Sie sind auf Seite 1von 81

ROYAUME DU MAROC

OFPPT

Office de la Formation Professionnelle et de la Promotion du Travail

Partie I : DHCP WINS DNS IIS

Administration dun Serveur Informatique

Sommaire

Sommaire :
Sommaire : ................................................................................................................................................. 2 Chapitre I : Protocole DHCP ................................................................................................................... 4 Leon 1 : Prsentation du protocole DHCP ............................................................................................ 5 Vue d'ensemble de DHCP ................................................................................................................... 5 Fonctionnement de DHCP .................................................................................................................. 7 Installation d'un serveur DHCP ........................................................................................................ 10 Agent de relais DHCP ....................................................................................................................... 10 Rsum de la leon ........................................................................................................................... 11 Leon 2 : Configuration d'un serveur DHCP ........................................................................................ 12 Installation et configuration d'un serveur DHCP .............................................................................. 12 Gestion des tendues DHCP ............................................................................................................. 15 Configuration d'options supplmentaires .......................................................................................... 15 Activation d'une tendue ................................................................................................................... 15 Mise en uvre de plusieurs serveurs DHCP ..................................................................................... 16 Rsum de la leon ............................................................................................................................ 16 Leon 3: Rsolution de problmes lis DHCP ................................................................................... 17 Prvention des problmes DHCP ...................................................................................................... 17 Rsolution des problmes des clients DHCP .................................................................................... 18 Rsolution des problmes des serveurs DHCP ................................................................................. 19 Rsum de la leon ............................................................................................................................ 22 CHAPITRE II : Service WINS de rsolution de noms ........................................................................ 23 Leon 1 : Prsentation du service WINS de rsolution de noms .......................................................... 24 Prsentation du cache de noms NetBIOS ......................................................................................... 25 Prsentation de la rsolution de noms par diffusion ......................................................................... 25 Utilisation des fichiers LMHOSTS ................................................................................................... 26 Prsentation du service WINS .......................................................................................................... 27 Rsum de la leon ........................................................................................................................... 29 Leon 2 : Utilisation de WINS .............................................................................................................. 30 Introduction WINS ......................................................................................................................... 30 Installation d'un serveur WINS ......................................................................................................... 32 Configuration d'un client WINS sous Windows 2003 ...................................................................... 33 Prise en charge des clients dpourvus de WINS ............................................................................... 33 Rsum de la leon ........................................................................................................................... 35 Chapitre III : DNS (Domain Name Server) .......................................................................................... 36 Leon 1 : Prsentation de DNS ............................................................................................................. 37 Introduction DNS ........................................................................................................................... 37 Vue d'ensemble du processus de rsolution de noms ....................................................................... 41 Installation du service DNS .............................................................................................................. 44 Rsum de la leon ........................................................................................................................... 45 Leon 2 : Cration de zones .................................................................................................................. 46 Planification de zones ....................................................................................................................... 46 Cration d'une zone ........................................................................................................................... 46 Cration de zones intgres Active Directory ................................................................................ 48 Dlgation de zones .......................................................................................................................... 49 Configuration de DNS dynamique .................................................................................................... 50 Rsum de la leon ........................................................................................................................... 51 Leon 3 Gestion des enregistrements de ressources ............................................................................. 52 Prsentation des types d'enregistrements de ressources .................................................................... 53 2

Administration dun Serveur Informatique

Sommaire

Affichage des enregistrements de ressources.................................................................................... 53 Cration d'enregistrement de ressource ............................................................................................ 54 Rsum de la leon ........................................................................................................................... 54 Leon 4 : Rsolution de problmes lis DNS .................................................................................... 55 Surveillance de serveurs DNS........................................................................................................... 55 Scnarios de dpannage de DNS ...................................................................................................... 56 Rsum de la leon ........................................................................................................................... 59 Chapitre IV : Service Internet IIS ......................................................................................................... 60 Leon 1 : Cration de sites Web et de sites FTP ................................................................................... 61 Installation des Services Internet ...................................................................................................... 61 Mise en route ..................................................................................................................................... 63 Cration de sites ................................................................................................................................ 64 Administration de sites Web et de sites FTP .................................................................................... 66 Rsum de la leon ........................................................................................................................... 69 Leon 2 : Cration de rpertoires virtuels ............................................................................................. 70 Cration de rpertoires virtuels ......................................................................................................... 70 Utilisation du partage Web ............................................................................................................... 71 Redirection des demandes ................................................................................................................. 72 Rsum de la leon ........................................................................................................................... 73 Leon 3 : Gestion de la scurit de site ................................................................................................. 74 Utilisation des attributions de port .................................................................................................... 74 Utilisation de l'authentification ......................................................................................................... 75 Authentification anonyme ................................................................................................................. 75 Utilisation des restrictions par adresse IP et nom de domaine .......................................................... 78 Utilisation des autorisations d'accs.................................................................................................. 78 Utilisation de SSL ............................................................................................................................. 79 Rsum de la leon ........................................................................................................................... 79 Leon 4 : Rsolution de problmes lis aux Services Internet (IIS) ..................................................... 80 Rsum de la leon ........................................................................................................................... 81

Administration dun Serveur Informatique

Chapitre I : DHCP

Chapitre I : Protocole DHCP

Leon 1 : Prsentation du protocole DHCP ............................................................................................ 5 Leon 2 : Configuration d'un serveur DHCP ........................................................................................ 12 Leon 3: Rsolution de problmes lis DHCP ................................................................................... 17

propos de ce chapitre Dans ce chapitre, vous apprenez utiliser le protocole DHCP (Dynamic Host Configuration Protocol) pour configurer automatiquement les paramtres requis par les clients TCP/IP (Transmission Control Protocol/Internet Protocol) et liminer quelques problmes de configuration courants. Au cours des leons, vous installez et configurez un serveur DHCP, vous testez la configuration de DHCP et obtenez ensuite une adresse IP (Internet Protocol) auprs d'un serveur DHCP.

Administration dun Serveur Informatique

Chapitre I : DHCP

Leon 1 : Prsentation du protocole DHCP


DHCP est un service et un protocole qui travaillent ensemble pour attribuer automatiquement des adresses IP et d'autres paramtres de configuration TCP/IP aux ordinateurs d'un rseau. DHCP surmonte les limitations lies la configuration des clients TCP/IP et la gestion manuelle des adresses IP. Cette leon dresse une vue d'ensemble de DHCP, explique comment il fonctionne et comment l'installer. la fin de celle leon, vous pourrez Recenser les types d'allocations d'adresses IP pris en charge par DHCP, Comprendre le processus par lequel les clients DHCP demandent, reoivent et Renouvellent les attributions d'adresses IP, Dcrire les fonctions des types de messages DHCP, Installer un serveur DHCP, Installer un agent de relais DHCP.

Vue d'ensemble de DHCP


DHCP est une extension du protocole BOOTP (Bootstrap Protocol), qui a t conu pour permettre aux postes de travail sans disque de rcuprer une adresse IP et d'autres paramtres de configuration TCP/IP auprs d'un serveur rseau. La limitation principale de BOOTP est que l'administrateur doit entrer manuellement sur le serveur les paramtres de configuration de chaque poste de travail. DHCP amliore ce concept en attribuant aux clients de faon dynamique des adresses IP qu'il puise dans un pool. Lorsque vous utilisez le protocole DHCP pour grer les attributions d'adresses IP et les tches de configuration TCP/IP d'un rseau, les administrateurs n'ont plus besoin de se dplacer jusqu' chaque ordinateur pour configurer son client TCP/IP, ni de conserver l'enregistrement des adresses IP qu'ils ont attribues. En suivant automatiquement les attributions d'adresses IP, l'utilisation du protocole DHCP rduit la possibilit de duplication d'adresse. Comme l'illustre la figure I.1, chaque fois qu'un client DHCP dmarre, il demande au serveur DHCP toute linformation d'adressage IP, qui comprend l'adresse IP, le masque de sous-rseau et d'autres paramtres importants. Ces autres paramtres peuvent tre l'adresse de la passerelle par dfaut, l'adresse des serveurs DNS (Domain Name System) et WINS (Windows Internet Naming Service). Quand un serveur DHCP reoit une demande, il slectionne l'information d'adressage IP dans un pool d'adresses (appel une tendue) dfini dans sa base de donnes et la renvoie au client DHCP. Si le client accepte l'offre, le serveur DHCP loue l'adresse IP au client pour une dure dfinie. Au cours du bail, le poste client renouvele l'attribution d'adresse chaque ouverture de session. Si le bail expire sans tre renouvel, l'adresse IP est rintgre au pool des adresses disponibles afin d'tre attribue. Le protocole DHCP est bas sur des standards ouverts publis par l'IETF (Internet Engineering Task Force), qui publie galement les standards TCP/IP. Bien que Microsoft ait jou un rle d'envergure dans le dveloppement de DHCP et que tous les systmes d'exploitation Windows prennent en charge les clients DHCP, vous pouvez utiliser le service Microsoft DHCP Server intgr Windows 2003 Server pour configurer aussi des clients d'autres systmes d'exploitation. De la mme manire, vous pouvez utiliser un serveur DHCP s'excutant sur un autre systme d'exploitation pour configurer des clients DHCP Windows.

Administration dun Serveur Informatique

Chapitre I : DHCP

Figure I. 1:Interaction client/serveur DHCP

Configuration manuelle et configuration automatique


Pour comprendre en quoi l'utilisation du protocole DHCP est avantageuse pour la configuration TCP/IP de postes clients, il est utile de comparer la mthode de configuration TCP/IP manuelle avec la mthode automatique. La configuration TCP/IP manuelle signifie que les utilisateurs peuvent choisir une adresse IP alatoire au lieu d'en obtenir une auprs de l'administrateur rseau. L'utilisation d'adresses incorrectes peut provoquer des problmes rseau, comme un conflit avec une adresse existante ou l'impossibilit pour l'ordinateur de communiquer avec le rseau. De mme, saisir manuellement l'adresse IP, le masque de sous-rseau et la passerelle par dfaut impliquent des fautes de frappe potentielles, qui risquent de crer des problmes semblables. Une autre des limites de la configuration TCP/IP manuelle est la surcharge administrative sur des inter-rseaux o les ordinateurs sont frquemment dplacs d'un sous-rseau un autre. Par exemple, lorsque vous dplacez un poste de travail vers un autre sous-rseau, vous devez modifier l'adresse IP et l'adresse de la passerelle par dfaut de l'ordinateur pour qu'il puisse communiquer partir de son nouvel emplacement. L'utilisation de DHCP pour configurer automatiquement l'information d'adressage IP signifie que les utilisateurs n'ont plus besoin d'obtenir ces informations auprs d'un administrateur pour configurer TCP/IP. Le serveur DHCP fournit automatiquement aux clients DHCP l'ensemble des informations de configuration ncessaires. De nombreux problmes de rseau dont il est difficile de trouver l'origine peuvent tre limins grce au protocole DHCP. Dans un rseau DHCP, quand vous dplacez un poste de travail sur un autre sous-rseau, une nouvelle adresse IP est attribue l'ordinateur la premire fois qu'il se connecte. L'adresse de l'ancien sous-rseau est abandonne et, aprs l'expiration de son bail, elle est renvoye au pool d'adresses du serveur DHCP.

Types d'allocation d'adresses IP par DHCP


La fonction fondamentale du protocole DHCP est d'attribuer des adresses IP. Il s'agit de la partie la plus complique du service, parce que l'adresse IP de chaque poste client doit tre unique. Le standard DHCP dfinit trois types d'allocation d'adresses IP : Allocation manuelle. Un administrateur attribue une adresse IP spcifique un ordinateur sur le serveur DHCP, et le serveur fournit cette adresse l'ordinateur quand il la demande. Allocation automatique. Le serveur DHCP fournit aux clients des adresses IP prises dans un pool commun d'adresses, et les clients conservent ces adresses attribues de manire permanente. Allocation dynamique. Le serveur DHCP fournit des adresses IP prises dans un pool aux clients et les leur loue. Le client doit priodiquement renouveler le bail, sans quoi l'adresse est remise dans le pool d'allocation. 6

Administration dun Serveur Informatique

Chapitre I : DHCP

L'allocation manuelle est l'quivalent fonctionnel de l'attribution d'adresse par BOOTP. Cette option rduit assez peu le travail administratif, mais elle est ncessaire pour les ordinateurs qui requirent des adresses IP permanentes, comme les serveurs Internet dont les noms DNS sont associs des adresses spcifiques. Les administrateurs pourraient videmment configurer directement les clients TCP/IP de ces ordinateurs, mais l'utilisation du serveur DHCP pour l'attribution empche les adresses IP d'tre dupliques accidentellement. L'allocation automatique est une solution adapte aux rseaux sur lesquels les administrateurs dplacent rarement les postes de travail entre des sous-rseaux. L'attribution d'adresses IP prises dans une tendue rend inutile la fourniture d'une adresse spcifique chaque ordinateur et empche la duplication d'adresse. L'attribution permanente de ces adresses rduit le trafic rseau gnr par des communications client/serveur DHCP. Une fois le serveur configur, l'allocation dynamique automatise compltement le processus de configuration du client TCP/IP et permet aux administrateurs d'ajouter, supprimer et dplacer les ordinateurs en fonction de leurs besoins. Quand un ordinateur dmarre, le serveur loue une adresse l'ordinateur pour une priode donne, renouvelle le bail si l'ordinateur reste actif, reprend l'adresse si elle n'est plus utilise et la renvoie au pool. La plupart des installations DHCP utilisent l'allocation dynamique.

Fonctionnement de DHCP
Une transaction typique entre un client et un serveur DHCP comporte quatre phases, comme le montre la figure I.2. La communication entre le client et le serveur DHCP utilise des datagrammes UDP (User Datagram Protocol) sur les ports 67 et 68. Le protocole DHCP utilise huit types de message diffrents: DHCPDISCOVER. Utilis par les clients pour demander leurs paramtres de configuration un serveur DHCP. DHCPOFFER. Utilis par les serveurs pour offrir des adresses IP la requte de clients. DHCPREQUEST. Utilis par les clients pour accepter ou renouveler l'attribution d'une adresse IP. DHCPDECLINE. Utilis par les clients pour rejeter une adresse IP qui leur t propose. DHCPACK. Utilis par les serveurs pour accuser rception de l'acceptation par le client de l'adresse IP qui lui a t propose. DHCPNAK. Utilis par les serveurs pour rejeter l'acceptation par le client d'une adresse IP qui lui a t propose. DHCPRELEASE. Utilis par les clients pour terminer un bail d'adresse IP. DHCPINFORM. Utilis par les clients pour obtenir des paramtres de configuration TCP/IP auprs d'un serveur DHCP.

Figure I. 2 : Communications Client/Serveur DHCP

Administration dun Serveur Informatique

Chapitre I : DHCP

Communications DHCP
Les clients DHCP amorcent la communication avec les serveurs quand ils dmarrent pour la premire fois. Le client gnre une srie de messages DHCPOISCOVER, qu'il transmet sous la forme de diffusions. Jusque-l, le client ne dispose pas encore d'une adresse IP : on dit qu'il est dans l'tat init, Comme toutes les diffusions, ces transmissions sont limites au rseau local du client, mais les administrateurs peuvent installer un service d'Agent de relais DHCP sur un ordinateur du rseau local, qui retransmet les messages aux serveurs DHCP prsents sur d'autres rseaux. Cela permet un seul serveur DHCP de servir les clients de plusieurs rseaux locaux. De nombreux routeurs proposent galement cette fonctionnalit. Lorsqu'un serveur DHCP reoit un message DHCPDISCOVER manant d'un client, il gnre un message DHCPOFFER contenant une adresse IP et tout autre paramtre facultatif qu'il est suppos fournir au regard de sa configuration. Dans la plupart des cas, le serveur transmet directement ce message au client en monodiffusion. Comme le client utilise des diffusions pour ses messages DHCPDISCOVER, il peut recevoir des rponses DHCPOFFER en provenance de plusieurs serveurs. Aprs une priode de temps prdfinie, le client interrompt sa diffusion et accepte l'une des adresses IP offertes. Pour signifier son accord, le client gnre un message DHCPREQUEST, qui contient la fois l'adresse du serveur duquel il accepte l'offre et l'adresse IP qui lui a t propose. Comme le client n'a pas encore t configur avec les paramtres proposs, il transmet le message DHCPREQUEST comme une diffusion. Cette diffusion prvient le serveur que le client a accept l'adresse propose, en mme temps qu'elle prvient les autres serveurs du rseau que le client rejette leurs offres. Ds la rception du message DHCPREQUEST, le serveur enregistre l'adresse IP propose et les autres paramtres dans sa base de donnes, et il identifie cette attribution de manire unique en crant un identificateur (ID), qui combine l'adresse matrielle du client et l'adresse IP qui lui a t propose. C'est l'identificateur unique du client. Pour conclure sa part de la transaction, le serveur envoie un message DHCPACK au client, accusant rception de l'achvement du processus. Si le serveur ne peut pas terminer l'attribution (parce qu'il a dj attribu un autre systme l'adresse IP propose, par exemple), il transmet un message DHCPNAK au client et le processus entier recommence. la fin, le client excute un test ARP pour s'assurer qu'aucun autre systme du rseau n'utilise l'adresse IP attribue. Si aucune rponse n'est reue au message ARP, la transaction DHCP est acheve et le client entre dans ce que l'on appelle l'tat attach. Si un autre systme rpond au message ARP, le client ne peut pas utiliser l'adresse IP et transmet un message DHCPDECLINE au serveur, annulant la transaction. Le client peut ensuite rditer une srie de messages DHCPDISCOVER, redmarrant le processus entier.

Bail DHCP
Le processus par lequel un serveur DHCP attribue des paramtres de configuration un client est le mme, que le serveur utilise l'allocation manuelle, automatique ou dynamique. Avec l'allocation manuelle et l'allocation automatique, ce processus est la fin des communications DHCP client-serveur. Le client conserve les paramtres attribus par le serveur jusqu' ce que quelqu'un les modifie explicitement ou force une nouvelle attribution. Cependant, quand le serveur alloue des paramtres dynamiquement, le client loue son adresse IP pendant une certaine dure (configure sur le serveur) et doit renouveler ce bail pour continuer l'utiliser. La dure d'un bail d'adresse IP est mesure en jours et dpend gnralement de la frquence de dplacement des ordinateurs dans le rseau ou de la raret des adresses IP. Les baux courts accroissent le trafic rseau, mais ils permettent aux serveurs de rclamer plus rapidement les adresses inutilises. Pour un rseau relativement stable, les baux longs rduisent le trafic rseau imputable DHCP. 8

Administration dun Serveur Informatique

Chapitre I : DHCP

Le processus de renouvellement du bail, reprsent sur la figure I.3, commence lorsqu'un client attach atteint la valeur de renouvellement, ou valeur T1, de son bail. Par dfaut, cette valeur de renouvellement est fixe 50 % de la dure de bail. Quand un client atteint ce point, il entre dans l'tat renouvellement et commence gnrer des messages DHCPREQUEST. Le client transmet les messages sous la forme d'une monodiffusion vers le serveur dtenteur du bail, la diffrence de la diffusion DHCPREQUEST des messages gnre par le client en tat init. Si le serveur est disponible, il rpond par un message DHCPACK, qui renouvelle le bail et redmarre la dure du bail, ou par un message DHCPNAK, qui termine le bail et force le client recommencer le processus d'attribution d'adresse partir du dbut.

Figure I. 3 : Le processus de renouvellement de bail DHCP

Si le serveur ne rpond pas au message monodiffusion DHCPREQUEST, le client continue envoyer un jusqu' ce qu'il atteigne la valeur de renouvellement, ou valeur T1, fixe par dfaut 87,5 % de la dure du bail. A ce moment-l, le client commence transmettre des messages DHCPREQUEST sous la forme de diffusions, sollicitant une attribution d'adresse de la part de n'importe quel serveur DHCP du rseau. Cette fois encore, un serveur peut rpondre par un message DHCPACK ou DHCPNAK. Si la dure du bail expire sans rponse d'un serveur DHCP, l'adresse IP du client est libre et l'ensemble de sa communication de TCP/IP cesse, l'exception de la transmission de diffusions DHCPDISCOVER.

Libration d'une adresse IP


Il est galement possible pour un client de mettre fin tout moment un bail d'adresse IP en transmettant au serveur un message DHCPRELEASE contenant l'identificateur de bail. Sur un systme excutant Windows 2000 /NT/XP/2003 Server, par exemple, vous pouvez procder manuellement cette opration avec ipconfig.exe. Sous Microsoft Windows Me/98/95, c'est l'utilitaire winipcfg.exe qui permet de terminer un bail.

Serveurs DHCP indisponibles


Si le client DHCP de Windows 2000/2003 ne reoit pas de rponse sa diffusion DHCPDISCOVER, il retransmet le message diffrents intervalles. S'il n'obtient toujours pas de rponse, Windows 2000/2003 peut configurer automatiquement une adresse IP et un masque de sous-rseau. Il s'agit l d'une fonctionnalit de Windows 2000/2003 appele l'adressage IP automatique priv. L'adressage IP automatique priv est utile pour les clients des petits rseaux privs, comme un petit commerce, un rseau domestique ou un client d'accs distant. Le service client DHCP de Windows 2000/2003 procde de la manire suivante pour autoconfigurer le client: Le client DHCP tente de localiser un serveur DHCP et d'en obtenir une configuration et une adresse IP. Si le client DHCP ne trouve pas de serveur DHCP, il autoconfigure son adresse IP et son masque de sous-rseau l'aide d'une adresse slectionne du rseau de classe B rserv de Microsoft 169.254.0.0 et du masque 255.255.0.0. Le client DHCP effectue un test de conflit d'adresse pour s'assurer que l'adresse IP qu'il a choisie n'est pas dj utilise sur le rseau. S'il y a un conflit, le client slectionne une autre adresse IP. Il peut renouveler sa tentative d'auto configuration jusqu' dix adresses.

Administration dun Serveur Informatique

Chapitre I : DHCP

Une fois que le client DHCP possde une adresse IP, il l'utilise pour configurer son interface rseau. Le client continue rechercher un serveur DHCP en arrire-plan toutes les cinq minutes. Si un serveur DHCP est trouv ultrieurement, le client abandonne ses informations d'auto configuration. Il utilise alors l'adresse propose par le serveur DHCP (et toutes les autres informations DHCP optionnelles fournies) pour mettre jour ses paramtres de configuration IP.

Installation d'un serveur DHCP


Avant d'installer DHCP, rpondez aux questions suivantes: Tous les ordinateurs du rseau sont-ils des clients DHCP ? Si ce n'est pas le cas, n'oubliez pas que les clients non DHCP ont des adresses IP statiques, qu'il faut exclure de la configuration du serveur DHCP. Si un client requiert une adresse spcifique, l'adresse IP doit tre rserve. Le serveur DHCP fournira-t-il des adresses IP plusieurs rseaux locaux? Si c'est le cas, considrez que vous devez soit avoir un serveur DHCP sur chaque rseau local, soit configurer en agents de relais DHCP les routeurs qui relient les rseaux locaux ou les serveurs. Combien de serveurs DHCP sont ncessaires? Considrez que les serveurs DHCP ne partagent pas les informations entre eux. Par consquent, il est ncessaire de crer des tendues d'adresses IP uniques pour chaque serveur. Quelles options d'adressage IP les clients obtiendront-ils d'un serveur DHCP? Les options d'adressage IP dtermine la manire dont le serveur DHCP doit tre configur, et si les options doivent tre cres pour tous les clients Internet, pour les clients d'un sous-rseau spcifique ou pour des clients individuels. Les options d'adressage IP peuvent comporter l'adresse de la passerelle par dfaut, les adresses des serveurs DNS, les adresses des serveurs WINS et d'autres paramtres TCP/IP, en fonction de la configuration de votre rseau. Pour installer un serveur DHCP, procdez de la manire suivante: 1. Sur un ordinateur excutant Windows 2003 Server, ouvrez une session en tant qu'administrateur. 2. Cliquez sur Dmarrer, pointez sur Paramtres et cliquez sur Panneau de configuration. 3. Dans Ajout/Suppression de programmes, double-cliquez sur Ajouter/ Supprimer des composants Windows pour dmarrer l'Assistant Composants de Windows. 4. Dans la liste Composants, slectionnez Services de mise en rseau. 5. Cliquez sur Dtails. 6. Dans la liste Sous-composants de Services de mise en rseau, slectionnez la case cocher Protocole DHCP (Dynamic Host Configuration Protocol). 7. Cliquez sur OK, puis cliquez sur Suivant. Si vous y tes invit, saisissez le chemin d'accs complet des fichiers de distribution de Windows 2003, puis cliquez sur Continuer. Les fichiers requis sont copis sur votre disque dur. 8. Cliquez sur Terminer pour fermer l'Assistant Composants de Windows. Important L'ordinateur excutant le service Serveur DHCP ne doit pas tre lui mme un client DHCP, mme si vous avez d'autres serveurs DHCP sur le rseau. Vous devez configurer manuellement l'adresse IP statique, le masque de sous-rseau et les autres paramtres de configuration TCP/IP sur les ordinateurs serveurs DHCP.

Agent de relais DHCP


Un agent de relais est un petit programme qui relaie les messages DHCP/BOOTP entre les clients et les serveurs de diffrents sous-rseaux. Un rseau multi-segment requiert un agent de relais, parce que DHCP repose largement sur la transmission de diffusions, qui sont limites au rseau local d'o elles proviennent. Quand un routeur excutant un agent de relais DHCP reoit des diffusions de clients DHCP, il les retransmet aux serveurs DHCP d'autres rseaux. Cela permet un seul serveur DHCP 10

Administration dun Serveur Informatique

Chapitre I : DHCP

servir les clients de plusieurs rseaux locaux. La plupart des routeurs ddis du march peuvent fonctionner comme agents de relais DHCP ou BOOTP. La fonctionnalit d'agent de relais est identique pour DHCP et BOOTP ; si votre routeur peut fonctionner comme agent de relais BOOTP, vous pouvez galement l'utiliser avec le protocole DHCP. Le composant Agent de relais DHCP fourni avec Windows 2003 est un agent de relais BOOTP, qui retransmet des messages DHCP entre des clients et des serveurs DHCP sur des rseaux diffrents. Remarque Vous ne pouvez pas configurer un serveur excutant le service DHCP pour fonctionner aussi comme agent de relais DHCP. Pour ajouter l'Agent de relais DHCP un routeur Windows 2003, procdez de la faon suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console Routage et accs distant. 2. Dans l'arbre de la console, cliquez sur Nom de serveur\Routage IP\Gnral. 3. Cliquez avec le bouton droit de la souris sur Gnral et, dans le menu contextuel, slectionnez Nouveau protocole de routage pour afficher la bote de dialogue Nouveau protocole de routage. 4. Dans la bote de dialogue Nouveau protocole de routage, cliquez sur Agent de relais DHCP, puis sur OK.

Rsum de la leon
Le protocole DHCP (Dynamic Host Configuration Protocol) combine un service et un protocole qui permettent aux postes clients de rcuprer automatiquement les paramtres de configuration TCP/IP (Transmission Control Protocol/Internet Protocol) auprs d'un serveur du rseau. Le service DHCP peut allouer des adresses IP de trois faons: en fournissant une adresse prconfigure un ordinateur spcifique (allocation manuelle) ; en fournissant aux ordinateurs des adresses permanentes prises dans un pool (allocation automatique) ; en louant aux ordinateurs les adresses d'un pool et en les rclamant aprs expiration du bail (allocation dynamique). Les clients DHCP demandent une attribution d'adresse en diffusant des messages aux serveurs DHCP sur le rseau. Les serveurs rpondent par des offres d'adresse, et le client accepte une de ces offres. Les clients DHCP renouvellent priodiquement leurs baux d'adresses en amorant une nouvelle transaction avec le serveur DHCP. Si le bail expire sans renouvellement, les communications TCP/IP du poste client cessent ( l'exception des messages DHCP). Un agent la relais DHCP propage les massages DHCP aux serveurs d'autres rseaux, ce qui permet un seul serveur DHCP de prendre en charge des clients de plusieurs sous rseaux locaux.

11

Administration dun Serveur Informatique

Chapitre I : DHCP

Leon 2 : Configuration d'un serveur DHCP


Dans cette leon, vous apprenez configurer le service DHCP sur un serveur Windows 2003. la fin de cette leon, vous pourrez Autoriser un serveur DHCP, Crer une tendue, Configurer les options DHCP, Activer une tendue.

Installation et configuration d'un serveur DHCP


Une fois que vous avez install le service Serveur DHCP sur un ordinateur excutant Windows 2003 Server, vous devez le configurer avant qu'il ne puisse attribuer des paramtres TCP/IP aux clients. Les tapes principales de l'implmentation de DHCP sont les suivantes: Installez le service DHCP, Autorisez le serveur DHCP, Crez et activez une tendue d'adresses IP, Configurez les options DHCP livrer aux clients en mme temps que les adresses IP.

Autorisation d'un serveur DHCP


Lorsqu'ils sont configurs correctement et autoriss en utilisation sur un rseau, les serveurs DHCP fournissent un service d'administration utile selon le but recherch. Cependant, quand un serveur DHCP non autoris ou mal configur, qu'on appelle aussi un serveur pernicieux, s'introduit sur un rseau, il peut provoquer des problmes. Par exemple, ce type de serveur peut louer des adresses IP incorrectes aux clients ou rpondre par la ngative aux clients DHCP qui essaient de renouveler leurs baux d'adresses, Dans un cas comme dans l'autre, d'autres problmes peuvent apparatre pour les clients activs DHCP. Par exemple, des clients obtenant un bail de configuration de ce serveur non autoris risquent de ne pas trouver de contrleurs de domaine valides, ce qui les empche alors d'ouvrir une session sur le rseau. Pour viter ces problmes sur un rseau Windows 2003, les serveurs DHCP doivent tre autoriss dans le service Active Directory de Microsoft avant de pouvoir servir des clients. Cela vite la plupart des prjudices fortuits provoqus par l'excution de serveurs DHCP avec des configurations incorrectes ou avec des configurations correctes mais sur le mauvais rseau. Pour que le processus d'autorisation d'annuaire fonctionne correctement, il est ncessaire que le premier serveur DHCP introduit sur votre rseau participe Active Directory. Cela ncessite que le serveur soit install soit comme contrleur de domaine, soit comme serveur membre. Quand vous planifiez ou dployez activement les services Active Directory, il est important que vous n'installez pas votre premier serveur DHCP comme serveur autonome. Le processus d'autorisation d'ordinateurs serveurs DHCP dans Active Directory dpend de leur rle sur votre rseau. Pour Windows 2003 Server (comme pour les versions antrieures), il existe trois rles (ou types) de serveurs pour lesquels installer un ordinateur serveur : Contrleur de domaine. L'ordinateur qui sauvegarde et entretient une copie de la base de donnes du service Active Directory fournit une gestion des comptes scurise aux utilisateurs et ordinateurs membres du domaine.

12

Administration dun Serveur Informatique

Chapitre I : DHCP

Serveur membre. L'ordinateur ne joue pas le rle de contrleur de domaine, mais s'est joint un domaine dont il est membre avec un compte dans la base de donnes du service Active Directory. Serveur autonome. L'ordinateur n'est ni contrleur de domaine, ni serveur membre d'un domaine. Tous les ordinateurs fonctionnant en serveurs DHCP doivent tre soit des contrleurs de domaines, soit des serveurs membres de domaines avant de pouvoir tre autoriss dans le service d'annuaire et fournir le service DHCP aux clients. Pour autoriser un serveur DHCP dans le service Active Directory, procdez de la manire suivante: 1. Ouvrez une session sur le rseau partir de l'ordinateur serveur DHCP en utilisant soit un compte qui possde des privilges d'administration d'entreprise, soit un compte qui a reu autorit pour autoriser les serveurs DHCP de votre entreprise. Gnralement, vous pouvez utiliser un compte qui appartient au groupe Administrateurs d'entreprise. Le compte que vous utilisez doit avoir l'autorisation Contrle total pour l'objet conteneur NetServices, stock dans la racine d'entreprise du service Active Directory. 2. Installez le service DHCP sur l'ordinateur. 3. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, slectionnez DHCP pour ouvrir la console DHCP. 4. Dans le menu Action, slectionnez Grer les serveurs autoriss pour afficher la bote de dialogue Grer les serveurs autoriss. . 5. Cliquez sur Autoriser pour ouvrir la bote de dialogue Autoriser le serveur DHCP. 6. Saisissez le nom ou l'adresse IP du serveur DHCP autoriser, puis cliquez sur OK. La console affiche un message DHCP vous invitant confirmer l'autorisation du serveur DHCP que vous avez indiqu. 7. Cliquez sur Oui pour fermer le message. 8. Cliquez sur' Fermer pour fermer la bote de dialogue Grer les serveurs autoriss. Quand le service DHCP dmarre sur un serveur Windows 2003. Lordinateur accde au service Active Directory pour voir s'il figure dans la liste des serveurs DHCP autoriss. Si le serveur est autoris, il envoie des messages DHCPINFORM pour dcouvrir s'il y a d'autres serveurs DHCP en cours d'excution et s'assurer qu'ils sont galement autoriss. Si le serveur ne parvient pas se connecter au service Active Directory, il suppose qu'il n'est pas autoris et ne l'pand pas aux demandes des clients. De mme, si le serveur se connecte au service Active Directory, mais ne se trouve pas dans la liste des serveurs autoriss, il ne rpond pas aux clients. Si le serveur se trouve dans la liste des serveurs autoriss, il commence servir les demandes des clients.

Cration d'une tendue DHCP


Avant qu'un serveur DHCP ne puisse louer des adresses IP aux clients DHCP, vous devez crer une tendue, qui est un pool d'adresses IP valides disponibles la location pour les clients DHCP. Une fois que vous avez install le service DHCP et qu'il s'excute, l'tape suivante consiste crer une tendue. Lors de la cration d'une tendue DHCP, considrez les points suivants: 1. Vous devez crer au moins une tendue pour chaque serveur DHCP. 2. Vous devez exclure de cette tendue les adresses IP statiques attribues manuellement. 3. Vous devez crer une tendue spare pour chaque sous-rseau IP de votre rseau (pas ncessairement sur le mme serveur DHCP). 4. Vous ne pouvez crer qu'une tendue par sous-rseau sur un serveur DHCP donn. 5. Les serveurs DHCP ne partagent pas les informations sur les tendues, Quand vous crez des tendues sur plusieurs serveurs DHCP, assurez-vous que les mmes adresses IP ne figurent pas dans plusieurs tendues, pour empcher l'adressage IP en double.

13

Administration dun Serveur Informatique

Chapitre I : DHCP

6. En fonction des adresses IP de dbut et de fin de votre tendue, la console DHCP propose un masque de sous-rseau par dfaut applicable la plupart des rseaux. Si vous savez que votre rseau requiert un masque de sous-rseau diffrent, vous pouvez, au besoin, modifier la valeur propose. Pour crer une nouvelle tendue, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, slectionnez DHCP pour ouvrir la console DHCP. 2. Dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur le serveur DHCP sur lequel vous voulez crer l'tendue. Dans le menu contextuel, slectionnez Nouvelle tendue pour lancer l'Assistant Nouvelle tendue. 3. Cliquez sur Suivant pour passer la page d'accueil et afficher la page Nom de J'tendue 4. Saisissez un nom pour identifier l'tendue dans la zone de texte Nom, ainsi qu'une description. Cliquez sur Suivant, pour passer la page Plage d'adresses IP. 5. Dans les zones de texte Adresse IP de dbut et Adresse IP de fin, entrez J'intervalle d'adresses que vous souhaitez que J'tendue attribue aux clients DHCP. L'intervalle doit comporter toutes les adresses que vous voulez attribuer au sous-rseau. Vous pourrez exclure des adresses spcifiques de cet intervalle plus tard. 6. Indiquez le masque de sous-rseau utiliser avec les adresses IP de l'intervalle que vous avez slectionn, en indiquant le nombre de bits d'identificateur de rseau dans la zone Longueur, ou en saisissant le masque dans la zone de texte Masque de sous-rseau. Le fait de modifier la valeur dans la zone Longueur modifie automatiquement la valeur de la zone Masque de sousrseau. 7. Cliquez sur Suivant pour passer la page Ajout d'exclusions. 8. Dans les zones de texte Adresse IP de dbut et Adresse IP de fin, entrez l'intervalle des adresses que vous dsirez exclure de l'tendue que vous avez cre auparavant et cliquez sur Ajouter pour insrer "intervalle dans la liste Plage d'adresses exclue. Pour exclure une seule adresse de l'tendue, entrez la mme adresse tant dans les zones de texte Adresse IP de dbut qu'Adresse IP de fin. 9. Rptez l'tape 8 pour exclure de l'tendue autant d'adresses que vous le souhaitez. Cliquez sur Suivant pour passer la page Dure du bail. 10. Indiquez dans les zones Jours, Heures et Minutes la dure pour laquelle les clients DHCP utilisant cette tendue doivent louer les adresses IP qui leur sont attribues par le serveur. Utilisez une dure de bail courte si les adresses IP sont rares; utilisez une dure de bail longue pour rduire le trafic rseau gnr par DHCP. Cliquez sur Suivant pour passer la page Configuration des paramtres DHCP. 11. Slectionnez Non, je configurerai ces options ultrieurement et cliquez sur Suivant pour passer la page Fin de l'Assistant Nouvelle tendue. Remarque Si vous slectionnez Oui, je veux configurer ces options maintenant, l'assistant affiche quatre pages supplmentaires, qui vous permettent de configurer les options concernant le routeur, le nom du domaine, le serveur DNS et le serveur WINS et d'activer l'tendue. Vous avez galement la possibilit de configurer ces options et plusieurs autres aprs avoir cr l'tendue, comme le dcrit la section suivante. 12. Cliquez sur Terminer pour crer l'tendue.

14

Administration dun Serveur Informatique

Chapitre I : DHCP

Gestion des tendues DHCP


Aprs avoir dfini une tendue, elle s'affiche dans la console DHCPavec quatre objets, qui sont les suivants: Pool d'adresses. Indique les adresses IP de l'tendue et vous permet de crer des intervalles d'exclusion supplmentaires. Baux d'adresses. Indique les adresses actuellement loues par des clients sur le rseau. Rservations. Vous permet de crer des attributions d'adresses IP pour des ordinateurs spcifiques du rseau, comme des serveurs web, qui doivent conserver en permanence la mme adresse IP. Options d'tendue. Vous permet de configurer les options DHCP attribues tous les clients obtenant des adresses IP de l'tendue

Configuration d'options supplmentaires


Vous configurez des options DHCP pour fournir aux postes clients d'autres paramtres de configuration TCP/IP que l'adresse IP et le masque de sous-rseau. Le serveur DHCP de Microsoft prend en charge de nombreuses options, dont voici les plus courantes, avec leur numro : 003 Routeur. Indique l'adresse de passerelle par dfaut des clients, c'est--dire l'adresse IP du routeur que le client doit utiliser pour accder d'autres rseaux. 006 Serveurs DNS. Indique l'adresse IP des serveurs DNS que les c1ieots doivent utiliser pour rsoudre l'hte et les noms de domaine en adresses IP. 015 Nom de domaine DNS. Indique le nom de domaine DNS que les clients doivent utiliser par dfaut pour les rsolutions de noms. 044 Serveurs WINS/NBNS. Indique les adresses IP des serveurs WINS que les clients doivent utiliser pour rsoudre les noms NetBIOS (Network Basic Input/Output System) en adresses IP. 046 Type de nud WINS/NBT. Indique le type de rsolution de noms NetBIOS sur TCP/IP que les clients doivent utiliser. Vous pouvez configurer les options DHCP au niveau du serveur ou de l'tendue. Les options que vous configurez pour un serveur sont appliques l'ensemble des clients DHCP servis par l'ensemble des tendues de ce serveur. Les options configures pour une tendue ne sont appliques qu'aux clients recevant des adresses issues de cette tendue. Pour configurer les options DHCP d'un serveur, cliquez avec le bouton droit de la souris sur Options de serveur et, dans le menu contextuel, slectionnez Configurer les options. Pour configurer les options DHCP d'une tendue, cliquez avec le bouton droit de la souris sur Options d'tendue et, dans le menu contextuel, slectionnez Configurer les options. La console DHCP affiche alors la bote de dialogue Options Etendue ou Options Serveur, qui sont semblables en tous points hormis leur titre. Pour configurer une option DHCP, examinez la liste Options disponibles et slectionnez la case cocher correspondante. Lorsque vous slectionnez une option, des contrles spcifiques cette option s'affichent dans la bote de dialogue. Vous les utilisez pour indiquer des adresses de serveur ou configurer d'autres proprits de l'option. Quand vous avez configur toutes les options pour l'tendue ou le serveur, cliquez sur OK.

Activation d'une tendue


Une fois que vous avez cr une tendue et que vous avez configur ses options, vous devez l'activer pour qu'elle puisse servir des clients, si vous ne l'avez pas dj fait l'aide de l'Assistant Nouvelle tendue. Pour activer une tendue, procdez de la faon suivante: 1. Cliquez sur Dmarrer, puis, dans le groupe de programmes Outils d'administration, ouvrez la console DHCP. 2. Cliquez avec le bouton droit de la souris sur l'tendue que vous voulez activer et, dans le menu contextuel, slectionnez Activer. 15

Administration dun Serveur Informatique

Chapitre I : DHCP

Une fois l'tendue active, vous pouvez la dsactiver tout moment, de la mme manire. Cela vous permet d'arrter une tendue sans interrompre le serveur.

Mise en uvre de plusieurs serveurs DHCP


Si votre inter-rseau requiert plusieurs serveurs DHCP, il est ncessaire de crer une tendue unique pour chaque sous-rseau sur chaque serveur. La superposition d'adresses dans les tendues que vous crez sur des serveurs DHCP diffrents peut aboutir une duplication des adresses IP. Pour tre sr que les clients peuvent louer des adresses IP malgr l'chec d'un serveur, il est aussi important d'avoir plusieurs tendues pour chaque sous-rseau distribu parmi les serveurs DHCP de l'inter-rseau. Considrez les recommandations suivantes lorsque vous planifiez votre stratgie de serveur DHCP : Chaque serveur DHCP doit avoir une tendue contenant approximativement 75 % des adresses IP disponibles du sous-rseau local. Chaque serveur DHCP doit avoir une tendue pour chaque sous-rseau distant contenant approximativement 25 % des adresses 1P disponibles du sous-rseau local. Quand le serveur DHCP est indisponible pour un client, le client peut toujours recevoir un bail d'adresse auprs d'un autre serveur DHCP sur un autre sous-rseau, si le routeur connectant les rseaux est bien un agent de relais DHCP.

Rsum de la leon
Les serveurs DHCP doivent tre autoriss dans le service Active Directory avant de pouvoir servir des clients. Le service DHCP doit tre install sur un contrleur de domaine ou sur un serveur membre pour tre autoris. Pour crer une tendue, vous indiquez un intervalle d'adresses IP que vous souhaitez attribuer aux clients. Vous pouvez exclure d'une tendue une seule adresse ou des intervalles d'adresses pour l'attribution d'adresses statiques. Vous pouvez configurer des options DHCP, comme les routeurs et les serveurs DNS, pour une tendue ou pour un serveur. Aprs la cration d'une tendue, vous devez l'activer pour qu'elle puisse servir des clients.

16

Administration dun Serveur Informatique

Chapitre I : DHCP

Leon 3: Rsolution de problmes lis DHCP


Le problme le plus courant que rencontrent les clients DHCP est l'impossibilit d'obtenir une adresse IP ou d'autres paramtres de configuration de la part du serveur DHCP au dmarrage du systme. Les problmes les plus courants des serveurs DHCP sont l'incapacit dmarrer le service sur le rseau en environnement Windows 2003 ou Active Directory et l'chec des clients obtenir des paramtres de configuration TCP/IP renvoys par un serveur. Cette leon vous enseigne dpanner des clients et des serveurs DHCP. la fin de cette leon, vous pourrez identifier et rsoudre les problmes rencontrs par des clients DHCP, identifier et rsoudre les problmes rencontrs par des serveurs DHCP.

Prvention des problmes DHCP


La plupart des problmes DHCP impliquent des dtails de configuration incorrects ou manquants. Pour prvenir les types de problmes les plus courants, procdez de la manire suivante: Respectez la rgle des 75/25 pour quilibrer la distribution des adresses en tendue lorsque plusieurs serveurs DHCP sont dploys pour servir la mme tendue. L'utilisation de plusieurs serveurs DHCP sur le mme sous-rseau augmente la tolrance de panne pour le service des clients DHCP qui y appartiennent. Avec deux serveurs DHCP, le deuxime peut remplacer le premier s'il n'est pas disponible et continuer louer de nouvelles adresses ou renouveler celles des clients existants. Utilisez des super-tendues pour plusieurs serveurs DHCP sur chaque sous-rseau d'un rseau local. Une super-tendue permet un serveur DHCP de fournir des baux partir de plusieurs tendues aux clients d'un seul rseau physique. Quand chaque client DHCP dmarre, il diffuse un message DHCPDISCOVER sur son rseau local pour essayer de localiser un serveur DHCP. Comme les clients DHCP utilisent des diffusions leur dmarrage initial, vous ne pouvez pas prdire quel serveur rpondra la demande d'un client si plusieurs serveurs DHCP sont actifs sur le mme sous-rseau. Utilisez la dtection de conflit ct serveur sur les serveurs DHCP uniquement lorsque cela est ncessaire. La dtection de conflit peut tre utilise par les serveurs ou les clients DHCP pour savoir si une adresse IP est en cours d'utilisation sur le rseau avant de la louer ou de l'utiliser. Crez des rservations sur tous les serveurs DHCP qui sont susceptibles de servir le client rserv. Vous pouvez utiliser une rservation pour assurer quun client DHCP reoit toujours la mme adresse IP. Si un client utilisant une rservation est susceptible de contacter plusieurs serveurs DHCP son dmarrage, vous devriez crer pour ce client une rservation identique sur chacun des serveurs DHCP. Pour les performances du serveur, souvenez-vous que DHCP fait un usage intensif du disque. Utilisez du matriel performant, particulirement en ce qui concerne le disque. DHCP cre une activit frquente et intensive sur les disques durs des serveurs. Pour obtenir le niveau de performance optimal, considrez l'utilisation de solutions matrielles RAID 0 ou RAID 5 pour votre serveur. Activez l'enregistrement d'audit en prvision du dpannage. Par dfaut, DHCP active l'enregistrement d'audit des vnements du service. Avec Windows 2003 Server, l'enregistrement d'audit constitue un outil de surveillance du systme long terme, qui permet de limiter et de scuriser l'utilisation des ressources disque du serveur.

17

Administration dun Serveur Informatique

Chapitre I : DHCP

Intgrez DHCP d'autres services, comme WINS et DNS. Les services WINS et DNS peuvent tous deux tre utiliss pour l'enregistrement dynamique des correspondances nom-versadresse de votre rseau. Pour fournir des services de rsolution de noms, vous devez prvoir l'interoprabilit de DHCP avec ces services. La plupart des administrateurs rseau qui mettent en uvre DHCP prvoient galement une stratgie pour les serveurs DNS et WINS. Utilisez le nombre de serveurs DHCP appropri au nombre de clients DHCP de votre rseau. Sur un petit rseau, comme un rseau local unique, un serveur DHCP peut servir tous les clients DHCP. Pour les rseaux routs, le nombre de serveurs ncessaires augmente en fonction de plusieurs facteurs: le nombre de clients DHCP, la vitesse de transmission entre les segments du rseau, la vitesse des liaisons WAN, la classe d'adresses IP du rseau, l'utilisation du service DHCP sur la totalit de votre rseau d'entreprise ou uniquement sur certains rseaux physiques slectionns.

Rsolution des problmes des clients DHCP


La plupart des problmes DHCP commencent par l'chec de la tentative de configuration IP d'un client: c'est de l qu'il faut partir. Aprs avoir tabli que le problme DHCP n'est pas provoqu par le client, recherchez des indices dans le journal des vnements systme et dans les journaux d'audit du serveur DHCP. Quand le service DHCP ne dmarre pas, ces journaux expliquent gnralement la source de l'chec ou de l'arrt du service. Vous pouvez aussi faire appel l'utilitaire ipconfig, l'invite de commande, pour obtenir des informations sur les paramtres TCP/IP de l'ordinateur. Les sections suivantes dcrivent les symptmes courants des problmes de client DHCP. Quand un client n'obtient pas de configuration TCP/IP, vous pouvez utiliser cette information pour identifier rapidement la source du problme.

Configuration d'adresse IP non valide


Si un client DHCP n'a pas d'adresse IP ou reoit une adresse IP du type 168.254.x.x, cela signifie que le client n'a pas pu contacter le serveur DHCP et obtenir un bail d'adresse IP. Il s'agit soit d'un chec de communication rseau, soit de l'indisponibilit du serveur DHCP. Dans ce cas, vrifiez que le poste client dispose d'une connexion rseau valide et fonctionnelle. En premier lieu, vrifiez que tous les priphriques rseau matriels du client, comme les cbles et les adaptateurs rseau, sont correctement installs et qu'ils fonctionnent. Ensuite, vrifiez que tous les composants logiciels ncessaires au rseau sont installs sur le poste client, y compris le pilote de l'adaptateur rseau, le module Client pour les rseaux Microsoft et le module Protocole Internet (TCP/IP). Dans la bote de dialogue Proprits de Protocole Internet (TCP/IP), vrifiez que la case d'option Obtenir une adresse IP automatiquement est active. L'une des mthodes de contrle des capacits rseau du poste client consiste installer le module du protocole NetBEUI (NetBIOS Enhanced User Interface). NetBEUI ne requiert aucune configuration: il suffit qu'il soit install sur un ordinateur pour qu'il communique avec les autres clients NetBEUI du rseau. Si l'ordinateur parvient communiquer sur le rseau avec NetBEUI, cela signifie que le problme provient de l'implmentation ou de la configuration de TCP/IP. Si l'ordinateur ne peut pas communiquer l'aide de NetBEUI ( supposer qu'il y ait d'autres systmes NetBEUI sur le rseau local), le problme provient d'un autre lment, comme l'adaptateur rseau, les autres composants logiciels du rseau ou le rseau lui-mme.

18

Administration dun Serveur Informatique

Chapitre I : DHCP

Paramtres de configuration manquants


Si un client DHCP ne reoit pas tous ses paramtres de configuration, peut-tre est ce parce que le serveur DHCP n'est pas configur pour fournir ces options ou parce que le client ne prend pas en charge les options distribues par le serveur. Si ce problme se produit sur des clients DHCP Microsoft, vrifiez que les options les plus gnralement utilises et prises en charge ont t configures sur le serveur ou dans l'tendue. Le serveur DHCP de Microsoft comporte la prise en charge de nombreuses options que les clients DHCP de Microsoft ne peuvent pas utiliser. Ces options sont destines aux clients DHCP s'excutant sous d'autres systmes d'exploitation. Contrlez les paramtres des options DHCP sur le serveur et vrifiez que vous avez slectionn les options appropries pour vos clients. Dans la plupart des cas, les options indiques dans la section Configuration d'options supplmentaires de la leon 2 de ce chapitre sont les seules dont vous avez besoin pour les clients DHCP s'excutant sur des ordinateurs Windows.

Les serveurs DHCP ne fournissent pas d'adresses IP


Si les clients DHCP peuvent accder au rseau mais sont incapables d'obtenir des adresses IP auprs d'un serveur DHCP, il y a plusieurs causes possibles. L'une de ces causes potentielles est la modification de l'adresse IP du serveur DHCP. Un serveur DHCP ne peut honorer que les demandes dune tendue disposant d'un ID) de rseau identique l'ID de rseau de son adresse IP. Vrifiez que l'adresse IP du serveur DHCP se trouve dans la mme plage rseau que l'tendue qu'il sert. Par exemple, un serveur avec une adresse IP dans le rseau 192.168.0.0 ne peut pas attribuer des adresses dans l'tendue 10.0.0.0, sauf si des super-tendues sont utilises. Une autre cause possible de ce problme est que les clients DHCP sont situs sur un rseau local diffrent de celui du serveur DHCP et qu'ils doivent traverser un routeur pour obtenir des adresses IP. Un serveur DHCP ne peut fournir des adresses IP aux postes clients d'autres rseaux locaux que si un agent de relais DHCP est disponible. L'excution des tapes suivantes devrait rgler ce problme: 1. Configurez un agent de relais DHCP/BOOTP sur le rseau local o se trouvent les clients. L'agent de relais peut se trouver sur le routeur lui-mme ou sur un ordinateur Windows 2003 Server qui excute le service Agent relais DHCP. 2. Sur le serveur DHCP, configurez une tendue associe l'adresse rseau situe du ct du routeur oppos o sont situs les clients qui posent problme. 3. Dans l'tendue, vrifiez que le masque de sous-rseau est correct pour le sous-rseau distance. 4. N'incluez pas cette tendue (celle du sous-rseau distance) dans des tendues globales configures pour tre utilises dans le mme sous-rseau local ou segment que celui o se trouve le serveur DHCP. Une autre possibilit est que plusieurs serveurs DHCP coexistent sur le mme rseau local. Vrifiez que vous n'avez pas configur plusieurs serveurs DHCP sur le mme rseau local avec des tendues qui se chevauchent. Il se peut que vous souhaitiez carter l'ventualit que l'un des serveurs DHCP en question soit un ordinateur SBS (Small Business Server). Par dfinition, le service Serveur DHCP, lorsqu'il s'excute sur un SBS, s'arrte automatiquement lorsqu'il dtecte un autre serveur DHCP sur le rseau local.

Rsolution des problmes des serveurs DHCP


Quand un serveur DHCP ne parvient pas fournir des baux ses clients, les clients s'en rendent compte de l'une des trois faons suivantes: 1. Le client peut tre configur pour utiliser une adresse IP non fournie par le serveur, 2. Le serveur renvoie une rponse ngative au client, qui affiche un message d'erreur indiquant que le serveur DHCP est introuvable. 19

Administration dun Serveur Informatique

Chapitre I : DHCP

3. Le serveur loue une adresse au client, mais celui-ci rencontre d'autres problmes de configuration rseau, comme l'incapacit inscrire ou rsoudre des noms DNS ou NetBIOS, ou dtecter des ordinateurs au-del de son rseau local. La premire tche de dpannage consiste vrifier que le service DHCP s'excute bien. Vous pouvez le vrifier en ouvrant la console DHCP et en essayant d'accder au serveur, ou en ouvrant la console Gestion de l'ordinateur et en regardant la liste des services prsents sous Services et applications. Si le service Serveur DHCP n'est pas dmarr, vous pouvez essayer de le dmarrer manuellement l'aide du bouton Dmarrer le service de la barre d'outils de la console. Cependant, assurez vous de prendre en compte le type de dmarrage du service. Si le type de dmarrage est rgl sur Manuel, il est tout fait possible que l'ordinateur serveur ait t redmarr et que personne n'ait dmarr le service Serveur DHCP. Si le type de dmarrage est automatique et que le service ne s'excute pas, il doit y avoir une raison. Soit le service n'a pas russi s'excuter au dmarrage de l'ordinateur, soit quelqu'un l'a arrt manuellement, soit il s'est interrompu de lui-mme. Vrifiez les journaux de l'Observateur des vnements pour dterminer si le serveur a chou dmarrer ou s'il s'est arrt cause d'un autre problme, par exemple un manque de mmoire.

Le service Agent Relais DHCP est install, mais ne fonctionne pas


Le service Agent Relais DHCP n'est pas conu pour s'excuter sur le mme ordinateur que le service Serveur DHCP. Comme ces deux services coutent les messages BOOTP et DHCP et y rpondent sur les ports UDP 67 et 68, ils ne peuvent pas fonctionner correctement s'ils sont tous deux installs sur le mme ordinateur. Pour rsoudre ce problme, installez le service Serveur DHCP et le service Agent Relais DHCP sur des ordinateurs spars.

La console DHCP annonce des expirations de bail inexactes


Quand la console DHCP affiche l'heure d'expiration du bail des clients rservs d'une tendue, il l'indique de l'une des manires suivantes: Si la dure de bail de l'tendue est infinie, le bail du client rserv s'affiche lui aussi comme infini. Si la dure de bail de l'tendue est finie (huit jours, par exemple), le bail du client rserv utilise cette mme dure. Le terme du bail d'un client DHCP rserv est dtermin par le bail attribu la rservation. Pour crer des clients rservs ayant des dures de bail illimites, crez une tendue avec une dure de bail illimite et ajoutez des rservations celle tendue.

Le serveur DHCP utilise des diffusions pour rpondre tous les messages clients
Le serveur DHCP utilise des transmissions par diffusion pour rpondre tous les messages de demande de configuration clients, que le client DHCP ait ou non dfini l'indicateur de bit de diffusion. Les clients DHCP peuvent dfinir l'indicateur de diffusion (le premier bit du champ sur 16 bits de l'en-tte de message DHCP) en envoyant des messages DHCPDISCOVER pour indiquer au serveur DHCP qu'il devrait adresser ses messages DHCPOFFER l'adresse de diffusion limite (255.255.255.255). Par dfaut, le serveur DHCP de Microsoft Windows NT Server 3.51 et des versions antrieures ignorait l'indicateur de diffusion des messages DHCPDISCOVER et envoyait toutes les rponses DHCPOFFER sous la forme de diffusions. Ce comportement est implment sur le serveur pour viter les problmes qui peuvent rsulter de l'incapacit des clients recevoir ou traiter une rponse en monodiffusion sans une configuration TCP/IP complte. Depuis Microsoft Windows NT Server 4, le service DHCP essaie toujours de transmettre toutes les rponses DHCP l'adresse de diffusion limite, moins que la prise en charge des rponses en monodiffusion soit explicitement active en dfinissant la valeur de l'entre de registre IgnoreBroadcastFlag 1. Cette entre de registre se trouve l'adresse 20

Administration dun Serveur Informatique

Chapitre I : DHCP

HKEY_LOCAL_MACHINE\System\CurrentControISet\Services\DHCPServer\Parameters\Igno reBroadcastFlag. Lorsqu'elle est dfinie l, l'ordinateur ignore l'indicateur de diffusion des demandes client et diffuse toutes les rponses DHCPOFFER. Quand l'entre de registre est dfinie 0, le serveur diffuse ou non ses messages en fonction de la valeur de l'indicateur de bit de diffusion dans la demande DHCPDISCOVER du client. Si cet indicateur est dfini dans la demande, le serveur transmet ses rponses l'adresse de diffusion locale limite. Si cet indicateur n'est pas dfini dans la demande, le serveur transmet ses rponses directement au client, en monodiffusion.

Le serveur DHCP n'met pas de baux d'adresse pour une nouvelle tendue
Il existe des situations dans lesquelles vous pourriez vouloir attribuer de nouvelles adresses IP tous les clients DHCP d'un rseau particulier. Par exemple, vous avez obtenu une classe enregistre d'adresses IP pour votre rseau, ou vous modifiez la classe d'adresses pour accueillir plus d'ordinateurs, ou plus de rseaux. Pour cela, vous crez une nouvelle tendue sur votre serveur DHCP contenant un intervalle de nouvelles adresses. Dans cette situation, vous souhaitez que les clients obtiennent des baux dans la nouvelle tendue au lieu d'utiliser l'ancienne tendue pour obtenir ou renouveler leurs baux. Une fois que tous les clients auront obtenu des baux dans la nouvelle tendue, vous avez l'intention de supprimer l'tendue existante. Cependant, quand vous activez la nouvelle tendue, vous vous apercevez que les clients DHCP n'obtiennent pas de baux partir de la nouvelle tendue. Quand les super-tendues ne sont pas disponibles ou ne sont pas utilises, une seule tendue DHCP simple peut tre active la fois sur le rseau. S'il existe plusieurs tendues dfinies et actives sur le serveur DHCP, le serveur n'en utilise qu'une seule pour fournir des baux aux clients. L'tendue active que le serveur DHCP utilise est dtermine par l'identificateur de rseau de la premire adresse IP attribue l'adaptateur rseau du serveur DHCP. Le serveur DHCP utilise toujours l'tendue ayant le mme identificateur de rseau que sa propre adresse IP. Vous pouvez configurer des adresses IP supplmentaires pour une interface rseau avec l'onglet Paramtres IP, de la bote de dialogue Paramtres TCP/IP avancs, mais ces adresses n'ont aucun effet sur la slection de l'tendue par le serveur DHCP. Vous pouvez rsoudre ce problme de l'une des manires suivantes : Configurer le serveur DHCP pour utiliser une super-tendue qui runit l'ancienne tendue et. la nouvelle. Modifiez l'adresse IP principale, attribue dans la bote de dialogue Proprits de Protocole Internet (TCP/IP), de l'adaptateur rseau du serveur DHCP et donnez-lui une adresse IP qui a le mme identificateur de rseau que la nouvelle tendue. Si ncessaire, vous pouvez conserver l'adresse antrieure, qui a t attribue comme adresse IP active de l'ordinateur serveur, en la dplaant dans la liste des adresses IP de l'onglet Paramtres TCPIIP avancs.

Surveillance des performances d'un serveur


Comme les serveurs DHCP sont d'une importance critique dans la plupart des environnements, la surveillance de leurs performances peut aider au dpannage de situations dans lesquelles il y a une dgradation des performances. Pour Windows 2003 Server, le service Serveur DHCP intgre une srie de compteurs de performances que vous pouvez utiliser pour surveiller divers types d'activits du serveur. Ces compteurs sont disponibles dans l'application Moniteur systme, aprs l'installation du service DHCP. Les compteurs du serveur DHCP peuvent surveiller les paramtres suivants: Tous les types de messages DHCP transmis et reus par le service DHCP, Le temps moyen pass par Je serveur DHCP pour traiter un paquet de messages transmis ou reu, Le nombre de paquets de messages abandonns cause d'un retard interne sur l'ordinateur serveur DHCP.

21

Administration dun Serveur Informatique

Chapitre I : DHCP

Rsum de la leon
La plupart des problmes DHCP se manifestent par d'chec de clients DHCP obtenir leur adresse IP et d'autres paramtres de configuration TCP/IP auprs du serveur DHCP. Un client DHCP ayant une adresse IP du type l68.254.x.x a chou contacter le serveur DHCP et a reu la place une adresse attribue par la fonctionnalit d'adressage IP priv automatique de Windows 2003. Un serveur DHCP ne peut honorer que les demandes d'une tendue disposant d'un ID rseau identique l'ID rseau de son adresse IP. Le service Serveur DHCP de Microsoft rpond toujours aux messages DHCPDISCOVER par des transmissions en diffusion, moins que vous ne modifiez son comportement par dfaut en ditant le Registre de Windows 2003. Un serveur DHCP configur avec plusieurs tendues utilise l'identificateur de rseau de sa propre adresse IP pour dterminer quelle tendue utiliser pour servir les clients.

22

Administration dun Serveur Informatique

Chapitre II : WINS

CHAPITRE II : Service WINS de rsolution de noms

Leon 1 : Prsentation du service WINS de rsolution de noms .......................................................... 24 Leon 2 : Utilisation de WINS .............................................................................................................. 30

propos de ce chapitre
Pendant le processus d'installation de Microsoft Windows, vous indiquez un nom permettant d'identifier votre ordinateur sur le rseau. Le programme d'installation de Windows s'y rfre comme nom de l'ordinateur, mais il s'agit en ralit d'un nom NetBIOS (Pour utiliser des noms NetBIOS sur un rseau TCP/IP, il doit exister lin mcanisme qui rsolve les noms en adresses IP, ces dernires tant ncessaires la communication TCP/IP). Ce chapitre traite des diffrents types de mcanismes de rsolution des noms NetBIOS fournis par les systmes d'exploitation Windows, ainsi que la manire de les utiliser sur votre rseau.

23

Administration dun Serveur Informatique

Chapitre II : WINS

Leon 1 : Prsentation du service WINS de rsolution de noms


La rsolution de noms est l'un des principes de base des communications TCP/IP. Tous les messages TCP/IP transmis sur un rseau utilisent des adresses IP pour identifier les postes qui les gnrent et ceux auxquels ils sont destins. Bien que les adresses IP soient aisment gres par les ordinateurs, ces derniers peuvent difficilement les mmoriser. C'est la raison pour laquelle des systmes de noms ont t dvelopps ces dernires annes pour crer des identifiants conviviaux pour les utilisateurs et les autres composants du rseau. Le systme de noms utilis par Windows repose sur NetBIOS. Cette leon prsente les diffrentes mthodes utilisables par un ordinateur Windows pour rsoudre les noms NetBIOS en adresses IP. la fin de cette leon, vous pourrez Dcrire les mcanismes de rsolution de noms NetBIOS inclus dans les systmes d'exploitation Windows, Crer un fichier LMHOSTS, Lister les types de nuds NetBIOS sur TCP/IP. Lorsque Microsoft a inclus pour la premire fois des fonctionnalits rseau dans ses systmes d'exploitation, comme Microsoft Windows for Workgroups et Microsoft Windows NT 3.1, l'espace de noms NetBIOS a t adopt pour donner aux ordinateurs des noms conviviaux. Un nom NetBIOS peut compter jusqu' seize caractres, le seizime tant rserv par Windows pour un code identifiant le type de priphrique auquel1e nom est affect. U reste donc quinze caractres pour le nom NetBIOS, que vous affectez lors de l'installation du systme d'exploitation. Ces versions de Windows utilisaient des noms NetBIOS en combinaison avec le protocole NetBEUI (NetBIOS Enhanced User Interfaces) pour apporter des services rseau local de base. Ces dernires annes, quand Microsoft a adopt TCP/IP comme protocole rseau par dfaut pour Windows, NetBEUI n'tait plus ncessaire (bien qu'il reste disponible en option), mais les noms NetBIOS ont perdur. Microsoft a mis en uvre des standards pour dfinir l'utilisation de NetBT (NetBIOS Over TCPI/P). Ce systme fait appel un mcanisme qui traduit les noms NetBIOS en adresses IP, elles-mmes ncessaires aux communications TCP/IP. Au fil des annes, Windows a propos plusieurs mcanismes de rsolution de noms NetBIOS, qui restent disponibles dans Windows 2003 : le cache de noms NetBIOS, les diffusions en rseau, les fichiers LMHOSTS, le service WINS (Windows Internet Name Service), le service Active Directory, Les premires versions de Windows NT reposent sur des diffusions en rseau et des fichiers LMHOSTS. Mais, dans les versions postrieures, jusqu' Microsoft Windows NT 4, WINS est gnralement le mcanisme de rsolution de noms NetBIOS retenu pour tous les rseaux, sauf ceux de petite taille et informels. Cependant, Windows 2003 reprsente une avance majeure dans le domaine des mcanismes de rsolution de noms, Le service Active Directory, inclus dans Windows 2003, se fonde sur le systme DNS (Domain Name System) pour grer les tches d'enregistrement et de rsolution de noms, rendant ainsi WINS et les autres mcanismes dsuets dans un rseau fonctionnant entirement sous Windows 2003. Cela dit, les ordinateurs Windows 2003 conservent encore des quivalents NetBIOS des noms DNS, et Windows 2003 Server inclut toujours un serveur WINS qui prend en charge les ordinateurs du rseau excutant des versions antrieures de Windows. Si votre rseau comporte des ordinateurs fonctionnant sous Windows NT, Windows 98 ou Windows 95, vous devez continuer leur fournir des 24

Administration dun Serveur Informatique

Chapitre II : WINS

moyens d'enregistrement et de rsolution de leurs noms NetBIOS, de sorte qu'ils puissent fonctionner en harmonie avec les ordinateurs Windows 2003. Les sections suivantes dcrivent les diffrents mcanismes de rsolution de noms NetBIOS pouvant tre utiliss par des ordinateurs excutant des systmes d'exploitation antrieurs Windows 2003.

Prsentation du cache de noms NetBIOS


Quel que soit le mcanisme de rsolution de noms qu'ils utilisent, les ordinateurs Windows conservent toujours un cache constitu des noms NetBIOS qu'ils ont rcemment rsolus et des adresses IP correspondantes, Lorsque l'ordinateur rencontre un nom NetBIOS devant tre rsolu, il vrifie toujours le cache de noms NetBIOS avant d'utiliser un autre mcanisme de rsolution de noms. Comme le cache est stock en mmoire, il s'agit de loin de la mthode la plus rapide qui soit disponible, d'autant qu'elle ne gnre aucun trafic sur le rseau. Bien entendu, conserver le cache en mmoire implique qu'il est vide quand le systme redmarre, et les entres du cache expirent aprs un dlai relativement court, mme sans redmarrage, pour viter que le systme n'utilise des informations primes. Pour visualiser le contenu du cache de noms NetBIOS, utilisez l'utilitaire Nbtstat.exe avec le paramtre -c pour obtenir un affichage comme celui-ci :

Remarque Il est galement possible de prcharger des entres dans le cache de noms NetBIOS en utilisant le tag #PRE dans un fichier LMHOSTS, comme cela est indiqu plus loin dans cette leon. Les entres prcharges n'expirent pas, mais doivent tre recharges chaque redmarrage du systme.

Prsentation de la rsolution de noms par diffusion


Lorsque les serveurs WINS ne sont pas disponibles, les ordinateurs quips de systmes d'exploitation antrieurs Windows 2003 utilisent des messages de diffusion pour rsoudre des noms NetBIOS en adresses IP. Cette mthode s'avre simple et relativement efficace. Quand l'ordinateur rencontre le nom NetBIOS d'un autre ordinateur sur le rseau, il gnre une srie de messages NAME QUERY REQUEST et les diffuse tous les autres ordinateurs du rseau local. L'ordinateur utilisant le nom NetBIOS indiqu dans le message de requte doit rpondre en transmettant en retour l'expditeur un message POSITIVE NAME QUERY RESPONSE contenant son adresse IP. L'expditeur peut alors utiliser l'adresse IP pour envoyer des messages diffusion unique l'ordinateur de destination. Il existe deux principaux problmes lis la mthode de diffusion de la rsolution de noms. En premier lieu, les diffusions se rvlent utiles uniquement pour attribuer les noms d'ordinateurs sur le rseau local. Les transmissions par diffusion sont limites par les frontires du rseau local (LAN) 25

Administration dun Serveur Informatique

Chapitre II : WINS

d'o elles proviennent, ce qui fait que les ordinateurs sous Windows ne peuvent pas utiliser cette mthode pour rsoudre les noms d'ordinateurs d'autres rseaux locaux, mme s'ils sont relis au moyen de routeurs. Avant que l'utilisation de WINS ne devienne courante, les administrateurs rseau utilisaient des diffusions combines avec un fichier LMHOSTS, ce dernier tant ddi la rsolution de noms NetBIOS uniquement sur des rseaux locaux diffrents. Le second problme vient du fait que cette mthode peut gnrer un nombre excessif de diffusions sur le rseau, obligeant les adaptateurs rseau de tous les ordinateurs du rseau accepter, examiner et mettre de ct un grand nombre de messages destins d'autres ordinateurs. La solution ce problme est d'installer un serveur WINS qui utilise uniquement des transmissions en mono-diffusion.

Utilisation des fichiers LMHOSTS


l'apparition des protocoles TCP/IP, lorsque les dveloppeurs de protocoles ont admis la ncessit de confrer des noms conviviaux chaque ordinateur (appels noms d'htes dans la terminologie TCP/TP), ils ont d'abord utilis un simple tableau de consultation appel fichier HOSTS pour la rsolution de noms. Un fichier HOSTS est simplement un fichier texte contenant une liste de noms d'htes et les adresses IP correspondantes. Quand des ordinateurs TCP/IP rencontrent un nom d'hte dans une application, ils parcourent les fichiers HOSTS et identifient les adresses IP associes au nom. Un fichier LMHOSTS fonctionne selon le mme concept de base, mais pour des noms NetBIOS. Les avantages de LMHOSTS pour la rsolution de noms par diffusion sont d'abord la rapidit, car il ncessite seulement un lecteur de disque et aucune communication rseau, mais aussi la possibilit de rsoudre le nom NetBIOS d'un ordinateur situ n'importe o sur un inter-rseau. Sur des rseaux utilisant la diffusion comme mcanisme principal de rsolution des noms NetBIOS, vous pouvez utiliser un fichier LMHOSTS pour rsoudre les noms de serveurs situs sur des rseaux locaux diffrents. Cependant, malgr ces avantages, les fichiers LMHOSTS, de la mme faon que les fichiers HOSTS avant eux, prsentent deux dfauts majeurs. Le premier est qu'il faut tenir le fichier LMHOST jour manuellement quand le rseau volue. Le deuxime est que chaque ordinateur doit possder sa propre copie du fichier. Pour ces raisons, le fichier LMHOSTS reste la mthode de rsolution de noms NetBIOS la moins plbiscite parmi toutes celles incluses dans Windows. Un fichier LMHOSTS se compose d'entres contenant des noms NetBIOS et leurs adresses IP, comme l'illustrent les exemples suivants:

Vous pouvez galement crer diffrents types d'entres, avec des mots cls qui excutent des fonctions spciales, comme ceux prsents dans le tableau II.1. Mot cl \0xnn Description Assure la prise en charge des caractres non imprims dans les noms NetBIOS. Incluez le nom NetBIOS dans des doubles guillemets et utilisez la notation \Oxnn pour indiquer une valeur hexadcimale pour le caractre. Cela active les applications personnalises qui utilisent des noms spciaux pour fonctionner correctement dans des topologies routes. Remarque que la notation hexadcimale ne peut s'appliquer qu' un caractre du nom. Le nom doit tre complt avec des formulaires. de sorte que le caractre spcial soit le dernier de la chane de caractres (le caractre 16). Utilis pour grouper des instructions #INCLUDE multiples. N'importe quelle instruction #INCLUDE russie entrane la russite du groupe. Utilis pour marquer la fin d'un groupement d'instructions #INCLUDE. 26

#BEGIN_ALTERNATE

#END_ALTERNATE

Administration dun Serveur Informatique


#DOM:<domaine>

Chapitre II : WINS

#INCLUDE <nom de fichier>

#MH

#PRE

#SG

Partie de l'entre de mappage nom de l'ordinateur-vers-adresse-IP, qui indique que l'adresse IP appartient un contrleur du domaine <domaine>. Ce mot cl influe sur la faon dont les services de navigateur et d'ouverture de session se comportent dans un environnement TCP/IP rout. Pour prcharger une entre #DOM. vous devez d'abord ajouter le mot cl #PRE la ligne. Les groupes #DOM sont limits 25 membres. Oblige le systme rechercher le <nom de fichier> indiqu et l'analyser comme s'il tait en local. La spcification d'un <nom de fichier> respectant la convention de dnomination universelle (UNC) vous permet d'utiliser un fichier LMHOSTS centralis sur un serveur. Si le serveur sur lequel se situe le <nom de fichier> indiqu est situ sur un autre rseau local, vous devez ajouter une entre prcharges pour le serveur (en utilisant le mot cl #PRE) avant lentre de la section #INCLUDE. Partie de l'entre de mappage nom de l'ordinateur-vers-adresse-IP qui dfinit l'entre comme un nom unique pouvant comporter plus d'une adresse. Le nombre maximal d'adresses pouvant tre affectes un nom unique s'lve 25. Le nombre d'entres est gal au nombre d'adaptateurs d'interface rseau d'un ordinateur multi-hberg. Partie de l'entre de mappage nom de l'ordinateur-vers-adresse-IP qui provoque le prchargement de cette entre dans le cache de nom (par dfaut, les entres ne sont pas prcharges dans le cache de nom, mais sont analyses seulement une fois que WINS et les requtes de noms par diffusion ont chou dans la rsolution d'un nom.) Le mot cl #PRE doit tre ajout dans le cas d'entres qui s'affichent galement dans des instructions #INCLUDE, faute de quoi l'entre de cette instruction risque d'tre ignore. Partie de l'entre de mappage nom de l'ordinateur-vers-adresse-IP, qui associe cette entre avec un groupe utilisateur spcial dfini par <nom> Le mot cl #SG dfinit des groupes Internet en utilisant un nom NetBIOS dot de la valeur Ox20 dans son seizime octet. Un groupe spcial est limit 25 membres.
Tableau II. 1:Les mots cls LMHOSTS et leurs fonctions

Voici Quelques exemples dentres LMHOSTS utilisant ces mots cls :

Prsentation du service WINS


WlNS est un serveur de noms NetBIOS qui s'excute sous la forme d'un service sur des serveurs Windows 2000/2003 et Windows NT. Il permet aux clients rseau de rsoudre des noms NetBIOS en adresses IP par l'envoi d'un simple message en mono-diffusion vers un serveur WlNS, plutt que de 27

Administration dun Serveur Informatique

Chapitre II : WINS

diffuser des messages au rseau tout entier. Pour plus d'informations sur WlNS, reportez-vous la leon 2 de ce chapitre.

Enregistrement de noms
L'enregistrement de noms est le processus qui rend la rsolution de noms possible. Tous les mcanismes de rsolution de noms NetBIOS inclus dans les systmes d'exploitation Windows sont en mesure d'tablir les noms NetBIOS des ordinateurs du rseau et de les associer des adresses IP spcifiques. Dans le cas d'un fichier LMHOSTS, le processus d'enregistrement de noms a lieu quand l'utilisateur ou l'administrateur crent manuellement les entres dans le fichier. Sur un rseau qui utilise des diffusions pour la rsolution de noms, le processus d'enregistrement de noms a lieu quand chaque ordinateur du rseau dmarre, transmet et diffuse une srie de messages NAME REGISTRATION REQUEST . L'ordinateur est programm pour annoncer son nom et vrifier qu'aucun autre ordinateur ne porte le mme. S'il existe un double de ce nom, l'ordinateur qui l'utilise envoie un message NEGATIVE NAME REGISTRATION RESPONSE en retour l'expditeur, et l'utilisateur est oblig de slectionner un autre nom NetBIOS. Si l'ordinateur ne reoit aucune rponse, il s'attribue le nom. Le processus d'enregistrement de noms WINS s'effectue galement pendant le dmarrage du systme, comme le dcrit la leon 2 de ce chapitre. Voici quelque' exemples d'entres LMHOSTS utilisant ces mots cls:

Types de nuds Windows


L'enregistrement de noms NetBIOS et les mcanismes d'attribution utiliss par un ordinateur excutant une version antrieure au systme d'exploitation Windows 2000 sont dtermins par le type de nud du systme. Les standards NetBT dfinissent trois types de nuds, qui sont : B-nud. Utilise seulement des diffusions pour l'enregistrement et la rsolution de noms. P-nud. Utilise seulement des serveurs de noms NetBIOS pour l'enregistrement et la rsolution de noms. M-nud. Utilise seulement des diffusions pour l'enregistrement de noms. Pour la rsolution de noms, il utilise d'abord les diffusions, puis bascule vers un serveur de noms NetBIOS si la mthode par diffusion choue. Ces types de nuds constituent des exemples abstraits des comportements d'enregistrement et de rsolution de noms d'un client rseau gnrique, mais ils ne s'adaptent pas correctement la mise en uvre de Windows NetBT. Les ordinateurs B-nud et P-nud utilisent un seul mcanisme de rsolution de noms NetBIOS et, si ce mcanisme choue, le nom n'est pas rsolu et le client ne peut pas communiquer avec l'ordinateur nomm. Le type B-nud ne rsout pas les noms des ordinateurs appartenant d'autres rseaux, et le type de P-nud n'offre aucune alternative si le serveur de noms NetBIOS choue. Le type de M-nud utilise le serveur de noms NetBIOS comme solution de remplacement la mthode par diffusion, mais cela se rvle insuffisant quand le serveur de noms NetBIOS (comme WINS) peut remplacer compltement les diffusions. En consquence, Microsoft a dvelopp diffrents autres types de nuds, qui sont les suivants: B-nud modifi. Utilise uniquement des diffusions pour l'enregistrement de noms. Pour la rsolution de noms, il utilise d'abord les diffusions, puis bascule vers un fichier LMHOSTS si la mthode par diffusion choue. C'est le type de nud par dfaut d'un ordinateur Windows qui n'est pas client WINS. L'utilisation de LMHOSTS comme solution de remplacement permet de rsoudre les noms des ordinateurs sur d'autres rseaux quand les diffusions chouent dans cette tche. H-nud. Utilise uniquement un serveur de noms NetBIOS pour l'enregistrement de noms. Pour la rsolution de noms, il utilise d'abord les serveurs de noms NetBIOS puis, s'ils chouent ou sont indisponibles, il bascule vers une mthode par diffusion. L'ordinateur 28

Administration dun Serveur Informatique

Chapitre II : WINS

revient ensuite vers les serveurs de noms NetBIOS ds qu'ils sont disponibles. C'est le type de nud par dfaut d'un ordinateur Windows paramtr pour utiliser WINS. H-nud amlior par Microsoft. Il s'agit d'une variation du type H-nud, qui ajoute le fichier LMHOSTS, les requtes DNS et les fichiers HOSTS comme alternatives aux serveurs de noms NetBIOS et aux diffusions dfinies dans le type de nud H. Les ordinateurs Windows NT et Windows 2000/2003 peuvent utiliser l'ensemble de ces mthodes de rsolution de noms.

Rsum de la leon
Les ordinateurs sous Windows utilisent des noms NetBIOS pour s'identifier sur le rseau. Pour utiliser des noms NetBIOS sur un rseau TCP/IP, il doit exister un mcanisme de rsolution de noms NetBIOS en adresses IP. Les versions de Windows antrieures Windows 2003 peuvent utiliser diffrents mcanismes de rsolution de noms, parmi lesquelles les diffusions, les fichiers LMHOSTS et le service WINS. Les ordinateurs sous Windows 2003 utilisent le service Active Directory et le systme DNS pour la rsolution de noms. Windows 2003 Server inclut un serveur WINS uniquement ddi la prise en charge des clients excutant des versions de Windows antrieures Windows 2003.

29

Administration dun Serveur Informatique

Chapitre II : WINS

Leon 2 : Utilisation de WINS


Cette leon prsente le but et les fonctions de WINS et de l'enregistrement de noms. Elle couvre galement la configuration serveur et client de WINS, la prise en charge des clients dpourvus de WINS, et dcrit comment utiliser le composant logiciel enfichable DHCP pour configurer WINS sur un poste client DHCP.

la fin de cette leon, vous pourrez Expliquer le but et les fonctions de WINS, dont l'enregistrement de noms, la rsolution de noms, le renouvellement de noms et la libration de noms; Installer WINS sur un serveur Windows 2003 ; Crer des mappages statiques; Apprhender le fonctionnement d'un agent proxy WINS.

Introduction WINS
Dans un environnement de rseau composite, certains clients, comme ceux excutant Windows 98 ou Windows NT 4, utilisent des noms NetBIOS pour communiquer. Par consquent, un rseau Windows 2003 excutant TCP/IP et comportant des clients de ce type impose la rsolution des noms NetBIOS en adresses IP. WINS est un serveur de noms NetBIOS amlior, qui enregistre les noms NetBIOS des ordinateurs et les rsout en adresses IP, elles-mmes ncessaires la communication TCP/IP. WINS fournit galement une base de donnes dynamique qui conserve les mappages des noms des ordinateurs vers leurs adresses IP.

Le processus de rsolution de noms de WINS


Le processus de rsolution de noms de WlNS permet aux clients WINS de rcuprer les adresses IP associes aux noms NetBIOS de faon beaucoup plus efficace que n'importe lequel des autres mcanismes de rsolution de noms fournis par Windows. Lorsqu'un client WINS lance une commande NetBIOS pour communiquer avec une autre ressource rseau, il active d'abord son cache de noms NetBIOS pour vrifier qu'il existe une entre pour le nom en question. Si le client ne peul pas rsoudre le nom avec son cache, il transmet un message NAME QUERY REQUEST son serveur WINS principal. Toutes les communications WINS utilisent des paquets de donnes adresses sur le port 137 (service de noms NetBIOS) du protocole UDP (User Datagram Protocol). Le serveur WINS recherche dans sa base de donnes le mappage du nom NetBIOS vers l'adresse IP de la ressource de destination, et renvoie l'adresse IP au client WlNS avec un message POSITIVE NAME QUERY RESPONSE . Un message NEGATIVE NAME QUERY RESPONSE indique que le nom demand n'existe pas dans la base de donnes de WINS. Si le serveur constate un dlai anormal pour la rponse la demande du client, il peut envoyer une srie de messages WAIT FOR ACKNOWLEOGEMENT RESPONSE (WACK) pour viter un time-out du client. Si le client ne reoit aucune rponse du serveur WINS aprs un temps donn, il bascule vers le serveur WINS configur cet effet (s'il en existe un) et transmet une autre srie de messages NAME QUERY REQUEST . S'il ne reoit toujours aucune rponse, ou si l'un ou l'autre serveur transmet un message NEGATIVE NAME QUERY RESPONSE , le client bascule vers un mcanisme alternatif de rsolution de noms NetBIOS, tel que des messages de requte par diffusion, selon la manire induite par son type de nud. Les messages de requte gnrs par des clients WINS sont presque identiques ceux utiliss par la mthode de rsolution de noms par diffusion, except que le client les envoie au serveur comme des diffusions uniques et non multiples. Comme il y a seulement deux ordinateurs impliqus dans la transaction, cela rduit le trafic rseau gnr par le processus de rsolution de noms. De plus, parce que 30

Administration dun Serveur Informatique

Chapitre II : WINS

les transmissions diffusion unique ne sont pas soumises aux limites d'un rseau local, comme le sont les diffusions multiples, un client WlNS peut communiquer avec un serveur WINS situ n'importe o sur l'inter-rseau.

Enregistrement de noms WINS


La configuration de chaque client WINS comprend l'adresse IP d'un serveur WINS principal et, ventuellement, d'un serveur WINS secondaire. Lorsqu'un client dmarre, il enregistre son nom NetBIOS et son adresse IP en envoyant une NAME REGISTRATION REQUEST directement au serveur WINS indiqu. Si le serveur WINS est disponible et qu'aucun autre de ses clients n'a encore enregistr le nom, le serveur WINS renvoie au client un message POSITIVE NAME REGISTRATION RESPONSE . Ce message contient la dure pendant laquelle le client dispose de l'enregistrement de son nom NetBIOS, dite dure de vie (Time To Live, ou TTL). En outre, le serveur WINS stocke la correspondance entre l'adresse IP et le nom NetBIOS du client dans sa base de donnes. Remarque La valeur TIL de WINS n'a aucun rapport avec le champ Time ta Live de l'en-tte IP. L'un des avantages de WINS sur d'autres types de serveurs de noms, tels que DNS, vient du fait qu'un client WINS met automatiquement jour la base de donnes du serveur WINS chaque fois que son adresse IP change. Par exemple, quand vous dplacez un poste client vers un sous-rseau diffrent et que DHCP lui affecte une nouvelle adresse, la base de donnes de WINS est automatiquement mise jour avec les nouvelles informations. Quand un client WINS essaie d'enregistrer un nom qui se trouve dj dans la base de donnes WINS, le serveur WINS excute une procdure de contestation de nom en transmettant une srie de messages NAME QUERY REQUEST au propritaire actuel du nom, en utilisant toutes les adresses IP qui lui sont associes. Si le propritaire actuel du nom rpond au serveur par un message POSITIVE NAME QUERY RESPONSE , alors le serveur envoie un message NEGATIVE NAME REGISTRATION RESPONSE au nouveau demandeur, refusant ainsi l'enregistrement du nom et obligeant le client slectionner un nouveau nom NetBIOS. Si le serveur WINS ne reoit aucune rponse aprs la transmission de trois messages des intervalles de 500 millisecondes, ou si le propritaire du nom enregistr rpond par un message NEGATIVE NAME QUERY RESPONSE , indiquant qu'il n'utilise plus le nom, le serveur limine le nom de sa base de donnes et l'attribue au nouveau client.

Renouvellement de noms WINS


Les serveurs WINS enregistrent tous les noms NetBIOS pour un intervalle indiqu, le TTL, qui est de six jours par dfaut. D'autres ordinateurs peuvent ensuite utiliser le mme nom, si son propritaire prcdent cesse de l'utiliser. Comme les enregistrements de noms NetBIOS par WINS sont temporaires, les clients WINS doivent renouveler leurs noms sous peine d'expiration de leur enregistrement. Chaque fois qu'un poste client WINS redmarre et enregistre son nom avec le serveur WINS, l'intervalle TTL est remis zro, Si le client reste connect au rseau de faon permanente pendant la moiti de l'intervalle TIL (trois jours par dfaut), il commence transmettre des messages de NAME REFRESH REQUEST au serveur WINS. Le serveur rpond alors par une POSITIVE NAME REFRESH RESPONSE qui relance le minuteur TIL, ou par une NEGATIVE NAME REFRESH RESPONSE", qui annule l'enregistrement du nom et oblige le client enregistrer un nom NetBIOS diffrent. Si le client ne reoit aucune rponse du serveur, il ritre sa demande toutes les deux minutes jusqu' ce que la moiti de l'intervalle TTL soit coule, Le client bascule alors vers un serveur WINS secondaire, selon ce qu'indique sa configuration, et transmet les mmes messages NAME REFRESH REQUEST . L encore, si le client ne reoit aucune rponse du serveur, il ritre sa demande toutes les deux minutes jusqu' ce que la moiti de l'intervalle TTL soit coule. Le processus de renouvellement se poursuit de cette faon, en permutant entre les serveurs WINS chaque fois que le client atteint la moiti 31

Administration dun Serveur Informatique

Chapitre II : WINS

de la valeur TTL. Si la priode TTL expire sans que le client ait reu de rponse d'un serveur WINS, le client retourne un enregistrement de nom par diffusion.

Libration de noms WINS


En respectant la squence de fermeture du systme d'un client WINS, l'ordinateur transmet un message NAME RELEASE REQUEST au serveur WINS, indiquant qu'il n'utilise plus son nom NetBIOS enregistr, Cela permet au serveur WINS de raffecter le nom un autre client qui serait susceptible de l'enregistrer. Le serveur rpond cette requte par un message POSITIVE NAME RELEASE RESPONSE , indiquant que le serveur a libr le nom avec succs, ou avec un message NEGATIVE NAME RELEASE RESPONSE , ce qui n'arrive que lorsque l'enregistrement du nom NetBIOS contient une adresse IP diffrente de celle de l'ordinateur envoyant le message.

Installation d'un serveur WINS


WINS est fourni avec le systme d'exploitation Windows 2003 Server, mais il n'est pas install par dfaut. Vous pouvez dcider d'installer WINS en mme temps que le systme d'exploitation, ou de l'installer sparment par la suite l'aide du composant Ajout/Suppression de programmes du Panneau de configuration. Bien qu'un serveur WINS ncessite un ordinateur excutant Windows 2003 Server, le serveur ne doit pas forcment tre un contrleur de domaine. De plus, le serveur doit tre configur avec une adresse IP fixe, un masque de sous-rseau et une passerelle par dfaut. N'utilisez pas DHCP pour configurer les paramtres de configuration TCP/IP d'un serveur WINS. Pour installer un service WINS, procdez de la manire suivante: 1. Sur un ordinateur excutant Windows 2003 Server, ouvrez une session en tant qu'administrateur. 2. Cliquez sur Dmarrer, pointez sur Paramtres et cliquez sur Panneau de configuration. 3. Dans Ajout/Suppression de programmes, double-cliquez sur Ajouter/ Supprimer des composants Windows pour dmarrer l'Assistant Composants de Windows 4. Faites dfiler la liste de composants vers le bas et slectionnez Services de mise en rseau. 5. Cliquez sur Dtails pour afficher la bote de dialogue Services de mise en rseau. 6. Duns lu liste Sous-composants de Services de mise en rseau, slectionnez la case li cocher W1NS, comme sur 7. Cliquez sur OK, puis sur Suivant. Si vous y tes invit, entrez le chemin d'accs complet des fichiers de distribution de Windows 2003, puis cliquez sur Continuer. Les fichiers requis sont copis sur votre disque dur. 8. Cliquez sur Terminer pour fermer l'Assistant Composants de Windows. Remarque : Aprs avoir install le service WINS sur l'ordinateur excutant Windows 2003 Server vous devrez configurer le serveur pour qu'il fonctionne comme un client WINS (voir plus loin dans celte leon), en s'utilisant lui-mme comme serveur WINS.

Quand vous installez WINS sur un ordinateur excutant Windows 2003, le composant logiciel enfichable WINS, est ajout au groupe de programmes Outils d'administration. Le composant logiciel enfichable WINS vous donne l'accs des informations dtailles concernant les serveurs WINS d'un rseau, il vous permet de visualiser le contenu de la base de donnes WINS et d'y rechercher des entres spcifiques, et enfin d'excuter l'ensemble des tches de gestion et de configuration de WINS. Vous pouvez accder au composant logiciel enfichable WINS soit par le biais d'une console de gestion MMC autonome, soit via la console Gestion de l'ordinateur, en cliquant sur Services et applications.

32

Administration dun Serveur Informatique

Chapitre II : WINS

Configuration d'un client WINS sous Windows 2003


Si Windows 2003 n'a pas besoin de WINS pour accder d'autres ressources Windows 2003 du rseau, il le requiert pour accder aux ressources sur des ordinateurs excutant des versions antrieures de Windows. Vous devez galement configurer le serveur WINS pour tre un client WINS. Pour configurer un ordinateur Windows 2003 de faon ce qu'i1 fonctionne comme un client WINS, procdez de la manire suivante: 1. Ouvrez une session en tant qu'administrateur. 2. Cliquez sur Dmarrer, pointez sur Paramtres, puis cliquez sur Connexion rseau et accs distance. 3. Cliquez avec le bouton droit de la souris sur l'icne Connexion au rseau local et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits de Connexion au rseau local. 4. Slectionnez Protocole Internet (TCP/IP) et cliquez sur Proprits pour afficher la bote de dialogue Proprits de Protocole Internet (TCP/IP. 5. Cliquez sur Avanc pour afficher la bote de dialogue Paramtres TCP/IP avancs, puis cliquez sur l'onglet WINS. 6. Cliquez sur Ajouter pour afficher la bote de dialogue Serveur WINS TCP/IP. 7. Saisissez l'adresse IP d'un serveur WINS sur votre rseau dans la zone de texte serveur WINS et cliquez sur Ajouter. 8. Si vous le souhaitez, rptez les tapes 6 et 7 pour ajouter la configuration un serveur WINS secondaire. 9. Cliquez sur OK pour fermer la bote de dialogue Paramtres TCP/IP avancs. 10. Dans la bote de dialogue Proprits de protocole TCP/IP, cliquez sur Oui. 11. Cliquez sur OK pour fermer la bote de dialogue Proprits de Connexion au rseau local.

Prise en charge des clients dpourvus de WINS


Dans un environnement WINS, vous pouvez prendre en charge des clients dpourvus de WINS de deux faons: en utilisant des mappages statiques ou en configurant un agent proxy WINS, comme le dcrivent les sections suivantes.

Utilisation de mappages statiques


Sur un rseau qui comporte des clients dpourvus de WINS, vous pouvez configurer un mappage statique du nom NetBIOS vers une adresse IP pour chaque client dpourvu de WINS. Cela garantit que les clients WINS peuvent rsoudre les noms NetBIOS des ordinateurs non WINS. Remarque Si vous avez des clients DHCP qui ncessitent des mappages statiques, vous devez crer pour eux des adresses IP de rserve sur le serveur DHCP, de faon ce que leurs adresses IP soient toujours les mmes. Pour configurer un mappage statique pour des clients non WINS, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console WINS. 2. largissez l'icne de votre serveur WINS et slectionnez Inscriptions actives. 3. partir du menu Action, slectionnez Nouveau mappage statique pour afficher la bote de dialogue Nouveau mappage statique. 4. Saisissez le nom NetBIOS de l'ordinateur pour lequel vous dsirez crer un mappage dans la zone de texte Nom de l'ordinateur. 5. Slectionnez le type de correspondance que vous dsirez crer dans la liste droulante Type. Les options disponibles sont les suivantes: 33

Administration dun Serveur Informatique

Chapitre II : WINS

Unique. Un nom unique qui identifie une seule adresse IP. Groupe. Un nom qui mappe un groupe. Lorsque vous ajoutez une entre un groupe en utilisant le composant logiciel enfichable WINS, entrez le nom de l'ordinateur et son adresse IP. Les adresses IP des membres d'un groupe ne sont pas stockes dans la base de donnes WINS, et vous pouvez ainsi ajouter autant de membres que vous le voulez. Nom de domaine. Un mappage nom NetBIOS-vers-adresse-IP, avec OxlC comme seizime octet. Un groupe de domaine stocke jusqu' 25 adresses de membres. Pour procder des enregistrements une fois cette limite atteinte, WINS remplace une adresse prsente en doublon ou, s'il n'en existe aucune, efface l'enregistrement le plus ancien. Groupe Internet. Des groupes dfinis que vous utilisez pour regrouper des ressources, par exemple des imprimantes, des fins de rfrencement et de navigation. Un groupe Internet peut stocker jusqu' 25 adresses de membres. Cependant, un membre dynamique ne remplace pas un membre statique que vous ajoutez en utilisant le composant logiciel enfichable WINS ou en important le fichier LMHOSTS. Multi-hbergement. Un nom unique qui peut avoir plus d'une adresse. Utilisez cette option pour des ordinateurs comportant des cartes rseau multiples, Vous pouvez enregistrer jusqu'il 25 adresses muhi-hberges, Pour procder il des enregistrements une fois cette limite atteinte, WINS remplace une adresse prsente en doublon ou, s'il n'en existe aucune, efface l'enregistrement le plus ancien. 6. Dans la zone de texte Adresse IP, saisissez l'adresse IP dont vous dsirez rappel le nom NetBIOS que vous avez slectionn. 7. Cliquez sur 0 K pour crer le mappage statique. Remarque Le composant logiciel enfichable WINS ajoute un mappage statique il la base de donnes WINS quand vous cliquez sur OK. Si vous entrez des informations errones concernant un mappage statique, vous devez le supprimer et en crer un nouveau.

Configuration d'un agent proxy WINS


Un agent proxy WINS tend les capacits de rsolution de nom d'un serveur WINS aux clients dpourvus de WINS, en restant il l'coute d'ventuelles diffusions d'enregistrements de noms et de requtes de rsolution de noms, puis en les transmettant il un serveur WINS. Lorsqu'un client dpourvu de WINS diffuse un message NAME REGISTRATION REQUEST , le proxy WINS le transmet au serveur WINS pour vrifier qu'aucun autre client WINS n'a enregistr ce nom. Le serveur WINS n'enregistre pas le nom NetBIOS, il ne fait que le vrifier. Lorsqu'un proxy WINS dtecte une diffusion NAME QUERY REQUEST , il vrifie son cache de nom NetBIOS et tente d'attribuer un nom. Si le nom ne se trouve pas dans son cache, le proxy WINS envoie la requte de rsolution de nom au serveur WINS. Le serveur WINS rpond alors au proxy WINS avec l'adresse IP du nom NetBIOS demand. Le proxy WINS renvoie celle information au client non WINS. Pour configurer un ordinateur en tant que proxy WINS, ditez le registre d'un poste client WINS en attribuant la valeur 1 l'entre EnableProxy, puis redmarrez l'ordinateur. L'entre EnableProxy est place dans le registre sous la cl : HKEY_LOCAL_MACHINE\S YSTEM\CurrentControlSet\Services\NetBT\Parameters.

34

Administration dun Serveur Informatique

Chapitre II : WINS

Rsum de la leon
Le service WINS (Windows Internet Name Service) est une application serveur de nom NetBIOS (Network Basic Input/Output System) qui peut fournir des services d'enregistrement et de rsolution de noms NetBIOS pour l'ensemble d'un rseau Windows. WINS reprsente une amlioration par rapport la mthode de rsolution de nom par diffusion, parce qu'il utilise des transmissions diffusion unique, qui rduisent le trafic rseau gnr par le processus de rsolution de nom. Windows 2003 n'utilise plus WINS pour rsoudre les noms d'autres ordinateurs Windows 2003, mais il est toujours inclus avec Windows 2003 Server pour prendre en charge des clients excutant des versions antrieures de Windows. Les mappages statiques permettent aux clients WINS de rsoudre les noms NetBIOS d'ordinateurs dpourvus de WINS. Un agent proxy WINS retransmet les messages d'enregistrement de nom par diffusion et de rsolution vers un serveur WINS.

35

Administration dun Serveur Informatique

Chapitre III : DNS

Chapitre III : DNS (Domain Name Server)

Leon 1 : Prsentation de DNS ............................................................................................................. 37 Leon 2 : Cration de zones .................................................................................................................. 46 Leon 3 Gestion des enregistrements de ressources ............................................................................. 52 Leon 4 : Rsolution de problmes lis DNS .................................................................................... 55

propos de ce chapitre
DNS (Domain Name System) est une base de donnes distribue utilise sur les rseaux TCP/IP pour traduire des noms d'ordinateurs (ou noms d'htes) en adresses IP. Pour Microsoft Windows 2003 Server, le service DNS a t soigneusement intgr dans la conception et l'implmentation du service Active Directory. Lors du dploiement conjoint du service Active Directory et de Windows 2003 Server, la rsolution de nom DNS permet de retrouver les contrleurs de domaine Windows 2003. Le service Netlogon utilise la prise en charge par le serveur DNS des enregistrements de ressources de service (SRV) pour inscrire les contrleurs de domaine dans votre espace de noms de domaine DNS. Le service Active Directory peut galement tre utilis pour stocker, intgrer et rpliquer des zones. Ce chapitre vous prsente la rsolution de noms et les zones DNS. Il explore aussi les avantages de l'utilisation des zones intgres au service Active Directory et indique comment installer DNS et configurer les zones en pratique. Enfin, ce chapitre" fournit des informations de dpannage d'une configuration DNS Active Directory.

36

Administration dun Serveur Informatique

Chapitre III : DNS

Leon 1 : Prsentation de DNS


Au chapitre II, Service WINS de rsolution de noms , vous avez appris comment les ordinateurs Windows enregistrent et rsolvent les noms NetBIOS l'aide de diffrents mcanismes. DNS est un autre mcanisme de rsolution de noms que les ordinateurs TCP/IP utilisent pour rsoudre des noms d'hte et de domaine en adresses IP. Cette leon vous prsente DNS et le processus de rsolution de noms, et dcrit la procdure d'installation du service Serveur DNS de Microsoft. la fin de cette leon, vous serez mme de expliquer la fonction de DNS et ses composants, dcrire le processus de rsolution de noms, installer le service DNS.

Introduction DNS
DNS est plus gnralement associ Internet. Cependant, les rseaux privs utilisent largement DNS pour rsoudre des noms d'hte et situer des ordinateurs dans leurs rseaux locaux et sur Internet. La rsolution de noms DNS est diffrente de la rsolution de noms fournie par WINS (Windows Internet Naming Service). WINS rsout les noms NetBIOS en adresses IP utilises sur des rseaux Windows, tandis que DNS rsout en adresses IP les noms d'hte utiliss sur tous les types de rseaux TCP/IP. Les noms d'hte rsolus avec DNS ou d'autres moyens prsentent les avantages suivants: Les noms d'hte sont faciles utiliser et plus faciles mmoriser que des adresses IP. Les noms d'hte sont plus constants que les adresses IP. L'adresse IP d'un serveur peut tre modifie, mais son nom restera le mme. Les noms d'hte permettent aux utilisateurs de se connecter aux serveurs locaux en utilisant la convention de dnomination Internet.

Espace de noms de domaines


L'espace de noms de domaines est le schma de dnomination qui fournit la structure hirarchique de la base de donnes DNS. L'unit structurelle de base de l'espace de noms DNS est le domaine, et chaque domaine comporte un certain nombre d'htes. Les domaines sont associs aux identificateurs de rseau IP, et les htes des adresses IP entires contenant l'identificateur de rseau du domaine o ils se trouvent. La base de donnes DNS est indexe par nom et pas par adresse; chaque domaine doit par consquent avoir un nom. Lorsque vous ajoutez des domaines la hirarchie, le nom du domaine parent est ajout il son domaine enfant (ou sous domaine). Par consquent, le nom d'un domaine identifie sa position dans la hirarchie DNS. Par exemple, sur la figure III.1, le nom de domaine sales.microsoft.com identifie le domaine sales comme un sous-domaine du domaine microsoft, et microsoft comme un sous-domaine du domaine com. Comme l'illustre la figure, la structure hirarchique de l'espace de noms de domaines consiste en un domaine racine, des domaines de niveau suprieur, des domaines de second niveau et des noms d'hte, au minimum. Des niveaux de domaine additionnels sont possibles, tant que les noms restent dans les limites tablies par les standards DNS. Ces lments sont dcrits dans les sections suivantes.

37

Administration dun Serveur Informatique

Chapitre III : DNS

Figure III. 1:La structure hirarchique de l'espace de noms DNS

Remarque : Le terme domaine, dans le contexte de DNS, a une signification diffrente de celle des
services d'annuaire de Microsoft Windows 2000/2003 et Microsoft Windows NT. Un domaine Windows 2003 est un groupement d'ordinateurs et de priphriques Windows administrs comme une unit. Pour DNS, un domaine est un groupe d'htes et de sous-domaines qui reprsentent une division de la base de donnes DNS.

Domaine racine
Le domaine racine se situe au sommet de la hirarchie DNS et est reprsent par un point (.). Bien qu'il soit rarement dsign de cette faon, chaque nom de domaine entirement qualifi (FQDN, Fully Qualified Domain Name) devrait techniquement finir par un point, reprsentant le domaine racine, comme dans l'exemple suivant: sales.microsoft.com.

Domaines de niveau suprieur (TLD : Top Level Domain)


Les domaines de niveau suprieur sont des codes comportant deux, trois ou quatre caractres, qui reprsentent le type de ressource que contient le domaine ou l'emplacement des domaines. Les domaines de niveau suprieur peuvent contenir des domaines de deuxime niveau et (plus rarement) des noms d'hte. Les sept domaines de niveau suprieur d'origine et les ressources qu'ils reprsentent sont les suivants: com Organisations commerciales edu Institutions ducatives d'Amrique du Nord accordant un diplme sanctionnant quatre annes d'tudes suprieures gov Institutions gouvernementales des tats-Unis Organisations tablies par des traits internationaux int mil Applications militaires des tats-Unis Organisations de rseau net org Organisations but non lucratif En plus de cela, la plupart des pays du monde sont reprsents par des noms de domaine de niveau suprieur deux lettres, comme fr pour la France et de pour l'Allemagne (Deutschland). Il existe aussi de nouveaux domaines de niveau suprieur, comme biz et info, qui sont en cours d'introduction. Ces nouveaux domaines de niveau suprieur sont des tentatives d'aborder le problme d'puisement des noms dans le domaine de niveau suprieur com, qui est de loin le plus populaire. 38

Administration dun Serveur Informatique

Chapitre III : DNS

Domaines de second niveau


Les organismes d'enregistrement des noms Internet enregistrent des noms de domaine de deuxime niveau destination d'individus ou d'organismes qui souhaitent les utiliser sur Internet. L'tablissement d'un domaine de niveau suprieur est un processus compliqu requrant l'accord de nombreux intervenants, mais il existe des millions de domaines de deuxime niveau, que tout le monde peut inscrire moyennant une contribution annuelle rduite. Un domaine de second niveau peut contenir des htes comme des sous-domaines. Par exemple, le domaine microsoft.com peut contenir des ordinateurs comme ftp.microsoft.com et des sous domaines comme sales.microsoft.com. Le sous-domaine sales.microsoft.com peut contenir des htes comme printerserverl.sales.microsoft.com. La structure administrative de l'espace de noms DNS est semblable celle du systme d'adressage IP. Une fois que vous obtenez une adresse de rseau IP, vous tes libre de crer des adresses d'hte sur ce rseau. De la mme manire, une fois que vous enregistrer un nom de domaine de deuxime niveau auprs de l'un des organismes Internet, vous tes libre de crer dans ce domaine autant de sousdomaines et d'htes que vous le souhaitez.

Noms d'hte :
Les noms d'hte se rfrent aux ordinateurs spcifiques ou d'autres priphriques TCP/IP sur Internet ou sur un rseau priv. Par exemple, sur la figure III.1, Ordinateurl est un nom d'hte. Le nom d'hte est la partie situe l'extrme gauche d'un FQDN, qui dcrit la position exacte d'un hte dans la hirarchie de domaine. Sur la figure, Ordinateurl.sales.microsoft.com. (Y compris le point final, qui reprsente le domaine racine) est un FQDN. DNS utilise le FQDN, ou nom de domaine entirement qualifi, pour rsoudre un nom en adresse IP.

Remarque : Le nom d'hte DNS attribu un ordinateur Windows ne doit pas tre le mme que son
nom d'ordinateur NetBIOS (bien que cela semble plus simple). Par dfaut, Windows 2003 utilise le nom NetBIOS de l'ordinateur comme nom d'hte et remplace les caractres non valides, comme le soulign (_ ), par un trait d'union (-).

Directives de dnomination de domaine


Quand vous crez des sous domaines et des htes dans votre propre domaine de second niveau, tenez compte de ces directives et conventions de dnomination standard des domaines : Limitez le nombre de niveaux de domaine. Globalement, les entres d'htes DNS doivent se situer trois ou quatre niveaux vers le bas dans la hirarchie DNS, et surtout pas plus de cinq. mesure que le nombre de niveaux augmente, les tches administratives se multiplient. Utilisez des noms uniques. Chaque sous domaine doit porter un nom unique dans son domaine parent, afin de garantir l'unicit du nom dans l'espace de noms DNS. Utilisez des noms simples. Des noms de domaine simples et prcis sont plus faciles mmoriser pour les utilisateurs. Ils leur permettent en outre de rechercher et de retrouver intuitivement des sites web ou d'autres ordinateurs sur Internet ou sur un intranet. vitez les noms de domaine longs. Les noms de domaine peuvent comporter jusqu' 63 caractres, les points inclus. La longueur totale d'un FQDN ne peut pas dpasser 255 caractres. Les noms DNS ne sont pas sensibles la casse. Utilisez des caractres DNS standard. Windows 2003 prend en charge les caractres DNS standards suivants: A Z, a z, 0 9 et le trait d'union (-).

39

Administration dun Serveur Informatique

Chapitre III : DNS

Zones
Une zone reprsente une partie discrte de l'espace de noms pour un domaine particulier. Les zones reprsentent une faon de partitionner l'espace de noms du domaine en sections grables. Vous pouvez crer plusieurs zones dans l'espace de noms d'un domaine pour distribuer des tches administratives diffrents utilisateurs ou groupes. Par exemple, la figure III.2 dcrit l'espace de noms du domaine microsoft.com divis en deux zones. Les deux zones permettent un administrateur de grer les domaines microsoft.com et sales.microsoft.com, et un autre administrateur de grer le domaine development.microsoft.com. Une zone doit englober une rgion contigu de l'espace de noms d'un domaine. Par exemple, comme le montre la figure III.2, vous pouvez crer une zone pour sales.microsoft.com et le domaine parent microsoft.com, parce que ces zones sont contigus. Cependant, vous ne pouvez pas crer une zone qui contiendrait la fois le domaine sales.microsoft.com et le domaine development.microsoft.com, parce qu'ils ne sont pas contigus.

Figure III. 2 : Division en zones de l'espace de noms

Les mappages nom-vers-adresse-IP d'une zone sont stocks dans le fichier base de donnes de la zone. Chaque zone est ancre un domaine spcifique, mentionn comme le domaine racine de la zone. Le fichier base de donnes de la zone ne contient pas ncessairement d'information pour tous les sousdomaines du domaine racine de la zone, mais seulement pour ceux de la zone. Sur la figure III.2, le domaine racine de la zone 1 est microsoft.com, et son fichier de zone contient les mappages nom-vers-adresse-IP pour les domaines microsoft.com et sales.microsoft.com. Le domaine racine de la zone 2 est developement.microsoft.com, et son fichier de zone contient les mappages nom-vers-adresse-IP du domaine development.microsoft.com seulement. Le fichier de zone de la zone 1 ne contient pas les mappages nom-vers-adresse-IP du domaine development.microsoft.com, bien que development soit un sous-domaine du domaine microsoft.com.

Serveurs de noms
Un serveur de noms DNS stocke le fichier base de donnes de la zone. Les serveurs de noms peuvent stocker des donnes pour une zone ou pour plusieurs. Un serveur de noms a autorit pour l'espace de noms de domaines que la zone englobe. Il doit y avoir au moins un serveur de noms pour une zone. Cependant, une zone peut tre associe plusieurs serveurs de noms. L'un de ces serveurs contient le fichier base de donnes de zone matre, qui est aussi appel le fichier base de donnes de zone principal, pour cette zone. Lorsque vous apportez des modifications une zone, par exemple des ajouts de sous-domaines ou d'htes, vous modifiez le fichier base de donnes de zone principal. Les autres serveurs de noms associs la zone agissent comme des copies de sauvegarde du serveur de noms contenant le fichier de base de donnes de zone principal. Ces serveurs de nom contiennent un fichier de base de donnes de zone secondaire. Disposer de plusieurs serveurs de noms procure plusieurs avantages: 40

Administration dun Serveur Informatique

Chapitre III : DNS

Excution de transferts de zone. Les serveurs de noms supplmentaires obtiennent une copie du fichier base de donnes de zone du serveur de noms, qui contient le fichier de zone de base de donnes principal. Cela s'appelle un transfert de zone. Ces serveurs de noms demandent priodiquement les mises jour des donnes de zone au serveur de noms contenant le fichier base de donnes de zone principal. Redondance. Si le serveur de noms contenant le fichier de base de donnes de zone principal est victime d'une panne, les serveurs de noms supplmentaires peuvent fournir au rseau le service de rsolution de noms. Amlioration de la vitesse des accs pour les emplacements distants. Si un certain nombre de clients se situent distance, vous pouvez utiliser des serveurs de noms supplmentaires pour rduire le trafic de requte qui passe par les liaisons WAN lentes. Rduction de la charge. Les serveurs de noms supplmentaires rduisent la charge du serveur de noms contenant le fichier de base de donnes de zone principal. Windows 2003 prend galement en charge le stockage de zone intgr l'annuaire en utilisant la base de donnes Active Directory pour stocker l'information de zone. Les zones ainsi stockes sont situes dans l'arborescence Active Directory, sous le conteneur d'objet domaine. Chaque zone intgre l'annuaire est stocke dans un objet conteneur de zone DNS, identifi par le nom attribu la zone au moment de sa cration.

Vue d'ensemble du processus de rsolution de noms


La rsolution de noms est le processus de conversion des noms d'hte ou des noms de domaine en adresses IP. Rsoudre un nom revient rechercher un numro dans un annuaire tlphonique, o chaque nom est associ un numro de tlphone. Par exemple, quand vous vous connectez au site web de Microsoft, vous utilisez le nom www.microsoft.com, qui reprsente un ordinateur particulier (www) dans un domaine de second niveau (microsoft.com). Avant d'envoyer un quelconque message au serveur www.microsoft.com, votre navigateur web utilise DNS pour rsoudre le nom www.microsoft.com et identifier l'adresse IP qui lui est associe. Les mappages de noms en adresses IP sont stocks dans une base de donnes DNS distribue, La base de donnes DNS est dite distribue parce que son information est stocke dans des zones places sur des serveurs de noms DNS partout sur Internet. Le mappage d'adresse pour www.microsoft.com provient du serveur DNS qui a autorit pour le domaine microsoft.com. Les serveurs de noms DNS rsolvent les requtes de recherche directes et inverses. Une requte de recherche directe rsout un nom en adresse IP. Une requte de recherche inverse rsout une adresse IP en nom. Un serveur de noms ne peut rsoudre les requtes que pour les noms d'une zone pour laquelle il a autorit. Si un serveur de noms ne peut pas rsoudre la requte, il la passe d'autres serveurs de noms qui peuvent la rsoudre. Le premier serveur de noms met alors les rsultats de la requte en cache pour rduire le trafic DNS du rseau.

Requte de recherche directe


Le service DNS utilise un modle client-serveur de rsolution de noms. Pour rsoudre une requte de recherche directe, un client envoie une requte au serveur de noms local. Soit le serveur de noms local rsout la requte lui-mme, soit il transmet sa propre requte un autre serveur de noms. Le processus de recherche directe d'un nom d'hte se produit de la manire illustre sur la figure III.3 :

41

Administration dun Serveur Informatique

Chapitre III : DNS

Figure III. 3 : Rsolution d'une requte de recherche directe

1. Le client DNS (appel rsolveur) envoie une requte de recherche directe pour www.microsoft.com son serveur de noms local, dont l'adresse est indique dans sa configuration TCP/IP. 2. Le serveur de noms local contrle son fichier base de donnes de zone peur dterminer s'il contient le mappage nom-vers-adresse-IP correspondant la requte du client. Comme le serveur de noms local n'a pas autorit pour le domaine microsoft.com, il passe la requte l'un des serveurs DNS racine et lui demande la rsolution du nom d'hte. Le serveur de noms racine renvoie une rponse aux serveurs de noms de rfrence du domaine de niveau suprieur com. 3. Le serveur de noms local envoie une requte un serveur de noms com, qui rpond par une rfrence aux serveurs de noms de rfrence pour le domaine microsoft.com. 4. Le serveur de noms local envoie une requte au serveur de microsoft.com, Comme le serveur de noms Microsoft a autorit pour cette partie de l'espace de noms de domaines, il renvoie l'adresse IP de www.microsoft.com au serveur de noms local. 5. Le serveur de noms local renvoie l'adresse IP de www.microsoft.com au client. 6. La rsolution de nom est termine, et le client peut dsormais accder www.microsoft.com au moyen de son adresse IP. Remarque Dans de nombreux cas, la procdure de recherche directe est considrablement rduite, soit par l'utilisation d'Informations DNS mises en cache (comme le dcrit la section suivante), soit par la combinaison des rles des serveurs de noms. Par exemple, les serveurs de noms racine de DNS sont aussi les serveurs de rfrence pour com et plusieurs autres domaines de niveau suprieur. Cela signifie que la requte initiale envoye au serveur de noms racine aboutit une rponse simple contenant l'adresse du serveur de noms microsoft.com, plutt que de ncessiter deux changes spars.

Mise en cache du serveur de noms


Quand un serveur de noms traite une requte, il peut tre amen envoyer plusieurs requtes pour trouver la rponse. chaque requte, le serveur de noms dcouvre d'autres serveurs de noms qui ont autorit pour une partie de l'espace de noms de domaines. Le serveur de noms met alors les rsultats de la requte en cache pour rduire le trafic rseau. 42

Administration dun Serveur Informatique

Chapitre III : DNS

Quand un serveur de noms reoit le rsultat d'une requte, il le met en cache pour un certain temps, appel dure de vie (TTL). La zone qui fournit les rsultats de la requte indique la longueur de l'intervalle TTL. Sur le serveur DNS de Microsoft, vous configurez le TTL l'aide de la console DNS. La valeur par dfaut de TTL est de 60 minutes. La mise en cache du rsultat de la requte dclenche le compte rebours du champ TTL. Lorsque le TTL expire. Le serveur de noms supprime de son cache le rsultat de la requte. La mise en cache des rsultats de requtes permet un serveur de noms de rsoudre rapidement d'autres requtes dans la mme partie de l'espace de noms de domaines. Remarque L'utilisation de valeurs TTL infrieures contribue garantir la mise jour des donnes de l'espace de noms de domaines sur le rseau. Bien que des valeurs TTL faibles augmentent la charge des serveurs de noms, alors que des valeurs TTL leves la diminuent, le client ne reoit pas d'information jour avant J'expiration du champ TTL et avant qu'une nouvelle requte soit rsolue dans la mme partie de l'espace de noms de domaines.

Requte de recherche inverse


Une requte de recherche inverse rsout une adresse IP en nom. Les outils de dpannage. Comme l'utilitaire en ligne de commande Nslookup, utilisent des requtes de recherche inverses pour renvoyer des noms d'hte. De plus, certaines applications implmentent la scurit en se basant sur la capacit se connecter aux noms, pas aux adresses IP. Comme la base de donnes DNS distribue est indexe par nom et pas par adresse IP, une requte de recherche inverse excute avec la structure de domaine standard requerrait une recherche complte sur chaque nom de domaine. Pour rsoudre ce problme, un domaine spcial, appel in-addr.arpa, a t cr. Le domaine in-addr.arpa suit le mme schma de dnomination hirarchique que le reste de l'espace de noms de domaines, mais il est bas sur les adresses IP, et pas sur des noms de domaine, et il utilise les directives suivantes: Les sous-domaines sont nomms d'aprs les nombres dans la reprsentation dcimale pointe des adresses IP. L'ordre des octets des adresses IP est invers, parce que le sommet de la hirarchie de domaines s'affiche sur la droite d'un nom d'hte, tandis que le sommet de la hirarchie des adresses IP se situe gauche. Les socits administrent les sous-domaines du domaine in-addr.arpa en fonction des adresses IP et du masque de sous-rseau qui leur ont t attribus. Par exemple, une socit qui a t attribu l'intervalle des adresses IP compris entre 169.254.III.0 et 169.254.III.255 et le masque de sous-rseau 255.255.255.0 a autorit sur le domaine in-addr.arpa l6.254.l69., comme le montre la figure III.4 :

Figure III. 4 : Le domaine in-addr.arpa

43

Administration dun Serveur Informatique

Chapitre III : DNS

Installation du service DNS


Microsoft Windows 2003 Server inclut un service Serveur DNS qui peut interagir avec d'autres serveurs DNS sur votre rseau priv ou sur Internet, quel que soit le systme d'exploitation ou le serveur DNS que ces serveurs utilisent. Vous installez le Serveur DNS de Microsoft de l'une des trois manires suivantes: en le slectionnant pendant l'installation du systme d'exploitation, en J'installant manuellement avec l'outil Ajout/Suppression de programmes du Panneau de configuration, ou en permettant l'Assistant Installation d'Active Directory de l'installer et de le configurer pour vous. Pour utiliser Active Directory, vous devez disposer sur votre rseau d'un serveur DNS qui prend en charge un enregistrement de ressource SRV spcial (comme cela est dcrit dans la leon 3 de ce chapitre). Le service Active Directory repose sur l'espace de noms DNS, de la mme manire que les versions prcdentes de Windows reposaient sur l'espace de noms NetBIOS. Comme avec DHCP et WINS, vous devez configurer l'ordinateur excutant le Serveur DNS de Microsoft avec une adresse IP statique, et non avec une adresse IP attribue par un serveur DHCP. De plus, vous devez configurer les proprits TCP/IP du serveur pour que les paramtres DNS pointent en arrire sur le serveur. Autrement dit, le serveur DNS doit s'utiliser comme son propre serveur DNS. Pour installer le serveur DNS de Microsoft, procdez de la manire suivante: 1. Sur un ordinateur excutant Windows 2003 Server, ouvrez une session en tant qu'administrateur. 2. Cliquez sur Dmarrer, pointez sur Paramtres et cliquez sur Panneau de configuration. 3. Double-cliquez sur L'icne Ajout/Suppression de programmes, puis cliquez sur Ajouter/Supprimer des composants Windows pour afficher la page Composants Windows de l'Assistant Composants de Windows. 4. Dans la liste Composants, slectionnez Services de mise en rseau. 5. Cliquez sur Dtails pour afficher la bote de dialogue Services de mise en rseau. 6. Dans la liste Sous-composants de Services mise en rseau, slectionnez la case cocher Systme de nom de domaine (DNS). 7. Cliquez sur OK, puis cliquez sur Suivant. Si vous y tes invit, entrez le chemin d'accs complet des fichiers de distribution de Windows 2003, puis cliquez sur Continuer. Les fichiers requis sont copis sur votre disque dur. 8. Cliquez sur Terminer pour fermer l'Assistant Composants de Windows. Le processus d'installation de DNS procde aux oprations suivantes: Installation de la console DNS et ajout d'un raccourci au groupe de programmes Outils d'administration du menu Dmarrer. La console DNS vous permet de grer des serveurs de noms DNS locaux et distants. Ajout de la cl suivante, correspondant au service Serveur DNS, dans le registre de Windows 2003 : HKEY _LOCAL_MACHINE\System\CurrentControlSet\Services\DNS Cration du dossier \systemrootlSystem32\DNS (C:\WinntlSystem32\DNS, par dfaut), qui contient les fichiers base de donnes DNS. Gnralement, vous ne devez pas modifier les fichiers base de donnes DNS. Cependant, vous pouvez avoir besoin de les utiliser pour dpanner DNS. Le service DNS fournit un ensemble de fichiers dexemples ajouts au dossier \systemroot\System32\DNS\Samples aprs linstallation du service DNS.

44

Administration dun Serveur Informatique

Chapitre III : DNS

Rsum de la leon
La rsolution de noms DNS est le processus de conversion des noms d'hte ou des noms de domaine en adresses IP. L'espace de noms DNS consiste en plusieurs niveaux de domaine, chacun pouvant contenir des sous-domaines et des htes. Un serveur de noms DNS contient une ou plusieurs zones, dont chacune est un segment de J'espace de noms DNS consistant en un ou plusieurs domaines. Les serveurs de DNS peuvent excuter deux types de rsolution de nom: des requtes de recherche directe, qui sont des rsolutions de noms en adresses IP, et des requtes de recherche inverses, qui sont des rsolutions d'adresses IP en noms. Vous pouvez installer manuellement le serveur DNS de Microsoft avec le Panneau de configuration de Windows, ou automatiquement, soit en mme temps que le systme d'exploitation, soit l'aide du service Active Directory.

45

Administration dun Serveur Informatique

Chapitre III : DNS

Leon 2 : Cration de zones


Vous pouvez diviser l'espace de noms DNS en zones, ce qui permet de stocker les informations de noms concernant un ou plusieurs domaines DNS. La zone devient la source de rfrence de l'information sur chaque nom de domaine DNS qu'elle contient. Cette leon vous prsente les zones DNS et comment les crer et les configurer avec le serveur DNS de Microsoft. la fin de cette leon, vous pourrez : Identifier les types de zone, Enumrer les bnfices lis aux zones intgres Active Directory, Crer des zones, Expliquer la dlgation de zones, Configurer DDNS (Dynamic Domain Name System, systme de nom de domaine dynamique) pour une zone.

Planification de zones
Quand vous installez un serveur DNS pour servir un domaine, vous devez toujours crer au moins une zone. Vous pouvez crer une seule zone, qui contient la zone entire de l'espace DNS pour lequel vous tes l'autorit, ou choisir de diviser votre domaine en crant plusieurs sous-domaines et en les plaant dans diffrentes zones. Vous pouvez vouloir diviser votre domaine en zones pour les raisons suivantes: Dlgation administrative. Quand vous crez plusieurs zones, vous pouvez accorder l'autorisation de les grer plusieurs utilisateurs, partageant ainsi les tches d'administration de DNS. Amlioration des performances. La cration de plusieurs zones et leur stockage sur diffrents serveurs DNS peut rduire la charge du trafic de rsolution de noms sur vos ordinateurs ou vos rseaux locaux. Tolrance de panne. Diviser votre domaine en zones stockes sur des serveurs diffrents permet DNS de continuer servir des clients, mme quand un serveur tombe en panne. Extension de l'espace de noms. La cration de sous-domaines dans diffrentes zones est une manire simple de grer, sur le plan administratif, l'ouverture d'une nouvelle succursale ou d'un nouveau site.

Cration d'une zone


Pour crer une zone avec le serveur DNS de Microsoft, vous utilisez le composant logiciel enfichable 1 NS, accessible dan la console DNS, que vous ouvrez soit partir du groupe de programmes Outils d'administration de Windows 2003. Soit il partir de la console Gestion de l'ordinateur, sous l'icne Services et applications. Vous pouvez utiliser la console DNS pour grer l'ensemble des serveurs DNS de votre rseau. Pour excuter la console DNS sur un ordinateur Windows 2003 qui n'excute pas le service Serveur DNS, vous pouvez installer le package Adminpack.msi partir du dossier \1386 du CDROM d'installation de Windows 2003 Server. Pour crer une zone, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console DNS. 2. Dveloppez le serveur DNS. 3. Cliquez avec le bouton droit de la souris sur le dossier Zones de recherche directes et, dans le menu contextuel, slectionnez Nouvelle zone pour lancer l'Assistant Nouvelle zone. Les zones de recherche directes contiennent des mappages nom-vers-adresse-IP, et les zones de recherche inverses contiennent des mappages adresse-IP-vers-nom. Vous devez crer chaque type de 46

Administration dun Serveur Informatique

Chapitre III : DNS

zone sparment si vous souhaitez que des clients puissent excuter des recherches directes et inverses. Plus tard, quand vous crez des enregistrements de ressources dans la zone de recherche directe, la console DNS vous permet de crer en mme temps des enregistrements de recherche inverss, pourvu que vous ayez dj cr la zone de recherche inverse approprie. Remarque Quand vous installez le service Active Directory avec l'Assistant Installation d'Active Directory et que vous lui permettez d'installer et de configurer votre serveur DNS, il cre automatiquement une zone de recherche directe base sur le nom DNS que vous avez indiqu pour le serveur. 4. Cliquez sur Suivant pour contourner la page d'accueil de l'assistant et afficher la page Type de zone. 5. Indiquez le type de zone que vous dsirez crer en slectionnant l'option approprie. Cliquez ensuite sur Suivant pour passer la page Nom de la zone. Les types de zones disponibles sont les suivants: Intgre Active Directory. Une zone intgre Active Directory est la copie principale d'une nouvelle zone. La zone utilise la base de donnes Active Directory pour stocker et rpliquer les fichiers de zone. Zone principale standard. Une zone principale standard est la copie principale d'une nouvelle zone stocke dans un fichier texte standard. Vous administrez et maintenez une zone principale sur l'ordinateur o vous avez cr la zone. ZONE secondaire standard Une zone secondaire standard est une rplique dune zone existante. Les zones secondaires standards sont en lecture seule et sont stockes dans des fichiers texte standards. Vous devez crer une zone principale avant de pouvoir crer une zone secondaire. Lorsque vous crez une zone secondaire, vous indiquez le serveur DNS, appel serveur matre, qui transfrera l'information de zone au serveur de noms contenant la zone secondaire standard. Vous crez une zone secondaire des fins de tolrance de panne et pour rduire la charge du trafic sur le serveur de noms contenant le fichier base de donnes principal de la zone. 6. Dans la zone de texte Nom, saisissez le nom que vous voulez attribuer la zone. Cliquez ensuite sur Suivant pour passer la page Fichier zone. D'ordinaire, une zone est nomme d'aprs le domaine le plus lev de la hirarchie gre par la zone: c'est--dire d'aprs le domaine racine de la zone. Par exemple, pour une zone qui englobe les domaines microsoft.com et sales.microsoft.com, le nom de zone serait microsoft.com. Remarque Si vous avez choisi de crer une zone intgre Active Directory, le processus de configuration vous amne directement la page Fin de l'Assistant Nouvelle zone. Dans ce cas, continuez en allant directement l'tape 9. 7. Si vous avez choisi de crer une zone principale standard, vous devez indiquer le nom du fichier texte dans lequel vous dsirez stocker la base de donnes de zone. Par dfaut, J'Assistant Nouvelle zone propose de crer un fichier nomm comme la zone, avec une extension .DNS. Quand vous migrez une zone partir d'un autre serveur, vous pouvez importer le fichier de zone existant. Pour utiliser un fichier base de donnes DNS existant au lieu d'en crer un nouveau, slectionnez Utiliser un fichier existant et saisissez dans la zone de texte le nom du fichier que vous voulez utiliser. Le fichier dont vous saisissez le nom doit dj figurer dans le dossier \systemroot\System32\DNS (C:\Winnt\ System32\DNS, par dfaut). Cette page ne s'affiche pas si vous avez choisi de crer une zone secondaire standard ni une zone intgre Active Directory parce que, dans ce cas, l'information DNS est stocke dans la base de donnes Active Directory et qu'aucune information n'est ncessaire. Cliquez sur Suivant pour passer la page suivante.

47

Administration dun Serveur Informatique

Chapitre III : DNS

8. Si vous avez choisi de crer une zone secondaire standard, la page Serveurs DNS matres s'affiche. Saisissez dans la zone de texte Adresse IP J'adresse IP du serveur DNS contenant le fichier base de donnes de zone matre pour la zone, ou cliquez sur Parcourir pour slectionner un serveur, et cliquez ensuite sur Ajouter. Vous pouvez rpter ce processus pour ajouter plusieurs serveurs DNS la liste. Cliquez sur Suivant pour continuer. 9. Dans la page Fin de l'Assistant Nouvelle zone, cliquez sur Terminer pour fermer l'assistant et crer la zone avec les paramtres que vous avez fournis. Quand vous crez une zone de recherche inverse, la procdure est en grande partie identique, hormis l'addition d'une page Zone de recherche inverse, o vous indiquez l'identificateur rseau pour la zone de recherche inverse que vous dsirez crer. Quand vous saisissez la partie identificateur de rseau de l'adresse IP, l'assistant inverse automatiquement l'ordre des octets et ajoute le nom de domaine inaddr.arpa, comme dans la zone de texte Nom de la zone de recherche inverse.

Cration de zones intgres Active Directory


Sur les rseaux dployant DNS pour prendre en charge Active Directory, il est fortement conseill d'utiliser des zones principales intgres l'annuaire afin de profiter des avantages suivants: Mise jour de configuration de matres multiples et scurit avance reposant sur les fonctionnalits d'Active Directory. Dans un modle standard de stockage de zone, les mises jour DNS sont effectues d'aprs un modle de mise jour de configuration de matre unique. Dans ce modle, un seul serveur DNS servant de rfrence pour une zone est dfini comme source principale pour celte zone. Ce serveur gre la copie principale de la zone dans un fichier local. Dans ce modle, tout repose sur le seul serveur principal. Si ce serveur n'est pas disponible, les requtes de mise jour formules par les clients DNS ne sont pas traites pour la zone. Dans le stockage intgr l'annuaire, les mises jour dynamiques de DNS sont effectues d'aprs un modle de mise jour de configuration de matres multiples. Dans ce modle, tout serveur DNS servant de rfrence, tel qu'un contrleur de domaine excutant le service Serveur DNS de Windows 2003, est dfini comme source principale pour la zone. Dans la mesure o la copie principale de la zone est gre dans la base de donnes Active Dircctory, qui est entirement rplique sur tous les contrleurs de domaine, la zone peut tre mise jour par les serveurs DNS fonctionnant sur tout contrleur de domaine du domaine. Dans le modle de mise jour de configuration de matres multiples, chacun des serveurs principaux de la zone intgre l'annuaire peut traiter les requtes de mise jour de la zone formules par des clients DNS, aussi longtemps qu'un contrleur de domaine est disponible et accessible sur le rseau. De mme, en utilisant les zones intgres l'annuaire, vous pouvez utiliser les listes de contrle d'accs (les listes ACL) pour fournir un accs granulaire la zone ou un enregistrement de ressource de la zone. Par exemple, vous pouvez utiliser la liste ACL pour un nom de domaine spcifique de la zone, pour indiquer que seuls certains clients DNS peuvent excuter des mises jour dynamiques ou n'autoriser qu'un groupe sr, comme les administrateurs du domaine, disposer des autorisations de mise jour des proprits de zone ou d'enregistrement. Cette fonctionnalit de scurit n'est pas disponible avec les zones principales standards. Les zones sont automatiquement rpliques et synchronises sur les nouveaux contrleurs de domaine ds qu'ils sont ajouts un domaine Active Directory, Bien que vous puissiez supprimer le service Serveur DNS d'un contrleur de domaine, les zones intgres l'annuaire 48

Administration dun Serveur Informatique

Chapitre III : DNS

sont dj stockes sur chaque contrleur de domaine. Le stockage et la gestion des zones ne ncessitent donc aucune ressource supplmentaire. De mme, les mthodes utilises pour synchroniser les informations stockes dans l'annuaire offrent de meilleures performances par rapport aux mthodes standards de mise jour des zones, qui exigent parfois le transfert de la zone entire. Planification et administration simplifies des services DNS et Active Directory. Quand les espaces de noms sont stocks et rpliqus sparment (pur exemple. un pour le stockage el la rplication de DNS el un autre pour le service Active Directory), un niveau de complexit administrative supplmentaire s'ajoute au processus de planification et de conception de votre rseau. En intgrant le stockage de DNS au service Active Directory, vous pouvez unifier la gestion du stockage et de la rplication pour DNS et pour Active Directory en une seule entit administrative. La rplication d'annuaire est plus rapide et plus efficace que la rplication DNS standard. Comme le traitement de la rplication Active Directory est excut sur la base des proprits, seules les modifications appropries sont propages vers les autres contrleurs de domaine. Cela permet aux mises jour des zones stockes dans l'annuaire de se faire en transmettant moins de donnes sur le rseau.

Dlgation de zones
Au dpart, une zone est une base de donnes de stockage pour un seul nom de domaine DNS. Si vous ajoutez des sous-domaines au domaine utilis pour crer la zone, ces sous-domaines peuvent indiffremment faire partie de la mme zone ou d'une autre. Quand vous ajoutez un sous-domaine, vous pouvez le configurer pour qu'il soit gr et intgr comme une partie des enregistrements de zone d'origine, ou pour qu'il soit dlgu une autre zone cre pour prendre en charge le sous-domaine. Par exemple, la figure III.5 dcrit le domaine microsoft.com. Lors de sa cration sur un serveur particulier, le domaine microsoft.com est configur en tant que zone unique pour l'ensemble de l'espace de noms DNS de Microsoft. Si, plus tard, le domaine microsoft.com est dvelopp par l'addition de sous-domaines, ces sous-domaines doivent soit tre intgrs la zone microsoft.com, soit tre dlgus une autre zone. Sur la figure. Le sous-domaine exemple a t ajout au domaine microsoft.com, et la zone excmple.rnicrosoft.com a t cre pour prendre en charge le sous-domaine exemple.microsoft.com.

Figure III. 5 : Dlgation d'un nouveau sous-domaine une nouvelle tendue

Quand vous dlguez des zones l'intrieur d'un espace de noms, vous devez galement crer les enregistrements de ressources SOA (Start Of Authority) pour pointer vers le serveur DNS de rfrence de la nouvelle zone. Cela est ncessaire pour transfrer l'autorit et pour fournir aux autres serveurs et 49

Administration dun Serveur Informatique

Chapitre III : DNS

clients DNS une rfrence correcte sur les nouveaux serveurs de rfrence de la nouvelle zone. L'Assistant Nouvelle dlgation vous assiste dans la procdure de dlgation de zones. Remarque Pour en savoir plus sur la cration de SOA et celle des autres enregistrements de ressources, reportez-vous la leon 3 de ce chapitre. Pour crer une dlgation de zone, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console DNS. 2. Dans l'arborescence de la console DNS, cliquez avec le bouton droit de la souris sur le sousdomaine pour lequel vous souhaitez crer une dlgation de zone et, dans le menu contextuel, slectionnez Nouvelle dlgation pour lancer l'Assistant Nouvelle dlgation. 3. Cliquez sur Suivant pour contourner la page d'accueil de l'Assistant et afficher la page Nom du domaine dlgu. 4. Entrez le nom du sous-domaine que vous dsirez crer. L'assistant affiche automatiquement le FQDN du nom que vous indiquez. 5. Cliquez sur Suivant pour passer la page Serveurs de noms. 6. Cliquez sur Ajouter pour afficher la bote de dialogue Nouvel enregistrement de ressource. 7. Dans la zone de texte Nom du serveur, Saissisiez le nom du serveur qui accueille la zone dlgue et cliquez sur Rsoudre pour obtenir son adresse IP, ou cliquez sur Parcourir pour slectionner un serveur. Cliquez ensuite sur OK pour fermer la bote de dialogue. 8. Cliquez sur Suivant dans la page Serveurs de noms, puis cliquez sur Terminer. Remarque Vous devez crer tous les domaines (ou sous-domaines) qui s'intgrent la dlgation de zone applicable la zone actuelle avant d'excuter la dlgation.

Configuration de DNS dynamique


Le service DNS comporte une facult de mise jour dynamique, appele DNS dynamique (DDNS). Avant que DDNS soit dvelopp, l'enregistrement de noms sur un serveur DNS tait strictement manuel; un administrateur devait mettre jour manuellement le fichier base de donnes de zone sur le serveur de noms principal. Avec DDNS, les serveurs de noms et les clients d'un rseau mettent automatiquement jour les fichiers bases de donnes de zone. Vous pouvez configurer une liste de serveurs autoriss initier les mises jour dynamiques. Cette liste peut comporter des serveurs de noms secondaires, des contrleurs de domaine et d'autres serveurs qui excutent l'enregistrement de rseau pour des clients, comme des serveurs excutant les services DHCP ou WINS. DDNS interagit avec le service Serveur DHCP pour maintenir des mappages nom-vers-adresse-IP synchroniss pour les htes du rseau. Par dfaut, le service Serveur DHCP permet aux clients d'ajouter leurs propres enregistrements de ressource hte (A) la zone, et le service DHCP ajoute la zone l'enregistrement de ressource pointeur (PTR). Le service DHCP nettoie les enregistrements de ressource PTR et A de la zone quand le bail expire. Pour configurer une zone pour DDNS, procdez de la manire suivante: 1. Cliquez sur Dmarrer puis, dans le groupe de programmes Outils d'administration, ouvrez la console DHCP. 2. Cliquez avec le bouton droit de la souris sur la zone de recherche directe ou inverse que vous dsirez configurer et, dans le menu contextuel, slectionnez Proprits. 3. Dans l'onglet Gnral, dans la liste Autoriser les mises jour dynamiques, slectionnez l'une des options suivantes: 50

Administration dun Serveur Informatique

Chapitre III : DNS

Non. N'autorise pas les mises jour dynamiques pour cette zone. Oui. Autorise toutes les demandes de mise jour DDNS pour la zone. Uniquement les mises jour scurises. N'autorise pour cette zone que les mises jour DDNS qui utilisent le DNS scuris. Il s'agit de l'option privilgie. L'option Uniquement les mises jour scurises ne s'affiche que si la zone est intgre au service Active Directory. Si vous slectionnez l'option Uniquement les mises jour scurises, l'autorisation de mise jour des enregistrements de la base de donnes de zone accorde au demandeur est teste l'aide de mcanismes spcifis dans un protocole de mise jour de DNS scuris ultrieur. 4. Cliquez sur OK.

Rsum de la leon
Les serveurs DNS (Domain Naine System) vous permettent de diviser l'espace de noms DNS en zones, ce qui permet de stocker les informations de noms concernant un ou plusieurs domaines DNS. Les serveurs DNS peuvent avoir des zones ces recherches directes pour ses mappages nom-vers-adresse-IP et cls zones de recherches inverses pour des mappages adresse-IPvers-nom. Vous pouvez crer trois types des zones: des zones intgres Active Directory, des zones principales standards et des zones secondaires standards. Le DNS dynamique, DDNS, permet aux ordinateurs du rseau de modifier automatiquement leurs enregistrements de ressource, ce qui permet d'viter aux administrateurs de les modifier manuellement. La dlgation de zones vous permet de vous adapter la cration de nouveaux sousdomaines en les ajoutant des zones diffrentes.

51

Administration dun Serveur Informatique

Chapitre III : DNS

Leon 3 Gestion des enregistrements de ressources

L'information d'un fichier base de donnes de zone DNS est stocke dans des units appeles des enregistrements de ressources. Ces enregistrements de ressources sont des entres du fichier base de donnes de zone, qui associent des noms de domaine DNS aux donnes d'une ressource rseau prcise, comme une adresse IP. Cette leon examine les divers types d'enregistrements de ressources utiliss dans la base de donnes DNS et leur processus de cration avec le serveur DNS de Microsoft.

A la fin de cette leon, vous pourrez Indiquer les enregistrements de ressources DNS les plus utiliss, Afficher le contenu d'un enregistrement de ressource, Crer un enregistrement de ressource.

52

Administration dun Serveur Informatique

Chapitre III : DNS

Prsentation des types d'enregistrements de ressources


Il existe de nombreux types d'enregistrements de ressources diffrents. Lorsque vous crez une zone, DNS ajoute automatiquement deux enregistrements de ressources la zone: l'enregistrement SOA (Start of Authority) et l'enregistrement NS (Name Server). Les fonctions de ces enregistrements de ressources, ainsi que celles des autres types d'enregistrements les plus courants, sont les suivantes: SOA (Start of Authority). Identifie quel serveur de noms est la source d'informations de rfrence pour les donnes de ce domaine. Le premier enregistrement du fichier base de donnes de la zone doit tre un enregistrement SOA. NS (Name Service). Indique les serveurs de noms qui sont attribus un domaine particulier. A (Host). Indique l'hte des mappages nom-vers-adresse-IP pour une zone de recherche directe. CNAME (Alias). Cre un pseudonyme ou un nom additionnel pour le nom d'hte indiqu. Vous pouvez crer un enregistrement de nom canonique (CNAME) pour utiliser plusieurs noms afin de pointer la mme adresse IP. Par exemple, vous pouvez hberger un serveur FTP (comme ftp.microsoft.com) et un serveur web (comme www.microsoft.com) sur le mme ordinateur, en crant un enregistrement A dans le domaine microsoft.com pour le nom d'hte WWW, et un enregistrement CNAME mettant en quivalence le nom d'hte ftp et l'enregistrement A du nom d'hte www. HINFO (Host Information). Identifie l'UC et le systme d'exploitation utilis par l'hte. Vous pouvez utiliser ce type d'enregistrement comme outil de suivi des ressources. MX (Mail Exchanger).Identifie quel serveur de messagerie contacter pour un domaine indiqu, et dans quel ordre utiliser chaque hte de messagerie. PTR (Pointer). Pointe vers une autre partie de l'espace de noms du domaine. Par exemple, dans une zone de recherche inverse, les enregistrements PTR contiennent des mappages adresse-IP-vers-nom. SRV (Service). Identifie les serveurs hbergeant un service particulier. Par exemple, si un client Windows 2003 doit trouver un contrleur de domaine Active Directory pour valider des demandes d'ouverture de session, il peut envoyer une requte au serveur DNS pour obtenir une liste des contrleurs de domaine et de leurs adresses IP.

Affichage des enregistrements de ressources


Pour afficher l'information d'un enregistrement de ressource, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console DNS. 2. Dans l'arborescence de la console DNS, cliquez sur la zone pour laquelle vous dsirez visualiser lin enregistrement de ressource. 3. Dans le volet de dtail, cliquez avec le bouton droit de la souris sur l'enregistrement que vous souhaitez afficher et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 4. Affichez les proprits spcifiques l'enregistrement que vous avez slectionn. La bote de dialogue Proprits de chaque enregistrement de ressource contient un onglet nomm en fonction du type de l'enregistrement, qui contient l'information stocke dans ce type d'enregistrement. Par exemple, la bote de dialogue Proprits d'un enregistrement A contient 53

Administration dun Serveur Informatique

Chapitre III : DNS

seulement l'adresse IP associe au nom d'hte de l'enregistrement. En revanche, la bote de dialogue Proprits d'un enregistrement SOA contient un grand nombre de paramtres de configuration, y compris le TTL pour la zone. 5. Une fois votre consultation de l'enregistrement termine, cliquez sur OK.

Cration d'enregistrement de ressource


Le processus de cration d'un enregistrement de ressources varie selon le type d'enregistrement que vous voulez crer. Les diffrents types d'enregistrements de ressources contiennent diffrents types d'informations; en quantit variable. La cration d'un enregistrement A revient juste fournir un nom d'hte et une adresse IP, tandis que d'autres types d'enregistrements contiennent beaucoup plus de donnes. Les enregistrements SOA, par exemple, contiennent de nombreux paramtres diffrents, mais vous ne devez pas les crer manuellement avec le serveur DNS de Microsoft. Pour crer un nouvel enregistrement de ressource dans la console DNS, cliquez avec le bouton droit de la souris sur la zone dans laquelle vous voulez placer l'enregistrement et slectionnez la commande approprie dans le menu contextuel. Les commandes du menu contextuel varient selon que vous avez slectionn une zone de recherche directe ou une zone de recherche inverse. Quand vous slectionnez Nouveaux enregistrements dans le menu contextuel, la console DNS ouvre la bote de dialogue Type d'enregistrement de ressource, qui contient la liste de tous les enregistrements de ressources que vous pouvez crer. Une fois que vous avez slectionn un type d'enregistrement, la bote de catalogue Nouvel enregistrement de ressource s'affiche, et contient les champs d'informations propres ce type d'enregistrement. Aprs avoir fourni les informations demandes, cliquez sur OK pour crer l'enregistrement, qui s'affiche dans le volet de dtails de la console DNS sous la zone approprie.

Rsum de la leon
Un fichier base de donnes de zone DNS peut contenir de nombreux types diffrents d'enregistrements de ressources, comme les enregistrements A (Host), PTR (Pointer) et CNAME (Alias). L'information stocke dans les enregistrements de ressources varie en fonction de leur type. Les enregistrements A (Host) contiennent des mappages nom-vers-adresse-IP de base que DNS utilise pour rsoudre les noms. Les enregistrements PTR (Pointer) contiennent des mappages adresse-IP-vers-nom utiliss pour les recherches de nom inverses. Les enregistrements MX (Mail Exchanger) et SRV (Service) identifient les serveurs de messagerie lectronique et les contrleurs de domaine d'un rseau de Windows.

54

Administration dun Serveur Informatique

Chapitre III : DNS

Leon 4 : Rsolution de problmes lis DNS


Celte leon dcrit les options de surveillance disponibles pour les serveurs DNS. Elle prsente galement certains des problmes que vous pourriez rencontrer, qui touchent l'utilisation de DNS avec le service Active Directory, ainsi que les solutions qui peuvent tre envisages pour les rsoudre.

la fin de celle leon, vous serez mme de surveiller le serveur DNS, rsoudre les problmes de configuration DNS d'un service Active Directory.

Surveillance de serveurs DNS


Windows 2003 Server comprend trois options pour la surveillance des serveurs DNS: soumission de requtes au serveur, enregistrement par dfaut des messages d'vnements du serveur DNS dans le journal du serveur DNS, options de dbogage facultatives pour l'enregistrement de traces dans un fichier texte sur l'ordinateur serveur DNS.

Interrogation du serveur DNS


Le composant logiciel enfichable D S vous permet de surveiller le service Serveur DNS. Slectionnez Je serveur de noms et, dans le menu Action, slectionnez Proprits. Dans la bote de dialogue Proprits, cliquez sur l'onglet Analyse. Vous pouvez tester un serveur DNS en excutant un des deux types de requte dcrits ci-dessous: Requte simple. Slectionnez ce type de requte pour excuter un test de requte simple du serveur DNS. C'est un test local, qui utilise le client DNS de cet ordinateur pour interroger le serveur de noms. Requte rcursive. Slectionnez ce type de requte pour excuter un test de requte plus complexe, rcursif, du serveur DNS. Cette requte teste le serveur de noms en expdiant une requte rcursive un autre serveur de noms.

Enregistrement des vnements du serveur DNS


Pour Windows 2003 Server, les messages d'vnements du serveur DNS sont spars des vnements gnrs par les autres applications et services dans le journal du serveur DNS, que vous pouvez examiner avec l'Observateur des vnements. Le journal du serveur DNS contient des vnements prdtermins de base enregistrs par le service Serveur DNS. Comme le dmarrage ou l'arrt du serveur DNS. Vous pouvez galement utiliser l'Observateur d'vnements pour afficher et analyser les vnements DNS lis aux clients. Ces vnements s'affichent dans le journal Systme et sont gnrs par le service Client DNS sur tous les ordinateurs excutant Windows 2003.

Options de dbogage
La console DNS vous permet galement de dfinir des options d'enregistrement supplmentaires pour crer un journal de traage temporaire des activits du serveur DNS, des fins de dbogage, sous la forme d'un fichier texte. Pour cela, cliquez avec le bouton droit de la souris sur un serveur DNS dans la console el, dans le menu contextuel, slectionnez Proprits. Dans la bote de dialogue 55

Administration dun Serveur Informatique

Chapitre III : DNS

Proprits, cliquez sur l'onglet Enregistrement. L'information correspondant aux options que vous slectionnez est stocke dans le fichier Dns.log, dans le dossier \systemroot\System32\dns (C:\WinntlSystem32\ dns, par dfaut). Vous pouvez slectionner l'une des options suivantes, ou plusieurs, pour contrler les activits traces. Par le journal: Effectuer une requte. Enregistre les requtes reues par le service Serveur DNS en provenance de clients. Notifier. Enregistre les messages de notification reus par le service Serveur DNS en provenance d'autres serveurs. Mettre jour, Enregistre les mises il jour dynamiques reues par le service Serveur DNS en provenance d'autres ordinateurs. Questions. Enregistre le contenu de la question pour chaque message de requte DNS trait par le service Serveur DNS. Rponses. Enregistre le contenu de la rponse pour chaque message de requte DNS trait par le service Serveur DNS. Envoyer. Enregistre le nombre de messages de requte DNS envoys par le service Serveur DNS. Recevoir. Enregistre le nombre de messages de requte DNS reus par le service Serveur DNS. UDP. Enregistre le nombre de requtes DNS reues par le service Serveur DNS sur un port UDP. TCP. Enregistre le nombre de requtes DNS reues par le service Serveur DNS sur un port Tep. Paquets entiers. Enregistre le nombre de paquets complets crits et envoys par le service Serveur DNS. crire en continu. Enregistre le nombre de paquets crits en continu par le service Serveur DNS et renvoys la zone. Par dfaut, toutes les options d'enregistrement de dbogage sont dsactives. Lorsqu'elles sont actives de manire slective. Le serveur DNS peut enregistrer des informations de suivi supplmentaires pour les types d'vnements ou de messages slectionns, des fi ns de rsolution de problmes et de dbogage du serveur. L'enregistrement des vnements de dbogage peut utiliser intensivement les ressources, ce qui nuit aux performances gnrales du serveur et consomme de l'espace disque. Vous ne devez par consquent l'utiliser que temporairement, lorsque vous avez besoin d'informations plus dtailles sur les performances du serveur.

Scnarios de dpannage de DNS


Le tableau III.1 dcrit quelques-uns des problmes de zone que vous pouvez rencontrer, ainsi que les solutions qui peuvent tre envisages pour les rsoudre. Tableau III.1 Scnarios de dpannage des problmes de zone Symptme: Un transfert de zone choue Cause Solution Le service Serveur DNS est Vrifiez que les serveurs de DNS matre (source) et secondaire arrt ou la zone est suspendue. (destination) impliqus dans le transfert de hl zone sont dmarrs tous les deux et que la zone n'est suspendue sur aucun des serveurs. Les serveurs DNS utiliss liminez la possibilit d'un problme de connectivit rseau de pendant le transfert n'ont pas de base entre les deux serveurs. Avec la commande Ping, testez connectivit rseau l'un avec chaque serveur DNS avec son adresse IP partir de son homologue l'autre. distant. Les deux tests ping doivent russir. Si ce n'est pas le cas, recherchez et rsolvez d'autres problmes de connectivit rseau 56

Administration dun Serveur Informatique intermdiaires. Le numro de srie SOA est identique sur les serveurs de destination et source. Comme la valeur est identique sur les deux serveurs, aucun transfert de zone ne se produit entre eux. Le serveur matre (source) et son serveur secondaire cibl (destination) ont des problmes d'inter-fonctionnement. La zone a des enregistrements de ressources ou d'autres donnes qui ne peuvent pas tre interprtes par le serveur DNS.

Chapitre III : DNS

Avec la console DNS, excutez les tches suivantes: dans l'onglet SOA, augmentez la valeur du numro de srie de la zone sur le serveur matre (source) un nombre suprieur la valeur du serveur secondaire (destination). Amorcez le transfert de zone depuis le serveur secondaire.

Les donnes de la zone de rfrence sont errones.

Recherchez les causes possibles des problmes lis l'inter fonctionnement entre les serveurs DNS de Windows 2003 et d'autres serveurs DNS excutant des implmentations diffrentes, comme une ancienne version de la distribution BIND (Berkeley Internet Name Domain). Vrifiez que la zone ne contient pas de donnes incompatibles, comme des types d'enregistrements de ressources non pris en charge ou des erreurs de donnes. Vrifiez aussi que le serveur n'a pas t configur d'avance pour empcher le chargement d'une zone quand de mauvaises donnes sont identifies, et vrifiez sa mthode de contrle des noms. Ces paramtres peuvent tre configurs avec la console DNS. Si un transfert de zone continue chouer, vrifiez que la zone ne contient pas de donnes non standards. Pour dterminer si de fausses donnes de zone sont la source d'un chec de transfert de zone, regardez dans les messages du journal des vnements du serveur DNS.

Symptme: La dlgation de zone ne fonctionne pas correctement Cause Solution Les dlgations de zone ne sont pas configures tudiez la manire dont les dlgations de zones correctement. sont utilises et apportez-leur les modifications ncessaires.

Le tableau III.2 dcrit quelques-uns des problmes de mise jour dynamiques que vous pouvez rencontrer, ainsi que les solutions qui peuvent tre envisages pour les rsoudre.
Tableau III.2 Scnarios de dpannage des mises jour dynamiques

Symptme: Le client n'effectue pas les mises jour dynamiques Cause Solution Le client (ou le serveur DHCP) ne Vrifiez que vos clients ou vos serveurs prennent en charge le prend pas en charge l'utilisation du protocole de mise jour DDNS avec les options de prise en protocole de mise jour DDNS. charge des mises jour dynamiques fournies par Windows 2003. Pour que des postes clients soient enregistrs et mis jour dynamiquement par un serveur DNS, installez ou mettez niveau Windows 2003 sur les postes clients, ou installez et utilisez un serveur DHCP Windows 2003 sur votre rseau pour louer des adresses aux postes clients. Le client n'a pas t capable Vrifiez que le client est entirement et correctement d'enregistrer et de mettre jour le configur pour DNS, et mettez jour sa configuration si serveur DNS cause d'une ncessaire. Pour mettre jour la configuration DNS d'un 57

Administration dun Serveur Informatique configuration DNS manquante ou incomplte

Chapitre III : DNS

Le client DNS a essay de mettre jour son information avec le serveur DNS, mais a chou cause d'un problme li au serveur.

Le serveur DNS ne prend pas en charge les mises jour dynamiques.

Le serveur DNS prend en charge les mises jour dynamiques, mais n'est pas configur pour les accepter.

La base de donnes de la zone n'est pas disponible.

client, configurez le suffixe DNS principal du client pour des clients TCP/IP statiques, ou configurez un suffixe DNS de connexion spcifique comme connexion rseau installe sur le client. Si un client peut contacter son serveur DNS prfr et secondaire, il est probable que la cause de l' chec de ses mises jour se situe ailleurs. Sur les postes clients Windows 2003, utilisez l'Observateur des vnements et recherchez, dans le journal Systme, des messages d'vnements qui expliquent l'chec de ses tentatives de mise jour dynamique des enregistrements de ressource A (Host) ou P'TR (Pointer). Vrifiez que le serveur DNS utilis par le client peut prendre en charge le protocole de mise jour DDNS. Pour ce qui concerne Windows. seuls les serveurs DNS Windows 2003 prennent en charge les mises jour dynamiques. Le serveur DNS de Microsoft Windows NT Server 4 nassure pas cette prise en charge. Vrifiez que la zone principale, o les clients requirent des mises jour, est configure pour permettre des mises jour dynamiques. Pour les serveurs DNS de Windows 2003, les nouvelles zones principales ne doivent pas accepter par dfaut les mises jour dynamiques. Sur le serveur DNS, qui charge la zone principale applicable, modifiez les proprits de zone pour autoriser les mises jour. Vrifiez que la zone existe. Vrifiez que la zone est disponible pour la mise jour. Dans le cas d'une zone principale standard, vrifiez que le fichier de zone existe sur le serveur et que la zone n'est pas suspendue. Les zones secondaires ne prennent pas en charge les mises jour dynamiques. Pour les zones intgres Active Directory, vrifiez que le serveur DNS s'excute comme contrleur de domaine et qu'il a accs la base de donnes Active Directory o sont stockes les donnes de zone.

58

Administration dun Serveur Informatique

Chapitre III : DNS

Rsum de la leon
L'onglet Analyse de la bote de dialogue Proprits du serveur DNS vous permet d'envoyer des requtes simples et rcursives au serveur. L'Observateur des vnements contient un journal spar pour le serveur DNS sur les ordinateurs Windows 2003 Server sur lesquels le service Serveur DNS est install. L'onglet Enregistrement de la bote de dialogue Proprits du serveur DNS vous permet de slectionner les activits spcifiques contrler dans un fichier journal spar. Les transferts de zone peuvent chouer pour une multitude de raisons, parmi lesquelles des dficiences de rseau et la prsence dans la base de donnes de zone de donnes non prises en charge. L'une des causes les plus courantes d'chec de la mise jour dynamique est l'absence de prise en charge de ce protocole de mise jour dynamique par tous les ordinateurs impliqus.

59

Administration dun Serveur Informatique

Chapitre IV : IIS

Chapitre IV : Service Internet IIS


Leon 1 : Cration de sites Web et de sites FTP ................................................................................... 61 Leon 2 : Cration de rpertoires virtuels ............................................................................................. 70 Leon 3 : Gestion de la scurit de site ................................................................................................. 74 Leon 4 : Rsolution de problmes lis aux Services Internet (IIS) ..................................................... 80

propos de ce chapitre Microsoft Windows 2003 Server inclut une version mise jour des Services Internet (IIS version 6). IIS s'excute sous la forme d'un service d'entreprise l'intrieur de Windows 2003, et emploie d'autres services fournis par Windows 2003, comme les services de scurit et Active Directory. Il amliore la fiabilit, la performance, la gestion, la scurit et les services d'application du serveur Web. La plupart de ces amliorations rsultent de la manire dont il enrichit le systme d'exploitation Windows 2003 de nouvelles fonctionnalits. Ce chapitre explique comment installer, configurer et dpanner IIS.

60

Administration dun Serveur Informatique

Chapitre IV : IIS

Leon 1 : Cration de sites Web et de sites FTP


Windows 2003 Server installe par dfaut une configuration IIS de base en mme temps que le systme d'exploitation. Vous pouvez modifier cette configuration en slectionnant ou dslectionnant le composant Services Internet lors de " installation de Windows 2003, ou en utilisant l'outil Ajout/Suppression de programmes du Panneau de configuration une fois l'installation termine, Cette leon prsente les procdures d'installation et d'ajout de composants IIS, ainsi que les procdures de cration de nouveaux sites Web et FTP (File Transfer Protocol). la fin de cette leon, vous pourrez Installer des composants IIS Crer des sites Web et des sites FTP Configurer les proprits des sites.

Installation des Services Internet


Il est un composant part entire du systme d'exploitation Windows 2003 Server. Quand vous procdez une installation complte de Windows 2003 Server, IIS est install par dfaut avec les composants suivams : fichiers communs, documentation, extensions serveur de Microsoft FrontPage 2003, composant logiciel enfichable Services Internet (IIS), Gestionnaire des services Internet (HTML), service SMTP, serveur World Wide Web. Lorsque vous procdez une mise niveau depuis Microsoft Windows 2000, Windows NT, Microsoft Windows 98 ou Microsoft Windows 95 vers Windows 2003, le programme d'installation tente de dtecter une version prcdente de IIS ou du Serveur Web Personnel. Si le programme dtecte "un de ces services, il installe IIS. Vous ne pouvez pas empcher une mise niveau vers IIS 6 si une version prcdente est dtecte. Cependant, IIS n'est pas install si aucun de ces services n'est dtect. Pendant l'installation de IIS, qu'il s'agisse d'une mise jour ou d'une installation complte, le programme vrifie que la suite des protocoles TCP/IP est installe. Si la suite TCP/IP n'est pas trouve, le programme l'installe automatiquement et la configure pour obtenir une adresse IP et d'autres paramtres de configuration l'aide de DHCP. Pour installer IIS sur un ordinateur excutant Windows 2003 Server, sur lequel IIS n'a pas t slectionn pendant l'installation du systme d'exploitation, ou pour installer des composants additionnels sur un serveur IIS existant, procdez de la manire suivante: 1. Sur un ordinateur excutant Windows 2003 Server, ouvrez une session en tant qu'Administrateur. 2. Cliquez sur Dmarrer, pointez sur Paramtres et cliquez sur Panneau de configuration. 3. Double-cliquez sur l'icne Ajout/Suppression de programmes, cliquez ensuite sur Ajouter/Supprimer des composants Windows pour afficher l'Assistant Composants de Windows. 4. Dans la liste Composants, slectionnez Services Internet (IIS). 5. Cliquez sur Dtails. 61

Administration dun Serveur Informatique

Chapitre IV : IIS

6. Dans la bote de dialogue Services Internet (IIS), dans la liste sous-composants de Services Internet, slectionnez les cases cocher places gauche des composants que vous dsirez installer. Les composants disponibles sont les suivants: Composant logiciel enfichable des services Internet (IIS). Un composant logiciel enfichable de console MMC qui fournit l'interface d'administration principale de IIS ; Documentation. Les fichiers d'aide et de documentation sur l'administration des serveurs IIS et le dveloppement d'applications Web; Extensions serveur FrontPage 2000. Vous permet de crer et de grer de,' sites Web avec des outils de dveloppement, comme Microsoft FrontPage et Visual InterDev ; Fichiers communs. Les fichiers dont IIS a besoin pour excuter les autres composants; Gestionnaire des services Internet (HTML). Une interface dadministration fonde sur le langage HTML, qui vous permet de grer IIS avec tout navigateur Web pris en charge; Serveur FTP (File Transfer Protocol), Vous permet de crer des sites FTP partir desquels et destination desquels les utilisateurs peuvent tlcharger des fichiers; Serveur World Wide Web. Vous permet de crer des sites Web auxquels peuvent accder les utilisateurs partir d'un navigateur comme Microsoft, Internet Explorer; Service NNTP. Fournit la prise en charge du protocole NNTP (Ne Mark News Transfer Protocol), que vous pouvez utiliser pour fournir aux utilisateurs de liS les changes de news Usenet ; Service SMTP. Fournit la prise en charge du protocole SMTP (Simple Mail Transfer Protocol), utilis pour l'envoi de messages lectroniques; Support de dplacement RAD distance Visual InterDev, Active le dploiement d'application distance sur le serveur Web IIS. En vue d'une installation fonctionnelle des services IIS, vous devez slectionner nu minimum les fichiers communs, le composant logiciel enfichable Services Internet (IIS) et le serveur World Wide Web. 7. Cliquez sur OK, puis sur Suivant. Si vous y tes invit, tapez le chemin d'accs complet des fichiers de distribution de Windows 2003, puis cliquez sur Continuer. Il est possible que vous deviez insrer le CD-ROM de Windows 2003. Les fichiers requis sont copis sur votre disque dur. 8. Cliquez sur Terminer pour fermer l'Assistant Composants de Windows.

Astuce Par dfaut, Windows 2003 n'installe pas le service FTP dans IIS. Si vous souhaitez excuter un site FTP sur votre serveur, vous devez utiliser cette procdure pour ajouter le composant Serveur FTP.

62

Administration dun Serveur Informatique

Chapitre IV : IIS

Aprs une installation de IIS par dfaut, quand vous lancez le composant logiciel enfichable Services Internet (IIS), vous pouvez voir trois composants qui ont t ajouts l'arborescence de la console: Site Web par dfaut, Site Web d'administration et Serveur virtuel SMTP par dfaut. L'icne Site Web par dfaut reprsente le site Web public principal hberg par votre serveur. Si vous avez l'intention de n'accueillir qu'un seul site, vous pouvez utiliser celui-ci; mais vous pouvez galement crer des icnes de site Web supplmentaires pour accueillir plusieurs sites sur un seul serveur. Le site Web par dfaut est configur pour un accs anonyme: n' importe quel utilisateur peut s'y connecter, quel que soit le navigateur qu'il utilise, et qu'il dispose ou non d'un compte d'utilisateur Windows 2003. Vous pouvez galement utiliser le composant logiciel enfichable Services Internet (IIS) pour modifier les proprits de scurit du site et restreindre l'accs certains utilisateurs. L'icne Site Web d'administration reprsente un site protg, que vous pouvez utiliser pour configurer IIS partir d'un navigateur sur un ordinateur distant. Ce site est un exemple de la faon dont IIS peut accueillir plusieurs sites sur un serveur, puisqu'il est compltement indpendant du site par dfaut, avec son contenu et ses paramtres de scurit propres. la diffrence du site par dfaut, le site d'administration est protg de diffrentes faons pour empcher les utilisateurs non autoriss d'accder l'Interface de configuration de IIS. Pour en savoir plus sur les mcanismes de scurit que vous pouvez utiliser pour limiter l'accs vos sites Web, reportez-vous la leon 3 de ce chapitre.

Mise en route
Que votre site soit sur un intranet ou sur Internet, les principes de fourniture de contenu avec IIS sont identiques. Vous placez vos fichiers Web dans des dossiers de votre serveur, de sorte que les utilisateurs puissent tablir une connexion HTTP (HyperText Transfer Protocol) et afficher vos fichiers avec un navigateur Web. Mais au-del du simple stockage des fichiers sur votre serveur, vous devez grer la faon dont votre site est dploy et, plus important encore, l'volution de votre site. Vous devez installer vos sites Web en indiquant quels dossiers contiennent les documents que vous voulez publier. Le serveur Web ne peut pas publier les documents qui ne sont pas dans ces dossiers. La premire tape du dploiement d'un site Web est donc de dterminer l'organisation de vos fichiers et leur hirarchisation. Vous utilisez le composant logiciel enfichable Services Internet (IIS) ou le Gestionnaire des services Internet (HTML) pour identifier quels dossiers (nomms rpertoires dans le composant logiciel enfichable et dans l'interface HTML) font partie du site. Si vous dsirez dmarrer tout de suite sans crer une structure de dossiers spciale, et que vos fichiers soient tous situs sur le mme disque dur de l'ordinateur excutant IIS, vous pouvez publier vos documents immdiatement en copiant vos fichiers Web dans le dossier de base du site Web par dfaut. Lorsque vous installez IIS, le dossier de base du site Web par dfaut est \lnetpub\wwwroot (C:\lnetpub\wwwroot par dfaut). Quand vous copiez des fichiers Web dans ce dossier, ils deviennent disponibles la racine du site. Les utilisateurs de l'intranet peuvent alors accder ces fichiers en utilisant l'une des URL (Uniform Resource Locators) suivantes: http://computer _name/file_name http://fully_qualified_domain_name/file_name http://IP_address/file_name O computer _name, fully_qualified_domain_name et IP_address identifient le serveur Web. Si vous copiez un fichier nomm Default.htm ou Default.asp dans le dossier de base, ce fichier devient la page d'accueil du site Web par dfaut. Vous pouvez galement modifier la configuration du site pour utiliser un autre nom de fichier par dfaut.

63

Administration dun Serveur Informatique

Chapitre IV : IIS

Cration de sites
l'origine, chaque nom de domaine, comme www.microsoft.com, reprsentait un seul ordinateur individuel. Aujourd'hui, de nombreux logiciels serveurs Web, parmi lesquels IIS 6, peuvent accueillir simultanment plusieurs sites Web ou plusieurs sites FTP sur un seul ordinateur, chaque site Web hbergeant un ou plusieurs noms de domaine. Comme chaque site reproduit le comportement d'un ordinateur unique pour les clients Web, ces sites sont parfois mentionns comme des serveurs virtuels, Que votre serveur Windows 2003 soit sur un intranet ou sur Internet, vous pouvez crer plusieurs sites Web et plusieurs sites FTP sur un ordinateur, en choisissant l'une des trois mthodes suivantes: utiliser un numro de port non standard avec l'adresse IP ; utiliser plusieurs adresses IP, chacune disposant de sa propre carte rseau, ou toutes dsignant la mme carte rseau; attribuer plusieurs Sites Web une seule carte rseau en utilisant des noms d'en-tte d'hte, La figure IV.1 prsente un intranet o l'administrateur systme a install Windows 2003 Server avec IIS sur le serveur de la socit, aboutissant un site Web par dfaut: http//ServeurEntreprise. L'administrateur systme cre ensuite deux sites Web supplmentaires, un pour chacun des deux services: marketing et ressources humaines. Bien qu'ils soient hbergs sur le mme ordinateur, ServeurEntreprise, Marketing et RessourcesHumaines s'affichent chacun comme des sites Web uniques. Ces sites relatifs un service ont les mmes options de scurit que s'ils se trouvaient sur des ordinateurs spars, parce que chaque site a son propre accs et ses propres paramtres d'autorisation d'administration. En outre, vous pouvez rpartir les tches administratives des diffrents sites entre les membres de chaque service.

Figure IV- 1: Un serveur Web intranet avec plusieurs sites

Cration d'un site Web


Pour crer un nouveau site Web sur une installation existante, procdez de la manire suivante: 64

Administration dun Serveur Informatique

Chapitre IV : IIS

1. Ouvrez une session sur un serveur Windows 2003 en tant qu'Administrateur. 2. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, cliquez sur Gestionnaire des services Internet pour ouvrir le composant logiciel enfichable Services Internet. 3. Cliquez avec le bouton droit de la souris sur l'icne de votre serveur dans l'arborescence de la console, pointez sur Nouveau et, dans le menu contextuel, slectionnez Site Web pour lancer l'Assistant Cration de site Web. 4. Cliquez sur Suivant pour passer la page d'accueil et afficher la page Description du site Web. 5. Dans la zone de texte Description, saisissez le nom par lequel vous dsirez identifier le site dans l'arborescence de la console Services Internet, puis cliquez sur Suivant pour passer la page Adresse IP et port. 6. Dans la zone de liste Entrez l'adresse IP utiliser pour ce site Web, slectionnez l'adresse IP que les navigateurs clients utiliseront pour se connecter au site. Cette zone de liste contient les adresses IP que votre serveur peut utiliser, plus une option Toutes non attribues. Pour utiliser les adresses IP afin de faire la distinction entre les diffrents sites Web qui s'excutent sur votre serveur IIS, slectionnez l'une des adresses. Si vous prvoyez d'utiliser un autre mcanisme pour faire la distinction entre les sites, slectionnez Toutes non attribues. 7. Dans la zone de texte Port TCP que ce site Web doit utiliser, indiquez un numro de port pour le site. Par dfaut, HTTP utilise le port TCP 80 et tous les navigateurs utilisent automatiquement ce port lorsqu'ils se connectent un serveur Web. Pour utiliser les numros les port afin de faire la distinction entre plusieurs sites s'excutant sur un serveur, attribuez un numro un port diffrent chaque site et indiquez vos clients de spcifier le numro de port dans leur URL, par exemple : http://ServeurEntreprise:82. 8. Dans la zone de texte En-tte de l'hte pour ce site, tapez si vous le souhaitez le nom d'en-tte de l'hte que vous voulez que ce site utilise. En indiquant un nom d'en-tte de l'hte pour un site, vous pouvez faire la distinction entre plusieurs sites Web s'excutant sur le mme serveur mme s'ils utilisent tous la mme adresse IP et un seul numro de port. Par exemple, si Marketing est le nom d'en-tte de l'hte, les clients peuvent accder au site avec lURL http://Marketing. Si vous ne voulez pas utiliser les en-ttes d'htes pour faire la distinction entre vos sites, laissez cette zone vide. 9. Cliquez sur Suivant pour passer la page Rpertoire de base du site Web. 10. Dans la zone de texte Chemin d'accs, saisissez le chemin d'accs du dossier que vous voulez utiliser comme rpertoire de base du site Web. Vous pouvez indiquer un chemin d'accs contenant une lettre de lecteur, par exemple C:\Documents, ou utiliser la convention UNC (convention de dnomination universelle), par exempLe \\serveurl\Documenls. Si le chemin que vous entrez est situ sur un autre ordinateur, l'Assistant affiche la page Informations d'identification de scurit du site Web, dans laquelle vous devez entrer un nom d'utilisateur et un mot de passe permettant au serveur d'accder au dossier. Si vous souhaitez empcher les accs anonymes au nouveau site, dsactivez la case cocher Autoriser les accs anonymes ce site Web. Cliquez sur Suivant pour passer la page Autorisations d'accs au site Web. 11. Indiquez l'aide des cases cocher les autorisations vous dsirez accorder aux utilisateurs pour les fichiers du rpertoire de base. Cliquez sur Suivant pour terminer l'Assistant. 65

Administration dun Serveur Informatique 12. Cliquez sur Terminer pour crer le nouveau site Web.

Chapitre IV : IIS

Cration d'un site FTP


Pour crer un nouveau site FTP sur IIS o le module Serveur FTP (File Transfer Protocol) a t install, procdez de la manire suivante : 1. Ouvrez une session sur un serveur Windows 2003 en tant qu'Administrateur. 2. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, cliquez sur Gestionnaire des services Internet pour ouvrir le composant logiciel enfichable Services Internet. 3. Cliquez avec le bouton droit de la souris sur l'icne de votre serveur dans l'arborescence de la console, pointez sur Nouveau et, dans le menu contextuel, slectionnez Site FTP pour lancer l'Assistant Cration de site FTP. 4. Cliquez sur Suivant pour passer la page d'accueil et afficher la page Description du site FTP. 5. Dans la zone de texte Description, tapez le nom que vous voulez utiliser pour identifier le site dans l'arborescence de la console Services Internet et cliquez sur Suivant pour passer la page Adresse IP et port. 6. Dans la zone de liste Entrez l'adresse IP utiliser pour ce site FTP, slectionnez l'adresse IP que les navigateurs clients utiliseront pour se connecter au site. Cette zone de liste contient les adresses IP que votre serveur peut utiliser, plus une option Toutes non attribues. Si vous souhaitez utiliser des adresses IP pour faire la distinction entre les diffrents sites FTP qui s'excutent sur votre serveur IIS, slectionnez l'une des adresses. Si vous prvoyez d'utiliser un autre mcanisme pour faire la distinction entre les sites, slectionnez Toutes non attribues. 7. Indiquez un numro de port pour le site dans la zone de texte Port TCP. Par dfaut, FTP utilise le port TCP 21 comme port de contrle, et tous les clients FTP utilisent automatiquement ce port en se connectant un serveur FTP. Pour utiliser des numros de port afin de faire la distinction entre plusieurs sites s'excutant sur un serveur, attribuez un numro de port diffrent chaque site et indiquez vos clients de spcifier le numro de port leurs clients FTP. 8. Cliquez sur Suivant pour passer la page Rpertoire de base du site FTP. 9. Entrez le chemin du dossier que vous voulez utiliser comme rpertoire de base du site Web dans la zone de texte Chemin d'accs. Vous pouvez indiquer un chemin d'accs contenant une lettre de lecteur, par exemple C:\Documents, ou utiliser la convention UNC, par exemple \\serveurl\Documents. Si le chemin que vous entrez est plac sur un autre ordinateur, l'Assistant affiche la page Informations d'identification de scurit du site FTP, dans laquelle vous devez entrer un nom d'utilisateur et un mot de passe permettant au serveur d'accder au dossier. Cliquez sur Suivant pour passer la page Autorisations d'accs au site FTP. 10. Indiquez l'aide des cases cocher les autorisations que vous voulez accorder aux utilisateurs sur les fichiers du rpertoire de base. Cliquez sur Suivant pour terminer l'Assistant. 11. Cliquez sur Terminer pour crer le nouveau site FTP.

Administration de sites Web et de sites FTP


Pendant l'installation de IIS, des valeurs par dfaut sont attribues aux diverses proprits du serveur et de ses sites. Vous pouvez utiliser les paramtres par dfaut de IIS, ou les personnaliser pour rpondre vos besoins en termes de publication Web. La personnalisation des proprits par dfaut peut apporter une certaine valeur ajoute, de meilleures performances et une scurit amliore. 66

Administration dun Serveur Informatique

Chapitre IV : IIS

Vous pouvez dfinir les proprits au niveau du site, des dossiers ou des fichiers. Les paramtres du niveau le plus lev (comme le niveau site) sont automatiquement hrits par les niveaux infrieurs (comme le niveau dossier), selon le mme schma que l'hritage des autorisations Windows 2003. Une fois que vous avez modifi une proprit sur un site, un dossier ou un fichier individuel, les ventuelles modifications ultrieures des paramtres par dfaut de l'objet parent n'craseront pas la dfinition individuelle. En revanche, vous recevrez un message d'avertissement, vous demandant si vous voulez modifier les paramtres du site, du dossier ou du fichier afin qu'ils correspondent aux nouveaux paramtres par dfaut. Les proprits d'un site s'affichent dans sa bote de dialogue Proprits, et sont stockes dans une base de donnes nomme mtabase (la version IIS du Registre). Certaines proprits ont une valeur qui prend la forme d'une liste. Par exemple, la valeur du document par dfaut peut tre une liste de documents charger quand les utilisateurs n'indiquent pas de fichier dans l'URL. Les messages d'erreur personnaliss, les autorisations de contrle d'accs TCP/IP, les mappages de scripts et les rnappages MIME (Multipurpose Internet Mail Extensions) sont d'autres exemples de proprits stockes sous forme de liste. Bien que ces listes aient plusieurs entres, IIS traite l'ensemble de la liste comme une seule proprit. Si vous modifiez une liste au niveau du dossier et que vous fassiez ensuite une modification globale au niveau du site, la liste au niveau du dossier est compltement remplace par la nouvelle liste de niveau site; les deux listes ne sont pas fusionnes. Vous accdez aux proprits principales, aux extensions serveur, la limitation de la bande passante et aux mappages MIME d'un serveur IIS partir de la bote de dialogue Proprits d'un ordinateur dans le composant logiciel enfichable Services Internet (IIS). La figure IV.6 prsente la bote de dialogue Proprits principales.

Dmarrage et arrt des services et des sites


Par dfaut, les services IIS comme les sites IIS sont configurs pour dmarrer automatiquement avec Windows 2003. Vous pouvez utiliser les contrles fournis par le composant logiciel enfichable Services Internet (IIS) pour dmarrer, arrter ou suspendre des sites. L'arrt d'un site interrompt toutes les connexions en cours et les efface de la mmoire de l'ordinateur. Suspendre un site empche le serveur d'accepter de nouvelles connexions, mais n'affecte pas les demandes en cours de traitement. Pour dmarrer, arrter ou suspendre un site, slectionnez un objet site dans l'arborescence de la console Services Internet (IIS) et cliquez ensuite, dans la barre d'outils, sur le bouton Dmarrer lment, Arrter lment ou Interrompre lment. Si le site est dmarr, le bouton Dmarrer lment ne sera pas disponible; la mme logique s'applique aux sites arrts. Remarque Si un site s'arrte inopinment, il se peut que le composant logiciel enfichable Services Internet (IIS) n'indique pas correctement l'tat du site. Avant de redmarrer, cliquez sur le bouton Arrter lment, puis sur le bouton Dmarrer lment pour redmarrer le site. Vous pouvez aussi essayer de cliquer sur Actualiser dans le menu Action pour dterminer l'tat du site. Vous pouvez galement arrter, dmarrer ou redmarrer tous les services IIS ou redmarrer le serveur depuis le composant logiciel enfichable Services Internet (IIS). Les fonctions d'arrt, de dmarrage et de redmarrage sont une alternative utile au redmarrage du serveur quand l'application fonctionne de manire incorrecte ou devient indisponible. Le redmarrage du serveur doit tre votre ultime solution de dpannage. La fonction de redmarrage arrte et dmarre correctement tous les services IIS, ce qui les rinitialise efficacement. Pour redmarrer IIS, cliquez avec le bouton droit de la souris sur le nud 67

Administration dun Serveur Informatique

Chapitre IV : IIS

de serveur dans l'arborescence de la console et, dans le menu contextuel, slectionnez Redmarrage de ns pour afficher la bote de dialogue Arrter/Dmarrer/Redmarrer. Dans la zone de liste Quelle opration voulez-vous excuter, slectionnez Redmarrer les services Internet (IIS) sur votre serveur. Vous pouvez aussi dmarrer ou arrter tous les services IIS, ou slectionner Redmarrer pour arrter et redmarrer l'ordinateur. Remarque Mieux vaut utiliser le composant logiciel enfichable Services Internet (IIS) pour redmarrer les services IIS, plutt que l'objet Services situ sous Services et applications dans le composant logiciel enfichable Gestion de l' ordinateur. Comme plusieurs services Internet sont excuts dans le mme processus, les services Internet s'arrtent et redmarrent diffremment des autres services Windows.

Dfinition de rpertoires de base


Chaque site Web et chaque site FTP doivent disposer d'un rpertoire de base, tel que celui que vous avez indiqu dans la procdure de cration d'un nouveau site, plus haut dans cette leon. Le rpertoire de base constitue l'emplacement central de vos pages publies. Sur un site Web, le rpertoire de base contient habituellement le fichier de la page d'accueil, qui accueille les utilisateurs de navigateurs Web et contient des liens vers les autres pages de votre site. Vous pouvez indiquer plusieurs documents par dfaut pour un seul site; IIS affiche le premier document par dfaut qu'il trouve SOUS l'onglet Documents dans les proprits du site. Le rpertoire de base est mapp au nom de domaine de votre site, au nom du serveur IIS Ou son adresse IP ; l'utilisateur peut employer l'un des trois identifiants comme URL pour accder au site. Par exemple, si le nom de domaine Internet de votre site est www.microsoft.com et que votre rpertoire de base est C:\ Website\Microsoft, les navigateurs utilisent l'URL http://www.microsoft.com pour accder aux fichiers du rpertoire de base. Sur un intranet, si votre nom de serveur est AcctServer, les navigateurs peuvent utiliser l'URL http://acctServer pour accder aux fichiers du rpertoire de base. Le service IIS cre un rpertoire de base par dfaut l'installation, et vous devez en indiquer un lorsque vous crez un nouveau site Web. Si vous installez un site Web et un site FTP sur le mme ordinateur, mieux vaut indiquer un rpertoire de base diffrent pour chaque service (WWW et FTP). Le rpertoire de base par dfaut du service WWW est \InetPub\wwwroot. Le rpertoire de base par dfaut du service FTP est \InetPub\ftproot. Vous pouvez modifier ces paramtres par dfaut pour crer un rpertoire de base n'importe o sur votre rseau. Pour modifier le rpertoire de base d'un site Web ou d'un site FTP, ouvrez sa bote de dialogue Proprits en cliquant dessus avec le bouton droit de la souris dans l'arborescence de la console Services Internet (US). Dans le menu contextuel, slectionnez Proprits. Cliquez sur l'onglet Rpertoire de base pour afficher les contrles. En slectionnant l'option approprie, vous pouvez crer un rpertoire de base partir d'un dossier plac sur l'ordinateur, d'un dossier partag en rseau sur un autre ordinateur, ou d'un rpertoire identifi par une URL. Vous indiquez alors le chemin d'accs local, le nom de partage ou l'URL dans la zone de texte Chemin d'accs.

Dfinition d'un document par dfaut


Quand un client se connecte un site Web avec un navigateur, le serveur Web est normalement configur pour transmettre l'utilisateur un fichier de page d'accueil, qui lui sert de point d'entre dans le site. Ce fichier de page d'accueil est nomm document par dfaut du site. Ce document par dfaut peut tre un fichier HTML, un script ASP (Active Server Page) ou tout autre type de fichier. Le serveur Web n'identifie le document par dfaut que par son nom, qui est indiqu comme une proprit du site Web. Par dfaut, un site Web IIS utilise les fichiers Default.htm et Default.asp comme documents par dfaut pour chaque nouveau site que vous crez. Si un fichier nomm Default.htm se trouve dans le 68

Administration dun Serveur Informatique

Chapitre IV : IIS

rpertoire de base du site, le serveur Web le transmet automatiquement aux clients qui n'indiquent pas de nom de fichier dans leur URL. S'il n'y a aucun fichier Default.htm, le serveur cherche un fichier Default.asp. Si aucun des fichiers indiqus comme document par dfaut n'existe, le serveur renvoie au client une erreur ou le contenu du rpertoire de base, selon que le site est configur pour prendre en charge ou non l'exploration de rpertoires. L'exploration de rpertoires est dsactive par dfaut. Pour configurer les documents par dfaut d'un site Web, ouvrez la bote de dialogue Proprits du site et cliquez sur l'onglet Documents. Pour ajouter un nouveau nom de fichier la liste, cliquez sur Ajouter et entrez un nom de fichier dans la bote de dialogue Ajout d'un document par dfaut, puis cliquez sur OK. Vous pouvez aussi supprimer un fichier de la liste en le slectionnant et en cliquant sur Supprimer. Pour modifier l'ordre dans lequel le serveur recherche les documents par dfaut, utilisez les flches directionnelles vers le haut et vers le bas. Remarque Tous les produits serveur Web de Microsoft utilisent Default.htm et Default.asp comme documents par dfaut pour leurs sites Web, tandis que les serveurs UNIX utilisent gnralement index.html ou index.htm. Quand vous crez vos propres sites Web, le nom de fichier que vous utilisez comme page d'accueil est sans importance, du moment que le serveur est configur pour utiliser ce nom comme document par dfaut. L'utilisation d'un autre nom de document par dfaut que ceux accepts en standard ajoute une petite touche de scurit, dans l'ventualit o le site ne devrait pas tre publiquement disponible.

Rsum de la leon
IIS 6 est install par dfaut avec Windows 2003 Server, dans une configuration standard qui comporte un site Web par dfaut. Vous pouvez installer des composants IIS supplmentaires, comme le Serveur FTP (File Transfer Protocol), l'aide de l'outil Ajout/Suppression de programmes du Panneau de configuration. Pour crer des sites Web supplmentaires, vous utilisez l'Assistant Cration de site Web du composant logiciel enfichable Services Internet (IIS). Vous pouvez faire la distinction entre des sites en utilisant des adresses IP, des numros de port ou des en-ttes d'hte diffrents. Chaque site IIS dispose d'une bote de dialogue Proprits que vous pouvez utiliser pour configurer divers paramtres oprationnels pour le site.

69

Administration dun Serveur Informatique

Chapitre IV : IIS

Leon 2 : Cration de rpertoires virtuels


Le site Web ou le site FTP IIS les plus simples sont ceux dont tous les fichiers sont placs dans le rpertoire de base ou dans les sous-rpertoires du rpertoire de base. Cependant, IIS vous permet galement d'ajouter vos sites sans avoir les dplacer des fichiers situs ailleurs. Il s'agit des rpertoires virtuels. Cette leon dcrit le processus de cration et de configuration des rpertoires virtuels.

la fin de celle leon, vous pourrez Crer un rpertoire virtuel l'aide du composant logiciel enfichable Services Internet (IIS), Crer un rpertoire virtuel en utilisant le partage Web, Rediriger une demande Web vers une autre URL.

Cration de rpertoires virtuels


Vous pouvez crer un rpertoire virtuel pour publier sur un site des fichiers qui proviennent d'un rpertoire qui ne se trouve pas dans le rpertoire de base du site. Par essence, un rpertoire virtuel n'est pas contenu dans le rpertoire de base, mais les navigateurs clients ont l'impression qu'il l'est. Un rpertoire virtuel a un alias, un nom que des navigateurs Web utilisent pour y accder. L'alias ne doit pas ncessairement tre identique au nom du rpertoire; il est d'habitude plus court que le nom complet du rpertoire, ce qui le rend plus pratique pour les utilisateurs. L'alias que vous slectionnez pour le rpertoire virtuel devient un sous-rpertoire du site Web ou du site FTP. Par exemple, si vous avez sur votre serveur un dossier nomm D:\Documents\2001\MarketingCollateral que vous souhaitez publier sur un site intranet ayant l'URL http://Marketing, vous pouvez crer un rpertoire virtuel il partir du dossier et lui attribuer l'alias Docs. Quand les clients accdent au serveur intranet, le contenu du dossier D:\Documents\2001\MarketingCollateral s'affiche sur le site l'URL http://Marketing/Docs. Les sous-dossiers de D:\Documents\2001\MarketingCollateral s'affichent sur le site Web sous ln forme de sous-rpertoires de http://Marketing/Docs. L'un des principaux avantages de l'utilisation des rpertoires virtuels est que vous pouvez publier des fichiers sur un seul site Web partir de divers emplacements sans devoir les dplacer pour autant. Dans l'exemple prcdent, il pourrait s'avrer peu pratique de dplacer le dossier D:\Documents\2001\MarketingCollateral dans le rpertoire de base du serveur Web, parce que d'autres utilisateurs sont habitus accder ces fichiers avec d'autres programmes partir de leur emplacement d'origine. Vous pouvez crer autant de rpertoires virtuels que vous le souhaitez sur un site, ce qui vous permet de crer une structure complte de rpertoires virtuels partir des dossiers de tout votre rseau. Les alias reprsentent galement une mesure de scurit supplmentaire. Comme les utilisateurs ne savent pas o vos fichiers sont physiquement situs sur le serveur, ils ne peuvent pas utiliser cette information pour les modifier. De plus, les alias vous permettent de dplacer plus aisment des rpertoires dans votre site. Au lieu de modifier l'URL du rpertoire, vous pouvez simplement modifier le mappage entre l'alias et l'emplacement physique du rpertoire. Pour crer un rpertoire virtuel sur un site Web ou sur un site FTP, procdez de la manire suivante: 1. Ouvrez une session sur un serveur Windows 2003 en tant qu'Administrateur.

70

Administration dun Serveur Informatique

Chapitre IV : IIS

2. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, cliquez sur Gestionnaire des services Internet pour ouvrir le composant logiciel enfichable Services Internet. 3. Cliquez avec le bouton droit de la souris sur l'icne d'un site Web ou d'un site FTP dans]' arborescence de la console, pointez sur Nouveau et, dans le menu contextuel, slectionnez Rpertoire virtuel pour lancer l'Assistant Cration de rpertoire virtuel. 4. Cliquez sur Suivant pour passer la page d'accueil et afficher la page Alias du rpertoire virtuel. 5. Tapez dans la zone de texte Alias le nom de rpertoire que les clients verront s'afficher. Cliquez sur Suivant pour passer la page Rpertoire de contenu du site Web. 6. Dans la zone de texte Rpertoire, tapez le chemin d'accs au dossier qui contient les fichiers que vous dsirez publier. Vous pouvez indiquer un chemin d'accs contenant une lettre de lecteur, par exemple C:\Documents, ou utiliser la convention UNC, par exemple \\serveurllDocuments. Si le chemin que vous entrez est plac sur un autre ordinateur, l'Assistant affiche la page Nom d'utilisateur et mot de passe, dans laquelle vous devez entrer un nom d'utilisateur et un mot de passe permettant au serveur d'accder au dossier. 7. Cliquez sur Suivant pour passer la page Autorisations d'accs. 8. Indiquez l'aide des cases cocher les autorisations vous voulez accorder aux utilisateurs sur les fichiers du rpertoire de base. Cliquez sur Suivant pour terminer l'Assistant. 9. Cliquez sur Terminer pour crer le rpertoire virtuel.

Utilisation du partage Web


Le partage Web est une mthode alternative de cration de rpertoires virtuels sur un site Web, qui ne requiert pas le composant logiciel enfichable Services Internet: il suffit d'utiliser l'Explorateur Windows. Le partage Web est conu pour les utilisateurs qui souhaitent partager des dossiers sur un ordinateur excutant IIS. Vous ne pouvez pas crer un rpertoire virtuel avec le partage Web 1\ partir d'un dossior qui figure sur un autre ordinateur (mais cela reste possible avec le composant logiciel enfichable Services Internet), et vous ne pouvez pas non plus crer un rpcrtolr virtuel sur un autre serveur IIS. Pour crer un rpertoire virtuel avec le partage Web, procdez de la manire suivante: 1. Ouvrez l'Explorateur Windows et dplacez-vous, dans le disque local, jusqu'au dossier que vous dsirez partager. 2. Cliquez sur le dossier avec le bouton droit de la souris et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 3. Cliquez sur l'onglet Partage Web. 4. Dans la zone de liste droulante Partager sur, slectionnez le site Web su,' lequel vous voulez publier le dossier. 5. Activez la case d'option Partager ce dossier, slectionnez un alias, cliquez ensuite sur Modifier les proprits pour afficher la bote de dialogue Modifier l'alias. 6. Dans la zone de texte Alias, tapez l'alias que vous voulez utiliser pour le dossier. Par dfaut, le nom du dossier s'affiche dans la zone de texte Alias, mais vous pouvez le modifier si ncessaire. 7. Dans les zones Autorisations d'accs et Autorisations de l'application, slectionnez les autorisations que vous souhaitez accorder aux utilisateurs du dossier partag, 8. Cliquez sur OK. L'alias s'affiche dans la liste Alias de l'onglet Partage Web. Vous pouvez cliquer sur Ajouter pour crer des alias supplmentaires pour le mme dossier, haque alias que vous crez s'affiche comme un sous-rpertoire spar sur le site Web, 9. Cliquez sur OK pour fermer la bote de dialogue Proprits et crer le rpertoire virtuel.

71

Administration dun Serveur Informatique

Chapitre IV : IIS

Remarque Quand vous partagez un dossier avec le partage Web, l'icne du dossier n'est pas modifie dans l'Explorateur Windows comme elle l'est quand vous crez un partage rseau. La seule faon de voir dans l'Explorateur Windows qu'un dossier est partag est de regarder l'onglet Partage Web de la bote de dialogue Proprits du dossier. Une fois celle procdure acheve, dans l'arborescence de la console Services Internet, vous voyez s'afficher les alias que vous avez crs dans le site Web, comme si ces rpertoires virtuels avaient t crs l'aide du composant logiciel enfichable.

Redirection des demandes


Lorsqu'un navigateur demande une page de votre site Web, le serveur Web trouve la page identifie par l'URL et la renvoie au navigateur. Lorsque vous dplacez une page sur votre site Web, vous ne pouvez pas toujours corriger tous les liens qui se rfrent son URL prcdente. Pour vous assurer que les navigateurs pourront trouver la page sa nouvelle URL, vous pouvez indiquer au serveur Web qu'il doit donner la nouvelle URL au navigateur. Le navigateur utilise la nouvelle URL pour demander de nouveau la page. Ce processus est nomm redirection d'une demande de navigateur ou redirection d'une autre URL. La redirection d'une demande de page est semblable l'utilisation d'une adresse de rexpdition avec un service postal. L'adresse de rexpdition assure que les lettres et paquets adresss votre ancien domicile sont livrs votre nouveau domicile, La redirection d'une URL s'avre galement trs utile quand vous mettez votre site Web jour et que dsirez rendre une partie du site temporairement indisponible, ou quand vous avez modifi le nom d'un rpertoire virtuel et que vous souhaitez que les liens vers les fichiers du rpertoire virtuel d'origine renvoient aux mmes fichiers, mais dans le nouveau rpertoire virtuel. Vous pouvez utiliser le composant logiciel enfichable Services Internet pour rediriger des demandes vers un site Web, un rpertoire virtuel ou un autre rpertoire. Pour rediriger une demande, procdez de la manire suivante: Ouvrez une session sur un serveur Windows 2003 en tant qu'Administrateur. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, cliquez sur Gestionnaire des services Internet pour ouvrir le composant logiciel enfichable Services Internet. Cliquez avec le bouton droit de la souris sur le site Web, le rpertoire virtuel ou le rpertoire que vous souhaitez rediriger et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. Cliquez sur l'onglet Rpertoire de base, comme sur la figure IV.11, si vous redirigez un site Web, sur l'onglet Rpertoire virtuel si vous redirigez un rpertoire virtuel, ou sur l'onglet Rpertoire si vous redirigez un rpertoire. Dans la zone Lors de la connexion cette ressource, le contenu doit provenir de, slectionnez une redirection vers une URL. Remarquez que l'onglet change et affiche un contrle de redirection vers une URL. Saisissez, dans la zone de texte Rediriger vers, l'URL vers laquelle vous dsirez rediriger le site, le rpertoire virtuel ou le rpertoire. Cliquez sur les cases cocher pour activer les options suivantes et envoyer le client vers: UURL exacte entre ci-dessus, Cette option provoque la redirection des demandes de tous les fichiers et sous-dossiers du site, du rpertoire virtuel ou du rpertoire vers un seul fichier l'URL indique dans la zone de texte Rediriger vers; Un rpertoire en dessous de celui-ci. Cette option vous permet de rediriger des demandes vers le site, le rpertoire virtuel, le rpertoire ou le sousrpertoire de cet emplacement ; Une redirection permanente pour cette ressource. Les redirections sont gnralement temporaires. Cette option envoie un message de statut au client indiquant que cette redirection est permanente. 9. Cliquez sur OK. 72

Administration dun Serveur Informatique

Chapitre IV : IIS

Rsum de la leon
Un rpertoire virtuel est un moyen de mapper un dossier partag n'importe o sur le rseau un alias sur un serveur IIS, de sorte que le dossier semble faire partie d'un site Web ou d'un site FTP. Les rpertoires virtuels sont identifis par des alias, qui s'affichent comme des sousrpertoires placs sous le rpertoire de base d'un site Web ou d'un site FTP. Pour crer un rpertoire virtuel avec le composant logiciel enfichable Services Internet, vous utilisez l'Assistant Cration de rpertoire virtuel. Pour crer un rpertoire virtuel dans l'Explorateur Windows, vous utilisez l'onglet Partage Web de la bote de dialogue Proprits du dossier. La redirection de demande est une fonctionnalit des services Internet IIS qui vous permet d'expdier des demandes client d'une URL particulire vers une autre URL, ce qui peut viter que votre site Web contienne des liens hypertextes morts ou briss.

73

Administration dun Serveur Informatique

Chapitre IV : IIS

Leon 3 : Gestion de la scurit de site


Comme pour tout service rseau, la scurit est une partie importante de Ladministration des Services Internet (IIS). Cette leon dtaille les lments de scurit de base fournis par IIS, et les outils que vous pouvez utiliser pour les implmenter. la fin de cette leon, vous pourrez crer des sites avec des numros de port diffrents, configurer les divers types d'authentification utilisateur pris en charge par IIS, implmenter des restrictions par adresse IP et par nom de domaine, configurer un site Web pour utiliser SSL (Secure Sockets Layer). Les Services Internet (IIS) peuvent utiliser diverses mthodes pour empcher des utilisateurs non autoriss d'accder aux sites Web et aux sites FTP, comme l'authentification, les attributions de port, les restrictions par adresse IP et nom de domaine, et des protocoles de scurit comme SSL. La plupart de ces mcanismes sont simplement conus pour bloquer l'accs aux sites; mais les plus puissants, les protocoles de scurit, protgent galement les donnes transfres par les serveurs IIS et les clients, grce au cryptage des donnes.

Utilisation des attributions de port


L'une des formes les plus simples et les plus fragiles de la protection de site consiste utiliser un autre numro de port pendant la cration du site. Les protocoles HTTP et FTP, qui gouvernent les communications Web et FTP, sont associs aux ports les plus reconnus par les standards TCP/IP. Le port privilgi des communications Web (HTTP) est le port numro 80, alors qu'il s'agit du port numro 21 pour FTP. (Les communications FTP utilisent en ralit deux ports: le 21 pour le trafic de contrle et le 20 pour les transmissions de donnes; mais les clients utilisent le port de contrle pour tablir la connexion initiale avec le serveur.) L'utilisation de ces ports est si standardise que les clients Web et FTP les utilisent automatiquement et, par consquent, la plupart des utilisateurs sont inconscients de leur existence. Quand vous tapez une URL dans Internet Explorer, vous saisissez par exemple http://www.microsoft.com. Avant d'envoyer une demande HTTP au serveur de Microsoft, le navigateur rsout le nom en adresse IP avec DNS (Domain Name System) et ajoute le numro de port 80 l'en-tte du protocole TCP/IP. Vous pouvez configurer IIS pour utiliser un numro de port autre que 80 pour un site Web ou 21 pour un site FTP. Cependant, cela risque de provoquer l'chec des demandes d'accs au site standard envoyes par les navigateurs, moins qu'ils n'indiquent le numro de port correct. La notation standard du numro de port consiste l'ajouter au nom de domaine aprs deux-points, par exemple http://www.microsoft.com:80. Vous pouvez crer, des URL tendues de faon normale en laissant le numro de port en place, par exemple http://www.microsoft.com:80/windows2003. Cela fournit une protection limite, parce que la plupart des utilisateurs ne sont pas conscients du tout des numros de port, et mme ceux qui en sont conscients ne savent pas quel numro de port vous avez attribu au site. Cependant, il n'existe aucun mcanisme pour empcher les utilisateurs bien informs d'essayer de se connecter plusieurs reprises diffrents numros de port; certains logiciels peuvent mme automatiser le processus en envoyant des demandes un intervalle de numros de port jusqu' identifier le bon. En consquence, mieux vaut viter cette mthode pour un

74

Administration dun Serveur Informatique

Chapitre IV : IIS

site qui requiert une protection srieuse, moins que vous ne l'utilisiez combine d'autres mcanismes de scurit. Le site Web d'administration cr par dfaut quand vous installez IIS utilise un autre numro de port pour se distinguer du site Web par dfaut et fournir un niveau de scurit relatif. IIS slectionne un numro de port au hasard lorsqu'il cre le site. Vous pouvez visualiser le numro de port en ouvrant la bote de dialogue Proprits du site et en regardant la valeur de la zone Port TCP dans l'onglet Site Web. Cette zone de texte vous permet galement de modifier le numro de port de n'importe quel site. Remarque L'Assistant Cration de site Web et l' Assistant Cration de site FTP vous permettent d'indiquer un autre numro de port pour les sites que vous crez; pour en savoir plus, reportez-vous la leon 1 de ce chapitre.

Utilisation de l'authentification
L'authentification est le mcanisme le plus courant de limitation des accs un site Web ou un site FTP. IIS prend en charge quatre types d'authentification, prsents dans les sections suivantes.

Authentification anonyme
Sur Internet, la plupart des sites Web et des sites FTP sont publics et fournissent un accs libre tous les utilisateurs. Bien que cela ne soit pas apparent quand vous vous connectez ce type de site, une authentification a lieu l'arrire-plan. Les sites IIS qui sont configurs en accs anonyme emploient un nom d'utilisateur et un mot de passe configurs sur le serveur pour fournir un accs tous les utilisateurs. Windows 2003 utilise pour cela un compte nomm IUSR_Ordinateur, o nomordinateur est remplac par le nom NetBIOS de l'ordinateur excutant IIS, et un mot de passe slectionn alatoirement. Il s'agit d'un compte spcial, conu pour fournir aux utilisateurs anonymes un accs limit aux ressources de Windows 2003. IIS active l'accs anonyme aux nouveaux sites Web que vous crez avec l'Assistant de cration de site Web par dfaut; mais vous pouvez cependant le dsactiver en effaant une case cocher lors de la cration du site. Pour contrler l'accs anonyme un site existant, procdez de la manire suivante: 1. Cliquez sur Dmarrer, et dans le groupe de programmes Outils d'administration, ouvrez la console Services Internet. 2. Cliquez avec le bouton droit de la souris sur le site Web que vous souhaitez grer, et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 3. Cliquez sur l'onglet Scurit de rpertoire. 4. Dans la zone Accs anonyme et contrle d'authentification, cliquez sur Modifier pour ouvrir la bote de dialogue Mthodes d'authentification. 5. Slectionnez la case cocher Accs anonyme pour activer ou dsactiver l'accs anonyme au site. 6. Pour modifier le compte utilis pour l'accs anonyme, cliquez sur Modifier pour afficher la bote de dialogue Compte d'utilisateur anonyme. Remarque Il existe rarement une raison de modifier le compte utilis pour laccs anonyme, mais la console Services Internet le permet tout de mme.

75

Administration dun Serveur Informatique

Chapitre IV : IIS

7. Entrez un nom de compte d'utilisateur dans la zone de texte Nom d'utilisateur et, si vous le souhaitez, dsactivez la case cocher Autoriser la vrification de mot de passe par IIS et indiquez un mot de passe dans la zone de texte Mot de passe. Cliquez sur OK. Important : Si vous choisissez d'indiquer un nom d'utilisateur et un mot de passe diffrents pour l'accs anonyme, vous devez vrifier que les informations de rfrence que vous fournissez correspondent celles d'un compte existant rellement sur l'ordinateur excutant Windows 2003 ou dans le service Active Directory. 8. Cliquez sur OK pour fermer la bote de dialogue Mthodes d'authentification. 9. Cliquez sur OK pour fermer la boite de dialogue Proprit.

Authentification de base
L'authentification de base fournit plus de protection site que l'accs anonyme, mais elle engendre galement un srieux problme de scurit. Avec l'authentification de base, chaque client doit disposer d'un compte d'utilisateur sur le serveur Web, et doit fournir un nom d'utilisateur et un mot de passe pour accder au site. Le navigateur envoie ces informations d'identification, y compris le mot de passe, en texte clair au serveur Web. Cela signifie que le mot de passe est non crypt et peut tre intercept par quelqu'un excutant un analyseur de protocole, toute personne en possession du nom d'utilisateur et du mot de passe peut accder au site Web, et aussi ouvrir une session locale sur le serveur. L'avantage de l'authentification de base est qu'elle est prise en charge par tous les navigateurs s'excutant sur tous les systmes d'exploitation. L'inconvnient est, bien sr, la possibilit que les informations d'identification d'ouverture de session des utilisateurs peuvent tre compromises. Si vous activez l'authentification de base sur vos sites Web, il est important que vos utilisateurs accdent aux sites avec des comptes qui ne disposent pas d'autorisations de niveau lev, ou qu'ils utilisent un certificat de scurit pour crypter les transmissions. Par exemple, vous ne devez jamais utiliser un compte d'administrateur pour ouvrir une session sur un serveur Web avec l'authentification de base mais sans certificat, parce que ce n'est pas seulement le site Web que vous mettez en danger, mais le serveur tout entier. Pour activer l'authentification de base d'un site Web, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console Services Internet. 2. Cliquez avec le bouton droit de la souris sur le site Web que vous souhaitez grer, et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 3. Cliquez sur l'onglet Scurit de rpertoire. 4. Dans la zone Accs anonyme et contrle d'authentification, cliquez sur Modifier pour ouvrir la bote de dialogue Mthodes d'authentification. 5. Slectionnez la case cocher Authentification de base (le mot de passe est envoy en texte clair). Un message Gestionnaire des services Internet affiche un avertissement au sujet de l'utilisation des mots de passe non crypts. 6. Cliquez sur Oui pour fermer le message. 7. Si vous dsirez que les utilisateurs s'authentifient sur un autre domaine que celui o rside le serveur, cliquez sur Modifier pour ouvrir la bote de dialogue Domaine d'authentification de base. Sinon, passez l'tape 8. 8. Tapez le nom du domaine dans lequel vous voulez authentifier les utilisateurs du site Web dans la zone de texte Nom du domaine, puis cliquez sur OK. 9. Cliquez sur OK pour fermer la bote de dialogue Mthodes d'authentification. 10. Cliquez sur OK pour fermer la bote de dialogue Proprits. 76

Administration dun Serveur Informatique

Chapitre IV : IIS

Authentification Digest
L'authentification Digest est fonde sur un projet de standard qui permet aux clients Web d'envoyer des informations d'identification d'ouverture de session au serveur IIS en cryptant le mot de passe. L'authentification Digest peut galement fonctionner avec un serveur proxy, contrairement l'authentification intgre de Windows. Pour utiliser l'authentification Digest avec IIS, votre configuration de serveur doit satisfaire aux exigences suivantes: Les comptes que les clients utilisent pour s'authentifier doivent tre situs dans un domaine Active Directory, pas sur un serveur autonome; l'option Enregistrer le mot de passe en utilisant un cryptage rversible doit tre active dans les proprits d'objet de chaque compte d'utilisateur. Vous configurez cette option dans l'onglet Compte de la bote de dialogue Proprits, dans la console Utilisateurs et ordinateurs Active Directory; les sites IIS doivent tre configurs pour utiliser l'authentification Digest. Pour configurer un site Web afin d'utiliser l'authentification Digest, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console Services Internet. 2. Cliquez avec le bouton droit de la souris sur le site Web que vous souhaitez grer, et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 3. Cliquez sur l'onglet Scurit de rpertoire. 4. Dans la zone Accs anonyme et contrle d'authentification, cliquez sur Modifier pour ouvrir la bote de dialogue Mthodes d'authentification. 5. Slectionnez la case cocher Authentification Digest pour les serveurs de domaine Windows. Un message Configuration d'IIS WWW affiche un avertissement au sujet des conditions requises pour l'utilisation de l'authentification Digest. 6. Cliquez sur Oui pour fermer le message. 7. Cliquez sur OK pour fermer la bote de dialogue Mthodes d'authentification. 8. Cliquez sur OK pour fermer la bote de dialogue Proprits.

Authentification intgre de Windows


L'authentification intgre de Windows est la mieux adapte aux clients et aux serveurs situs sur le mme intranet. Le client Web utilise les informations d'identification avec lesquelles l'utilisateur a ouvert une session sur le domaine pour s'authentifier sur le serveur IIS, empchant la transmission du mot de passe sous quelque forme que ce soit. C'est seulement si les informations d'identification d'ouverture de session ne sont pas suffisantes pour fournir l'accs an site Web que l'utilisateur est invit fournir un nom d'utilisateur et un mot de passe, transmis sous forme crypte. Pour configurer un site Web afin d'utiliser l'authentification intgre de Windows, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console Services Internet. 2. Cliquez avec le bouton droit de la souris sur le site Web que vous souhaitez grer, et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 3. Cliquez sur l'onglet Scurit de rpertoire. 4. Dans la zone Accs anonyme et contrle d'authentification, cliquez sur Modifier pour ouvrir la bote de dialogue Mthodes d'authentification. 5. Activez la case cocher Authentification intgre de Windows. 77

Administration dun Serveur Informatique

Chapitre IV : IIS

6. Cliquez sur OK pour fermer la bote de dialogue Mthodes d'authentification. 7. Cliquez sur OK pour fermer la bote de dialogue Proprits.

Utilisation des restrictions par adresse IP et nom de domaine


Une autre mthode pour limiter l'accs aux sites IIS consiste indiquer les adresses IP et les noms de domaine pour qui les accs doivent tre autoriss ou refuss. IIS utilise cette technique pour limiter l'accs au site Web d'administration. Par dfaut, l'accs est refus toutes les adresses, sauf l'adresse de loopback IP : 127 .0.0. 1. Cela signifie que seul l'utilisateur excutant un navigateur sur le serveur lui-mme peut accder au site. Il existe deux mthodes par lesquelles vous pouvez contrler l'accs un site l'aide des restrictions par adresse IP et nom de domaine. Vous pouvez refuser l'accs toutes les adresses et tous les domaines, sauf ceux que vous nommez explicitement ; ou bien, vous pouvez accorder l'accs toutes les adresses et tous les domaines, sauf ceux que vous refusez explicitement. La premire mthode fournit une meilleure scurit, mais risque de ncessiter une maintenance plus assidue, tandis que la seconde est prfrable pour une configuration moins sre mais plus facile grer. Pour crer une restriction par adresse IP et nom de domaine, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console Services Internet. 2. Cliquez avec le bouton droit de la souris sur le site Web que vous souhaitez grer, et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 3. Cliquez sur l'onglet Scurit de rpertoire. 4. Dans la zone Restrictions par adresse IP et nom de domaine, cliquez sur Modifier pour afficher la bote de dialogue Restrictions par adresse IP et nom de domaine. 5. Slectionnez Sera autoris ou Ne sera pas autoris pour dfinir le comportement par dfaut du site. L'option Sera autoris permet LOUS les utilisateurs d'accder au site, saur ceux que vous indiquez. L'option Ne sera pas autoris empche tous les utilisateurs d'accder au site, sauf ceux que vous indiquez. 6. Cliquez sur Ajouter pour ouvrir la bote de dialogue Autoriser l'accs ou Refuser l'accs . 7. Slectionnez l'option approprie pour spcifier si vous voulez indiquer l'adresse d'un seul ordinateur, d'un groupe d'ordinateurs ou un nom de domaine. 8. Tapez l'identificateur de l'lment que vous dsirez ajouter la liste d'exceptions. Si vous avez slectionn Ordinateur unique, tapez l'adresse de l'ordinateur dans la zone de texte Adresse IP. Si vous avez slectionn Groupe d'ordinateurs, tapez l'adresse de rseau dans la zone de texte ID rseau et le masque de sous-rseau dans la zone de texte Masque de sous-rseau. Si vous avez slectionn Nom de domaine, tapez le nom du domaine dans la zone de texte Nom du domaine. 9. Cliquez sur OK. 10. Rptez si ncessaire les tapes 8 et 9 pour crer des entres supplmentaires dans la liste d'exceptions. 11. Cliquez sur OK pour fermer la bote de dialogue Restrictions par adresse IP et nom de domaine. 12. Cliquez sur OK pour fermer la bote de dialogue Proprits.

Utilisation des autorisations d'accs


Les autorisations IIS dterminent quels utilisateurs connects un site Web ou un site FTP disposent des autorisations ncessaires. Pour sa plus grande partie, le Web est un mdia en lecture seule, mais vous pouvez galement utiliser des autorisations IIS pour indiquer si les utilisateurs sont autoriss excuter des scripts et des programmes sur le site et, dans certains cas, s'ils peuvent crire des donnes sur le serveur Web. Les sites FTP prennent gnralement en charge les accs en 78

Administration dun Serveur Informatique

Chapitre IV : IIS

lecture et en criture, mais vous pouvez utiliser des autorisations IIS pour limiter un site FTP aux accs en lecture seule. Comme avec le systme de fichiers NT (NTFS), vous pouvez dfinir des autorisations n'importe quel niveau de la hirarchie de site IIS : au niveau du site, du rpertoire virtuel ou du rpertoire. Comme avec NTFS, les autorisations que vous dfinissez un niveau particulier sont hrites par les lments enfants placs en dessous de ce niveau. Pour dfinir des autorisations sur un site Web, vous ouvrez la bote de dialogue Proprits du site, du rpertoire virtuel ou du rpertoire avec lequel vous dsirez travailler. Puis vous cliquez respectivement sur l'onglet Rpertoire de base, Rpertoire virtuel ou Rpertoire. Pour dfinir des autorisations pour l'lment concern, slectionnez une ou plusieurs cases cocher parmi les suivantes: Accs la source du script. Permet aux utilisateurs d'accder au code source des scripts lorsque Lautorisation Lecture ou criture est active; Lecture. Permet aux utilisateurs de lire ou de tlcharger des fichiers ou des sous-rpertoires et leurs proprits associes; criture. Permet aux utilisateurs de tlcharger des fichiers et leurs proprits associes, ou de modifier le contenu d'un fichier activ en criture; Exploration de rpertoire. Permet aux utilisateurs d'afficher le contenu d'un rpertoire sous forme d'une liste en liens hypertextes de tous les fichiers et rpertoires qu'il contient, mais pas des rpertoires virtuels. En plus de ces autorisations, la liste droulante Excuter les autorisations vous permet de dfinir l'autorisation qui indique si les utilisateurs peuvent excuter des scripts, des scripts et des excutables, ou rien du tout.

Utilisation de SSL
Le protocole SSL vous permet de configurer vos sites IIS non seulement pour authentifier les utilisateurs, mais aussi pour crypter les donnes transfres entre les navigateurs clients et le serveur IIS. Ce protocole est gnralement utilis sur des sites Web bancaires ou de commerce lectronique, qui impliquent la transmission de donnes sensibles. Pour utiliser SSL sur vos sites IIS, vous devez d'abord obtenir un certificat de serveur, qui authentifie l'identit du serveur et contient les cls publiques utilises pour crypter les donnes transmises par le serveur. Vous pouvez vous procurer un certificat auprs de plusieurs socits tierces, comme VeriSign, ou vous pouvez en publier vousmme avec les services de certificats de Windows 2003 et l'Assistant Certificat de serveur Web dans IIS.

Rsum de la leon
L'utilisation d'un autre numro de port que 80 pour un site Web et 21 pour un site FTP fournit un peu plus de scurit. Les nouveaux sites Web IIS sont configurs pour utiliser par dfaut l'accs anonyme, qui permet n'importe quel utilisateur d'accder au site. L'authentification de base permet n'importe quel client d'accder un site Web en fournissant un nom d'utilisateur et un mot de passe, mais le mot de passe est transmis sur le rseau sous une forme non crypte (en texte clair). L'authentification Digest transmet les informations d'identification de l'utilisateur sous forme crypte et requiert que les utilisateurs possdent un compte dans un domaine Windows 2003. L'authentification intgre de Windows utilise les informations d'identification avec lesquelles l'utilisateur a ouvert une session sur l'ordinateur pour accder au site Web. SSL (Secure Sockets Layer) est un protocole de scurit qui fournit l'authentification et crypte galement les donnes transmises sur le rseau.

79

Administration dun Serveur Informatique

Chapitre IV : IIS

Leon 4 : Rsolution de problmes lis aux Services Internet (IIS)


Dans cette leon, vous passez en revue certains des problmes les plus courants qui peuvent empcher des clients de se connecter un serveur Web IIS. la fin de cette leon, vous pourrez dpanner des problmes basiques de connexion client IIS.

Le tableau IV.1 contient certaines des causes les plus courantes engendrant des problmes de connexion client avec IIS, ainsi que les solutions possibles. Tableau IV.1 Dpannage des problmes de connexion IIS Symptme : Les clients ne parviennent pas se connecter un site Web Cause Solution Un problme de communications Vrifiez les communications entre le client et le serveur, en rseau empche la connexion. utilisant Lutilitaire Ping pour vous connecter l'adresse IP du serveur, et en contrlant le mcanisme de rsolution de nom utilis pour rsoudre le nom d'ordinateur ou le nom DNS dans l'URL en adresse IP. Le site fonctionne avec un numro Ajoutez le numro de port correct au nom de domaine ou de port TCP autre que celui par d'ordinateur dans l'URL (par exemple, dfaut (80). http://www.microsoft.com:82). Le site Web n'est pas configur pour Activez l'accs anonyme dans la bote de dialogue Proprits du utiliser l'accs anonyme. site. Fournissez l'utilisateur les informations d'identification ncessaires pour se connecter au site avec un autre type d'authentification. Le compte d'accs anonyme est Vrifiez que: le compte utilis pour l'accs anonyme existe dans la base de incorrectement configur. donnes de comptes du serveur ou dans le service Active Directory, avec le mot de passe correct; le compte utilis pour l'accs anonyme dispose des autorisations Ouverture de session locale et Ouverture de session rseau. Le client ne possde pas de compte Si le site est configur pour n'utiliser que l'authentification Digest d'utilisateur appropri pour le type ou l'authentification intgre de Windows, le client doit possder d'authentification que le site est un compte d'utilisateur Windows 2003. Dans le cas d'une configur pour utiliser. authentification Digest, le client doit possder un compte d'utilisateur Active Directory. Le site, le rpertoire virtuel ou le Si le document par dfaut ou le fichier demand est un script ou un rpertoire contenant le fichier programme, le site, le rpertoire virtuel ou le rpertoire doit tre demand ne sont pas configurs avec configur avec l'autorisation d'excution Scripts seulement ou les autorisations correctes. Scripts et excutables, en plus de l'autorisation Lecture. Le site requiert une connexion SSL. Si le site est configur pour requrir une connexion scurise avec SSL, l'URL du navigateur doit utiliser le prfixe https://au lieu de http://. Il doit en outre comporter le numro de port SSL appropri, par exemple https://secure.microsoftcom:5000.

80

Administration dun Serveur Informatique

Chapitre IV : IIS

Rsum de la leon
Ne ngligez pas les lments les plus basiques lorsque vous dpannez des problmes de connexion de site Web. Vrifiez l'tat de la communication rseau et des quipements rseau matriels. Le type d'authentification que le site est configur pour utiliser est une source frquente d'checs d'ouverture de session. L'authentification Digest et l'authentification intgre de Windows requirent que tous les utilisateurs clients du Web possdent des comptes d'utilisateurs Windows 2003. Les sites qui utilisent des scripts ou des programmes doivent tre configur avec les autorisations appropries afin que les clients soient capables d'excuter ces scripts ou ces programmes. Les sites qui requirent une connexion SSL doivent prsenter le prfixe https:// et un numro de port SSL correct (qui diffre normalement du numro de port HTTP).

81