINS, il suffit de faire un clic droit sur le serveur WINS puis
Nettoyer la base de donnes.
* + ,,---$ . / 0 $ 1
7.4.9. Prsentation de la vrification de la cohrence dune base de

donnes WINS
La vrification de la cohrence dune base de donnes permet dobtenir une garantie des informations
contenues dans la base auprs des propritaires et auprs des autres serveurs WINS.
Ce processus permet de garantir lintgrit des donnes.
7.4.10. Comment vrifier la cohrence dune base de donnes WINS
Vrifier la cohrence est une opration qui peut tre effectue rgulirement pour assurer la cohrence
mais il faut noter que ce processus influe beaucoup sur la charge rseau. Il faut donc veiller effectuer
cette opration pendant les heures creuses de lactivit de votre rseau.
Voici longlet Vrification de la base de

donnes des proprits du serveur qui va
permettre de spcifier lhoraire, la frquence
de rplication, le nombre denregistrements
maximum et avec qui :
Serveur propritaire : Vrifie

par rapport au serveur qui
contient lenregistrement
(propritaire).
Partenaires slectionns
alatoirement : Vrifie par
rapport un partenaire de
rplication choisi alatoirement.
Il est possible de lancer une vrification de la cohrence manuellement. Pour ce faire, il suffit de faire
un clic droit sur le serveur WINS puis choisir entre Vrifier la cohrence de la base de donnes et
Vrifier la cohrence des numros de versions
7.4.11. Instructions concernant le retrait dun serveur WINS
Vous pouvez retirer (supprimer) un serveur WINS pour rduire ou supprimer lutilisation du service
WINS au sein de votre rseau.
Avant de retirer un serveur WINS de votre rseau, vous devez vous assurer que les clients de ce
serveur peuvent interroger un autre serveur WINS afin deffectuer de la rsolution de noms.
Si vous souhaitez retirer tous les serveurs WINS de votre rseau, il faut installer et configurer le
service DNS comme tant votre service de rsolution de noms principal et configurer tous les clients
pour quils lutilisent.
* + ,,---$ . / 0 $ 1
7.4.12. Comment dsinstaller un serveur WINS dune infrastructure

rseau
Procdure pour dsinstaller un serveur WINS dune infrastructure rseau :
1. Dans larborescence de la console WINS, clic droit sur Inscriptions actives.
2. Cliquez sur Supprimer le propritaire.
3. Dans la bote de dialogue Suppression dun propritaire, cliquez sur ladresse IP du

serveur WINS que vous souhaitez retirer.
4. Slectionnez Rpliquer la suppression sur les autres serveurs WINS (dsactiver) et

cliquez sur OK.
5. Dans larborescence de la console, clic droit sur Partenaires de rplication.
6. Cliquez sur Rpliquer maintenant.
7. Aprs avoir vrifi que les enregistrements dsactivs lors de ltape 4 ont bien t
rpliqus vers dautres serveurs partenaires, arrtez le service WINS et supprimez-le du
serveur retir.
* + ,,---$ . / 0 $ 1
8. Protection du trafic rseau laide

de la scurit IPSec et de certificats
8.1. Implmentation de la scurit IPSec

Pour vous aider dans la comprhension de ce module, nous vous invitons consulter larticle de
Sammy POPOTTE sur le site du laboratoire SUPINFO des technologies Microsoft ladresse
suivante : http://www.laboratoire-microsoft.org/articles/network/ipsec/
8.1.1. Quest-ce que la scurit IPSec ?
Le protocole IPSec est une surcouche rseau qui permet dauthentifier, vrifier ou crypter tout trafic
transitant sur le rseau.
La scurit IPSec permet de protger les donnes qui transitent sur le rseau en respectant la stratgie
IPSec. Ladministrateur dfinit un ensemble de rgles qui dfinissent si un paquet doit tre crypt
et/ou sign numriquement.
Ce processus est transparent pour les utilisateurs et indpendant du type de donnes acheminer sauf
pour les donnes de type diffusion, multi-diffusions et paquets Kerberos qui ne peuvent tre crypts.
La scurit IPSec prsente les avantages suivants :
Authentification mutuelle avant et pendant les communications.

Confidentialit grce au cryptage du trafic IP et lauthentification numrique des paquets.
Intgrit du trafic IP en rejetant tout trafic modifi (anti-rejeu).
Protection contre les attaques de relecture.
8.1.2. De quelle manire la scurit IPSec protge-t-elle le trafic ?
Comment fonctionne la scurit IPSec dune communication entre 2 postes :
1. La configuration IPSec est dfinie par une stratgie locale ou une stratgie de groupe dans
lActive Directory qui est transmise aux postes clients. Ces stratgies dfinissent quelles sont
les associations de protocole de cryptage et de mthode dauthentification qui vont tre
utilises par le client.
2. Le module IKE vrifie lassociation de scurit ngocie grce au protocole ISAKMP

(Internet Security Association and Key Management Protocol) et au protocole Oakley Key
Determination Protocol.
Le module IKE ne peut pas tablir dassociation de scurit si les 2 entits utilisent des
mthodes dauthentification diffrentes (Certification et Kerberos par exemple).
3. Une fois lassociation tablie, le pilote IPSec crypte ou signe, suivant la stratgie employe, le
trafic voulu.
* + ,,---$ . / 0 $ 1
8.1.3. Quest-ce quune stratgie de scurit IPSec ?
La stratgie IPSec dfinit le comportement de la scurit IPSec. Une stratgie est fonde sur
lapplication dune ou plusieurs rgles. Cependant, seule une stratgie peut sappliquer un poste.
Une rgle est compose des lments suivants :
Un filtre : Spcifie le type de trafic (ex : http ou FTP)

Une action de filtrage : Spcifie laction excuter sur le trafic rencontr par le filtre (ex :
Bloquer, crypter)
Une mthode dauthentification : Kerberos, certificats ou cl pr-partage.
Stratgie par dfaut disponible depuis Windows 2000 :
Client (en rponse seule) : Lordinateur utilisera IPSec uniquement si lordinateur distant lui en fait
la demande.
Serveur (demandez la scurit) : Lordinateur tentera dimposer IPSec, mais si lordinateur distant
ne supporte pas IPSec, alors la communication se fera normalement.
Scuriser le serveur (ncessite la scurit) : Lordinateur utilisera toujours IPSec. Si lordinateur

distant ne peut pas utiliser IPSec, la communication ne se fera pas.
8.1.4. Fonctionnement conjoint des stratgies IPSec
Une stratgie nest pas considrer comme une entit seule lors de communications avec dautres
postes. Pour que deux postes ngocient une association de scurit, il faut quils possdent des
stratgies complmentaires comme lindique le tableau ci-dessous :
Complmentarit pour 2 clients rseau dans un environnement IPSec
Scuriser le
Serveur
Aucune Stratgie Client (en serveur
(demandez la
attribue rponse seule) (ncessite la
scurit)
scurit)
Aucune
Scurit IPSec Scurit IPSec Scurit IPSec Communication
Stratgie
inexistante inexistante inexistante inexistante
attribue
Client (en Scurit IPSec Scurit IPSec
Scurit IPSec Scurit IPSec
rponse seule) inexistante inexistante
Serveur
Scurit IPSec
(demandez la Scurit IPSec Scurit IPSec Scurit IPSec
inexistante
scurit)
Scuriser le
serveur Communication
Scurit IPSec Scurit IPSec Scurit IPSec
(ncessite la inexistante
scurit)
* + ,,---$ . / 0 $ 1
8.2. Implmentation de la scurit IPSec avec des

certificats
8.2.1. Quest-ce quun certificat ?
Le certificat numrique (X.509) est une identification lectronique permettant lauthentification et la

protection des donnes sur des rseaux privs ou publiques. Le certificat associe de manire scurise
une cl publique une entit dtenant la cl prive.
La cl publique : Elle transite sur le segment de rseau non scuris (Internet) et permet au
destinataire de vrifier la signature des donnes transmises.
La cl prive : Elle est confidentielle et permet lmetteur de signer le message transmettre.
Lmetteur du certificat est appel autorit de certification. Il signe numriquement les certificats pour
un utilisateur, un ordinateur ou mme un service (IPSec).
Lautorit de certification fournit et affecte les cls de cryptage, de dcryptage et dauthentification.

Ces cls sont distribues via des certificats qui font correspondre les cls publiques des informations
comme le nom ou ladresse e-mail.
Un certificat contient les informations suivantes :
la cl cryptographique publique de la paire de cls publiques et prives du sujet du certificat

des informations sur le sujet qui fait la demande de certificat
le nom unique X.500 de lutilisateur ou de lordinateur
ladresse de messagerie du propritaire du certificat
des dtails sur lAutorit de certification
les dates dexpiration
le hachage du contenu du certificat pour garantir lauthenticit (signature numrique).
8.2.2. Utilisations courantes des certificats
Utilisations des certificats Description

Signature numrique Utilise la cl publique dans un certificat pour vrifier que les
donnes ont t signes avec la cl prive correspondante.
Systme de fichiers EFS (Encrypting Utilise la cl publique dans un certificat pour crypter les cls
File System) de cryptage des fichiers.
Authentification Internet Vrifie lidentit dun serveur Web pour les clients Web. Les
serveurs Web peuvent aussi utiliser des certificats pour
vrifier lidentit des clients Web.
Scurit IP (IPSec) Vrifie lidentit des ordinateurs et crypte les donnes
lorsquelles sont transmises sur le rseau.
Messagerie scurise Vrifie les messages lectroniques signs et dcrypte les
messages lectroniques.
Ouverture de session par carte puce Vrifie lidentit dun utilisateur louverture de session par
carte puce. Protocole EAP-TLS
Signature du code logiciel Vrifie lidentit dun diteur de logiciels.
* + ,,---$ . / 0 $ 1
8.2.3. Pourquoi utiliser des certificats avec la scurit IPSec pour

protger le trafic rseau ?
Les certificats lis la scurit IPSec permettent une entreprise de communiquer avec une autre
organisation approuvant la mme autorit de certification. Il est utilis lorsquune entreprise ncessite
un niveau de scurit suprieur au protocole Kerberos ou mthode par cls pr-partages.
Il reste encore un intrt qui permet dassurer la scurit avec des htes ne faisant pas partie de
lannuaire Active Directory ou ne supportant pas Kerberos.
Les deux autres mthodes permettant dauthentifier deux htes IPSec sont les suivantes :
- Le protocole Kerberos : Assure la faon la plus simple dauthentification pour le trafic

entre deux htes dune mme fort.
- Cl pr-partage : une cl pr-partage est une chane de caractres alatoires qui sert de
mot de passe entre deux htes IPSec. Les cls pr-partages noffrent pas le mme niveau
de scurit que le protocole Kerberos ou les certificats car elles sont stockes en texte clair
dans la stratgie IPSec.
8.3. Analyse de la scurit IPSec
8.3.1. Moniteur de scurit IP
Le composant logiciel enfichable Moniteur de scurit IP vous permet dafficher des dtails sur les
stratgies IPSec locales et les stratgies attribues au domaine.
Les informations disponibles sont par exemple, les dtails de la stratgie IPSec active, notamment le
nom, la description, la date de la dernire modification, le magasin, le chemin, lunit dorganisation et
le nom de lobjet Stratgie de groupe. Il y a les filtres avec les filtres gnriques du mode principal et
du mode rapide, les filtres spcifiques, les statistiques et les associations de scurit.
8.3.2. Comment arrter et dmarrer les services IPSec
Arrter et dmarrer les services IPSec laide de linvite de commandes :
Service routage et accs Service IPSec

distant
Dmarrage net start remoteaccess net start policyagent
Arrt net stop remoteaccess net stop policyagent
* + ,,---$ . / 0 $ 1
9. Configuration de laccs rseau

9.1.Introduction linfrastructure daccs rseau
9.1.1. Composants dune infrastructure daccs rseau
Une infrastructure daccs rseau est compose de :
Serveurs daccs rseau

Clients daccs rseau
Service dauthentification
Service dannuaire Active Directory
Un serveur daccs rseau est un serveur excutant le service Routage et accs distant de Microsoft.
Celui-ci permet aux utilisateurs distants (tltravailleurs, par exemple) de sauthentifier, puis de se
connecter au rseau comme sils y taient physiquement connects.
Un client daccs rseau permet un utilisateur dutiliser distance toutes les ressources du rseau
auquel il se connecte.
Dans une infrastructure daccs distant utilisant plusieurs serveurs daccs, luniformisation de
lauthentification des clients ncessite un Service dAuthentification Internet (IAS). Ce service utilise
le protocole RADIUS reconnu par un grand nombre de serveurs daccs, matriels et logiciels.
Active Directory stocke les informations dauthentification dun utilisateur ainsi que les proprits
daccs distance ncessaires son authentification. Une fois authentifi, lutilisateur bnficie des
mmes fonctionnalits quActive Directory offre en environnement de rseau local.
9.1.2. Configuration requise pour un serveur daccs rseau
Aprs installation du service Routage et accs distant sur un serveur, lAssistant Installation du serveur
de routage et daccs distant apparat. Les informations suivantes devront tre connues afin de le
remplir correctement :
Le serveur sera-t-il routeur et/ou serveur daccs distant ?

Quelles mthodes dauthentification seront utilises ?
Un client rseau a-t-il accs uniquement ce serveur ou lensemble du rseau ?
Comment les adresses IP (Internet Protocol) doivent-elles tre fournies aux clients ?
Quelles options de configuration PPP (Point-to-Point Protocol) doivent tre utilises ?
Quelle est la politique en matire denregistrement des vnements ?
9.1.3. Quest-ce quun client daccs rseau ?
Il existe trois types de clients daccs rseau :
Un client VPN se connecte au serveur au travers dun rseau public non sr (comme Internet).
Un client daccs distance se connecte au serveur au moyen dun rseau de communication,
tels RTC ou RNIS, pour crer un lien physique un port sur le serveur.
Un client sans fil se connecte sur le serveur en utilisant les technologies infrarouges (IR) ou
radiofrquences (RF).
* + ,,---$ . / 0 $ 1
9.1.4. Quentend-on par autorisation et authentification de laccs rseau

?
Lauthentification consiste valider des informations fournies par le client lors de la tentative de
connexion (login et mot de passe, par exemple). Ces informations sont transmises par le serveur
daccs un contrleur de domaine pour validation.
Lautorisation consiste vrifier que lutilisateur en question a effectivement le droit de se connecter,

suivant les informations du compte utilisateur et les stratgies daccs distant.
9.1.5. Mthodes dauthentification disponibles

Diffrents protocoles permettent dauthentifier les utilisateurs lors des accs distants avec plus ou
moins de scurit :
PAP
(Password Authentification Protocole utilisant des logins et des mots de passe en clair.
Protocol)
SPAP
Dpendant du constructeur matriel Shiva. Les mots de passe sont
(Shiva Password
protgs par un cryptage rversible.
Authentification Protocol)
CHAP
Aussi connu sous le nom MD5-CHAP, il permet dobtenir un niveau
(Challenge Handshake
de cryptage plus lev.
Authentification Protocol)
MS-CHAP Protocole dauthentification propritaire Microsoft permettant
(Microsoft Challenge dauthentifier les clients utilisant Windows et utilisant le principe de
Handshake CHAP. Il supporte le MPPE qui permet de crypter lensemble des
Authentification Protocol) donnes qui transitent entre le serveur et le client. Tous les OS
Microsoft depuis Windows 95 supportent le MS-CHAP.
MS-CHAP v2
Nouvelle version de MS-CHAP utilisant des cls de cryptage plus
(Microsoft Challenge
robustes ainsi que lauthentification mutuelle. Les ordinateurs sous
Handshake
Windows 95 et antrieur ne supportent pas ce protocole
Authentification Protocol
dauthentification (Windows 98 et ultrieur le supportent)
Version 2)
EAP Le client et le serveur ngocient la mthode dauthentification qui sera
(Extensible utilise. Le protocole MD5-CHAP, TLS et des mthodes propritaires
Authentification Protocol) de fournisseurs tiers peuvent tre utiliss. Ce protocole garantit la prise
en charge des futures mthodes dauthentification.
TLS Est utilis principalement avec des systmes dauthentification laide
(Transport Layer Security) de cartes puce (SmartCard).
PEAP (Protected
Ce protocole est utilis par les rseaux 802.1x afin de scuriser les
Extensible Authentication
connexions cbles et sans fil.
Protocol)
* + ,,---$ . / 0 $ 1
9.2.Configuration dune connexion VPN

9.2.1. Fonctionnement dune connexion VPN
Un rseau priv virtuel (VPN) permet un client de se connecter de manire scurise son rseau au
travers dun rseau non scuris (tel Internet). Cette technique mule un mode point point entre les
deux machines et assure la confidentialit des donnes par chiffrement.
Les avantages des tunnels VPN sont :
Rduction des cots. Le rseau VPN nutilise pas de ligne tlphonique ni RNIS et ncessite
un minimum de matriel.
Scurit accrue. Les donnes sont incomprhensibles pour les utilisateurs non autoriss, mais
les utilisateurs autoriss peuvent y accder grce la connexion.
Prise en charge des protocoles rseau. Vous pouvez utiliser distance une application qui
dpend des protocoles rseau les plus rpandus, dont TCP/IP (Transmission Control
Protocol/Internet Protocol).
Scurit des adresses IP. Les informations envoyes sur un rseau priv virtuel tant chiffres,
les adresses que vous spcifiez sont protges et seule ladresse IP externe est visible depuis
Internet. Aucun frais nest li la modification des adresses IP pour laccs distant sur
Internet.
9.2.2. Protocoles de cryptage pour une connexion VPN
Le chiffrement de donnes va permettre de protger les donnes en chiffrant lensemble des donnes
qui vont transiter entre le client et le serveur. Lutilisation des protocoles de chiffrement de donnes
est possible uniquement si le protocole dauthentification est MS-CHAP, MS-CHAP v2 ou TLS.
Deux protocoles de cryptage sont disponibles avec Windows 2003 :
MPPE : MPPE permet de protger les donnes sur une connexion PPTP avec 3 niveaux
dencodage (128 bits, 56 bits et 40 bits).
IPSec : IPSec permet de scuriser les transferts du rseau en cryptant directement les
trames IP.
9.2.3. Configuration requise pour un serveur VPN
Apres linstallation du service Routage et Accs distant, lAssistant Installation de laccs distant et de
routage vous aide configurer votre serveur VPN. Vous devez connatre les lments suivants avant
de vous lancer :
Quelle interface rseau assure la connectivit interne et laquelle assure la connectivit

externe ?
Les clients vont ils recevoir leur adresse IP grce un serveur DHCP ou grce au serveur
VPN ?
Les clients vont-ils tre authentifis par un serveur RADIUS ou par le serveur VPN ?
* + ,,---$ . / 0 $ 1
CONNEXION VPN ENTRE 2 CLIENTS
9.3.Configuration dune connexion daccs distance

9.3.1. Comment fonctionne laccs rseau distance ?
Un accs rseau distance est une connexion temporaire un port physique du serveur daccs, via
des technologies daccs distant, telles RTC, RNIS ou X25.
Ltablissement dune connexion distante comprend 4 tapes :
1. Le client appelle le serveur distant.

2. Le serveur rceptionne la requte du client et collecte ses informations dauthentification.
3. Le serveur authentifie et autorise le client.
4. Si la connexion est autorise, le serveur daccs distant fournit au client la connectivit vers le
rseau local auquel il est connect, jouant le rle de passerelle.
9.3.2. Configuration requise pour un serveur daccs distant
Pour configurer un serveur daccs distant, vous devez connatre les informations suivantes :
Les clients vont-ils recevoir leur adresse IP grce un serveur DHCP ou grce au serveur
VPN ?
Les clients vont-ils tre authentifis par un serveur RADIUS ou par le serveur VPN ?
Vrifier que tous les utilisateurs disposent dun compte configur pour autoriser laccs
distance.
9.4.Configuration dune connexion sans fil

9.4.1. Vue densemble de laccs rseau sans fil
Les rseaux sans fil permettent plusieurs priphriques de communiquer entre eux sans connectivit
physique, au moyen dondes lectromagntiques. Ces rseaux sont particulirement intressants pour
crer des rseaux temporaires, publics ou dans des locaux o installer une connectivit filaire serait
trop onreuse ou encombrante.
* + ,,---$ . / 0 $ 1
Un rseau sans fil (WLAN) peut fonctionner selon deux modes diffrents, dfinis par la norme IEEE
802.11x :
Infrastructure. Les clients peuvent communiquer entre eux, ainsi quavec un rseau filaire,
disponible au travers dun point daccs WLAN.
Ad Hoc. Les clients peuvent uniquement communiquer entre eux, sans connectivit filaire.
9.4.2. Normes sans fil
La norme IEEE originale concernant les rseaux WLAN, est la 802.11 (aussi connue sous le nom de
Wi-Fi). Elle dfinit la couche physique (frquences de fonctionnement, types de modulation) ainsi que
la sous-couche MAC du modle OSI.
La norme IEEE 802.11b permet des dbits plus levs que la norme originale (5,5 et 11 Mbit/s). Elle
admet une porte apprciable, mais est sensible aux interfrences. Cest actuellement la norme la plus
rpandue, car la meilleure march.
La norme IEEE 802.11a permet, au prix dune rduction de la porte, daugmenter le dbit maximum
dun WLAN 54Mbit/s. Ce standard a linconvnient de ne pas tre compatible avec les autres
normes IEEE 802.11, car oprant dans une bande de frquences diffrente.
La norme IEEE 802.11g cumule les avantages du 802.11b et du 802.11a : il autorise des dbits allant
jusqu 54 Mbit/s, tout en tant compatible avec le 802.11b et en tant moins sensible aux
interfrences.
La norme IEEE 802.1x dfinit des protocoles dauthentification pour laccs la connectivit sans fil.
Cette norme a t dveloppe dans le but daugmenter la scurit des rseaux WLAN, mais peut tre
implmente sur les rseaux filaires.
9.4.3. Mthodes dauthentification disponibles pour les rseaux sans fil
Le standard 802.11 dfinit la confidentialit des donnes utilisateur sous le terme de Wired
Equivalent Privacy (WEP). Il rgit le type de chiffrement des donnes mais pas la manire dont les
cls sont changes. 802.1x apporte une rponse cette lacune.
Les protocoles dauthentification disponibles dans 802.1x sont :
EAP-TLS : effectue une authentification mutuelle et constitue la solution la plus puissante

dauthentification et de dtermination des cls. EAP-TLS est bas sur des certificats pour le
client et le serveur.
EAP-MS-CHAP v2 : effectue une authentification mutuelle base sur un certificat pour le
serveur et un mot de passe pour le client.
PEAP (Protected EAP) : assure une scurit supplmentaire au protocole EAP en chiffrant
les paquets de ngociation initiaux. TLS et MS-CHAP v2 sont utilisables avec PEAP.
* + ,,---$ . / 0 $ 1
9.4.4. Configuration requise pour un client Windows XP Professionnel en

vue dun accs rseau sans fil
Windows XP a introduit le service de Configuration Automatique Sans Fil. Ce service inclus dans
Windows 2003 permet lutilisateur de pr-configurer ses rseaux sans fil prfrs sous forme de
liste. Si plusieurs rseaux sans fil sont disponibles, cest le premier apparatre dans la liste qui sera
choisi (une cl WEP peut tre paramtre lavance). Si aucun des rseaux disponibles ne figure dans
la liste, lutilisateur en est inform et peut choisir parmi les rseaux sa disposition.
9.5.Contrle de laccs utilisateur au rseau
9.5.1. Autorisations dappel entrant du compte de lutilisateur
Dans la version Windows 2003 Server, les autorisations de connexion daccs distant sont
dpendantes des stratgies daccs distant. Le service Routage et accs distant et le service
dauthentification Internet y ont recours pour accepter ou refuser les tentatives de connexion. Les
stratgies daccs distant regroupent plusieurs proprits ncessaires lexamen dune tentative de
connexion pour son acceptation ou son refus.
Des autorisations dappel entrant sont disponibles dans la boite de dialogue Proprits dun
utilisateur dans la console Active Directory ou Utilisateurs et groupes locaux . Les proprits
sont les suivantes :
Autorisation daccs distant (Accs distance ou VPN). Cette proprit autorise ou refuse
expressment laccs distant lutilisateur. Cette autorisation peut galement dpendre du fait
quil y ait des rgles de stratgie daccs distant.
Vrifier lidentit de lappelant. Cette proprit vrifie le numro de tlphone de lappelant,
dans le cas dune connexion par modem. Si le numro rel et le numro inscrit dans cette
proprit diffrent, la connexion choue.
Options de rappel (callback). Cette proprit permet un serveur daccs de rappeler le
client ( un numro configur par ladministrateur, ou le client). Fonctionnalit utile pour les
utilisateurs itinrants ayant des besoins de connexions leur structure.
Attribution dune adresse IP statique. Permet dattribuer une adresse IP statique
lutilisateur ds ltablissement de la connexion.
Appliquer les itinraires statiques. Permet le routage la demande. Une route configure ici
sera ajoute la table de routage du serveur une fois le client connect.
9.5.2. Quest-ce quune stratgie daccs distant ?
Une stratgie daccs distant est un ensemble de rgles dfinissant les paramtres respecter pour
quun utilisateur dsign ou membre dun groupe dsign puisse tablir une connexion daccs
distance. Chaque rgle contient une ou plusieurs conditions, une autorisation daccs distant, et un
profil :
Les conditions. Elles peuvent se baser sur ladresse IP ou le numro de tlphone de

lutilisateur, son appartenance un groupe ou lheure de lappel. Les conditions de
lutilisateur sont compares celles du serveur, dans lordre. La premire rgle correspondant
ces paramtres est utilise par le serveur pour valider lappel. Si aucune rgle ne respecte les
conditions de lappel, celui-ci est refus.
Lautorisation. Dfinit si lappel entrant est accept ou refus.
Le profil. Il comprend plusieurs paramtres appliquer la connexion, tels que les protocoles
dauthentification et de cryptage.
* + ,,---$ . / 0 $ 1
9.5.3. Quest-ce quun profil de stratgie daccs distant ?
Le profil de stratgie daccs distant est un ensemble de paramtres appliquer une connexion, une
fois que celle-ci a t accepte.
Ces paramtres sont :
Contraintes pour les appels entrants. Dfinissent le dlai dattente avant dconnexion, la
dure maximum de la session, les jours, les heures, les numros de tlphone et les types de
supports (RNIS, VPN, etc.) autoriss.
Proprits IP. Configurent lattribution dadresses IP statiques et le filtrage des paquets
TCP/IP. Vous pouvez dfinir des filtres distincts pour les paquets entrants ou sortants.
Liaisons multiples. Permet dagrger plusieurs liaisons physiques sous forme dune seule
liaison logique.
Authentification. Dfinit les protocoles dauthentification utiliser parmi les protocoles
supports par Windows 2003. MS-CHAP et MS-CHAP v2 sont activs par dfaut.
Cryptage. Dtermine les chiffrements requis, permis ou interdits.
Paramtres avancs. Permet dindiquer des paramtres supplmentaires passer au serveur
RADIUS.
9.5.4. Traitement des stratgies daccs distant
Le processus mis en uvre pour accepter les connexions distance commence par la comparaison des
conditions de la stratgie daccs distance avec celle de la tentative de connexion courante. La
premire stratgie dont les conditions correspondent est utilise pour dterminer laccs.
Si aucune stratgie ne correspond, laccs est refus.
Ensuite, le serveur vrifie si lutilisateur est, de manire explicite, autoris ou non se connecter (ce
paramtre se trouve dans son compte utilisateur) ou si cette tche est laisse lapprciation de la
stratgie daccs distant.
Enfin, le service Routage et accs distant applique le profil de la stratgie la connexion entrante.
9.6.Centralisation de lauthentification de laccs rseau et

de la gestion des stratgies en utilisant IAS
9.6.1. Que signifie RADIUS ?
RADIUS (Remote Authentication Dial-In User Service) est un protocole trs rpandu destin
lauthentification, lautorisation et la comptabilisation centralise de laccs rseau. Il repose sur le
modle client/serveur et peut valider des connexions daccs distance, VPN ou sans fil.
9.6.2. Que signifie IAS ?
Le service IAS (Internet Authentification Service) est limplmentation du serveur RADIUS

incluse dans Windows 2003. Il permet une gestion centralise des autorisations daccs au rseau,
lintgration totale avec lenvironnement Windows 2003, et la compatibilit avec tous les
priphriques daccs compatibles RADIUS.
* + ,,---$ . / 0 $ 1
9.6.3. Fonctionnement de lauthentification centralise
La procdure de connexion au rseau faisant appel un serveur dauthentification RADIUS se droule

comme suit :
Un utilisateur se connecte un serveur daccs rseau (excutant le service Routage et accs

distant) en utilisant une connexion daccs distance, VPN ou sans fil.
Le serveur daccs rseau transfre la demande dautorisation un serveur RADIUS (IAS), le
serveur daccs se comporte alors comme un client RADIUS.
Le serveur RADIUS (IAS) fait appel un contrleur de domaine pour accder aux
informations dauthentification de lutilisateur. Le serveur vrifie les informations
dauthentification de laccs distance.
Si les informations didentification de lutilisateur sont authentifies, le serveur IAS examine
la tentative de connexion par rapport aux stratgies daccs distant configures localement. Le
traitement des stratgies se comporte comme sil tait fait par un service Routage et accs
distance. Si la demande de connexion correspond une stratgie autorise, le serveur IAS
rpond un message dacceptation au serveur daccs rseau, et un message de rejet dans le
cas contraire.
* + ,,---$ . / 0 $ 1
10. Gestion et analyse de laccs rseau
10.1. Gestion des services daccs rseau
10.1.1. Instructions relatives la gestion des services daccs rseau
Parfois, il est invitable de devoir arrter le serveur daccs distant. Pour cela, il faut respecter les
points suivant pour minimiser limpact de cet arrt :
Prvoir un serveur de remplacement

Planifier larrt du serveur au moment o il y a le moins dactivit.
Prvenir les utilisateurs du rseau dune perturbation possible du service.
Dconnecter les ventuels clients du service.
10.2. Configuration de lenregistrement sur un serveur

daccs rseau
10.2.1. Types denregistrements du service Routage et accs distant
Un serveur excutant le service routage et accs distant prend en charge trois types denregistrements :
- lenregistrement des vnements : Permet denregistrer dans le journal dvnements

systme les erreurs et les avertissements. Une fois lenregistrement des vnements activ,
lordinateur crer des fichiers journaux dans %systemroot%\Tracing.
- lenregistrement de lauthentification locale et de la gestion des comptes : Surveille et

enregistre les tentatives de connexion avec la stratgie qui a accepte ou refuse
lauthentification.
- lenregistrement de lauthentification et de la gestion des comptes RADIUS : Ce type

denregistrement est utilis par le service daccs distant pour faire le suivi des
connexions.
10.2.2. Enregistrement de lauthentification et de la gestion des comptes
Ce type de processus enregistre les informations dtailles sur les requtes de connexion au service
daccs distant. Ce type dinformation est utile pour :
Effectuer un suivi de lutilisation et des tentatives de connexions pour laccs distant.

Conserver les enregistrements afin dtablir des facturations.
Localiser un problme quelconque.
* + ,,---$ . / 0 $ 1
Il est possible de spcifier les lments ci-dessous lors de la configuration de lenregistrement :
les requtes enregistrer

le format du fichier journal
la frquence de cration de nouveaux journaux
la dtection automatique du journal le plus ancien lorsque le disque est plein
lemplacement des fichiers journaux (par dfaut : %systemroot%\System32\LogFiles)
les informations contenues dans les enregistrements du fichier journal.
Par dfaut, les types denregistrement de requtes sont dsactivs.
10.2.3. Fichiers journaux pour des connexions spcifiques
Il existe dautres fonctions denregistrements dinformations lies au fonctionnement du service

daccs distant :
- PPP : journal PPP, recense les informations lies au fonctionnement PPP (srie de
fonctions et messages de contrle)
- L2TP/IPSec :
Journal daudit, accessible depuis la console observateur dvnements, il

enregistre les vnements lis la scurit IPSec.
Journal Oakley : recense les dtails sur le processus dassociation de scurit.

Ce journal doit tre activ dans le registre (mettre 1 la cl de registre
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgen
t\Oakley\EnableLogging) .Ce journal est stock dans %systemroot%\Debug.
10.3. Collecte et analyse des donnes daccs rseau
10.3.1. Pourquoi collecter des donnes de performance ?
Pour maintenir un niveau correct de fonctionnement, il est ncessaire danalyser les performances du
systme en valuant la charge de travail sur le serveur et en observant ces changements et ces
tendances. Cette collecte dinformations apporte un support pour prvoir les futures volutions, permet
danticiper des dfaillances et fait ressortir les diffrences lors de modifications de configurations ou
de rglages.
* + ,,---$ . / 0 $ 1
10.3.2. Outils de collecte des donnes daccs rseau
Windows Server 2003 inclut les outils permettant la collecte de ses donnes afin de prvoir et
identifier les problmes lis aux accs rseaux.
Moniteur systme
Cet outil permet dafficher les donnes des performances des composants slectionns en temps rel.
Journaux et alertes de performances

Cet outil permet de faire des captures de donnes dans des fichiers pendant une priode. Vous pouvez
dfinir des alertes permettant de dclencher un envoi de message, le dmarrage de programme ou
lexcution de script, etc
Moniteur sans fil

Le service Configuration sans fil enregistre des informations dans le Moniteur sans fil.
Vous pouvez utiliser les informations du journal pour isoler les problmes que vous rencontrez avec
votre service sans fil.
* + ,,---$ . / 0 $ 1

Implementer Administrer 2003 PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Implementer Administrer 2003 PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Essentiel Windows 2003

Ecole Suprieure dInformatique de Paris

5.4.1. Que sont les mises jour dynamiques ? .........................................................................................24

7.2.4. Mthodes de filtrage et daffichage des enregistrements du service WINS.....................................24

9.4. CONFIGURATION DUNE CONNEXION SANS FIL ........................................................................................24

9.6.1. Que signifie RADIUS ? ...................................................................................................................24

1. Configuration du routage laide du

1.1. Activation et configuration du service Routage et

1.1.1. Que sont les routeurs ?

Il existe dautres dispositifs rseaux :

Le concentrateur (hub), couche 1 (couche physique)

En rgle gnrale, les routeurs sont diviss en deux catgories :

Une solution de routage consiste en trois composants principaux :

1.1.2. Que sont les interfaces de routage ?

Il existe deux types dinterfaces de routage :

Interface de numrotation la demande : Il sagit de connexions point point qui

1.1.3. Que sont les protocoles de routage ?

1.1.4. Que sont les tables de routage

Dans une table de routage, il existe trois types dentres :

Les entres dune table de routage comportent plusieurs informations :

1.1.5. Pourquoi utiliser le service Routage et accs distant de Windows

Le service routage et daccs distant permet deffectuer plusieurs tches :

1.2. Configuration des filtres de paquets

1.2.1. Quest-ce que le filtrage des paquets ?

Il existe plusieurs utilits lutilisation de filtres de paquets :

Interdire laccs aux utilisateurs non autoriss

1.2.2. Comment les filtres de paquets sont-ils appliqus ?

Lapplication des filtres de paquets seffectue dans cet ordre :

Comparaison des paquets (entrants ou sortants) avec les filtres

2. Attribution automatique dadresses

2.1. Pourquoi utiliser le protocole DHCP ?

2.2. Comment le protocole DHCP alloue des adresses

2.2.1. Comment fonctionne le processus de cration dun bail DHCP

2.2.2. Comment fonctionne le processus de renouvellement dun bail

Il est possible de demander le renouvellement du bail manuellement laide de la commande

Il est aussi possible de forcer labandon dun bail avec la commande

2.3. Comment un service Serveur DHCP est autoris

2.4. Configuration dune tendue DHCP

2.4.1. Que sont les tendues DHCP ?

Configuration de la dure de bail :

2.5. Configuration dune rservation DHCP

2.5.1. Quest-ce quune rservation DHCP ?

Vous pouvez rserver une adresse IP spcifique pour un

Il est avantageux dutiliser une rservation dadresse IP

Une rservation est base sur plusieurs informations

2.6. Configuration des options DHCP

2.6.1. Que sont les options DHCP ?

Voici les options les plus courantes :

Routeur : adresse dune passerelle par dfaut ou dun routeur.

2.6.2. Comment sont appliques les options au niveau du serveur DHCP,

Option DHCP Ordre de priorit

2.6.3. Comment sont appliques les options au niveau de la classe

2.7. Configuration dun agent de relais DHCP

2.7.1. Quest-ce quun agent de relais DHCP ?

" # $ % &' ()* #

2.7.2. Comment fonctionne un agent de relais DHCP

Les procdures suivantes dcrivent le fonctionnement dun agent de relais DHCP :

1. Le client DHCP diffuse un paquet DHCPDISCOVER.

2.7.3. Comment un agent de relais DHCP utilise le nombre de tronons

2.7.4. Comment un agent de relais DHCP utilise le seuil de dmarrage

3. Gestion et analyse du service DHCP

3.1. Gestion dune base de donnes DHCP

3.1.1. Vue densemble de la gestion du service DHCP